狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide » [转贴/2004.02.20]噩梦!!3721升级了!!!, 3721 系统刚刚升级,手段更为卑劣及霸道
« 1 2» Pages: ( 1/2 total )
本页主题: [转贴/2004.02.20]噩梦!!3721升级了!!!, 3721 系统刚刚升级,手段更为卑劣及霸道 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

st0n3
级别: 嘉宾


精华: 4
发帖: 1869
威望: 908 点
金钱: 0 静电币
支持度: 52 点
在线时间:315(小时)
注册时间:2002-08-24
最后登录:2023-09-30

 [转贴/2004.02.20]噩梦!!3721升级了!!!, 3721 系统刚刚升级,手段更为卑劣及霸道

最近,3721 系统刚刚升级,手段更为卑劣及霸道。

1 在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windows\system32\drivers\cnsminkp.sys
2 cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。
3 这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll
4 这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。


我的解决方法。
1 安装另外一个干净的windows 系统
2 从这个干净的系统启动,删除所有的cnsminpk.sys cnsmin.dll文件
3 从原来的windows系统启动
4 运行spybot软件,清除3721,并且加上免疫保护

cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。
wh3n a 1itt1e b0y fa11  in l0v3 with a 10v31y 1ady...
Posted: 2004-02-20 01:08 | [楼 主]
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17392
威望: 8730 点
金钱: 7074 静电币
支持度: 19101 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

嗨,用Opera吧~
Posted: 2004-02-20 07:42 | 1 楼
风の铃音
年度杀人狂 2006
杀人游戏MVP勋章I
级别: 嘉宾


精华: 99
发帖: 3561
威望: 2500 点
金钱: 232 静电币
支持度: 23475 点
在线时间:842(小时)
注册时间:2002-11-17
最后登录:2012-05-22

 

总会有人出来收拾它们的
Posted: 2004-02-20 09:33 | 2 楼
唐僧
活佛
级别: 光明使者


精华: 23
发帖: 2845
威望: 625 点
金钱: 10 静电币
支持度: 0 点
在线时间:315(小时)
注册时间:2002-11-16
最后登录:2024-04-15

 

微软
哈哈
等做大了微软会收购的
Posted: 2004-02-20 09:43 | 3 楼
小神
我不要头衔
级别: 贵宾


精华: 14
发帖: 15287
威望: 2803 点
金钱: 6689 静电币
支持度: 4413 点
在线时间:348(小时)
注册时间:2002-08-29
最后登录:2008-03-14

 

老不死的3721
Posted: 2004-02-20 11:06 | 4 楼
青莲居士
级别: 天使


精华: 1
发帖: 3274
威望: 515 点
金钱: 3794 静电币
支持度: 129 点
在线时间:28(小时)
注册时间:2003-03-08
最后登录:2016-03-03

 

管他3721,截架飞机撞他!
Posted: 2004-02-20 14:15 | 5 楼
烟灰
仇日分子
级别: 论坛版主


精华: 4
发帖: 3854
威望: 2267 点
金钱: 0 静电币
支持度: 11737 点
在线时间:1713(小时)
注册时间:2002-10-27
最后登录:2024-04-28

 

我们的空军中尉哪去了?
Posted: 2004-02-20 14:20 | 6 楼
hbsyrsl
级别: 咿呀学语


精华: 0
发帖: 1
威望: 0 点
金钱: 74 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2004-02-20
最后登录:2004-02-26

 

统一楼上的意见哦
Posted: 2004-02-20 15:25 | 7 楼
lockli
级别: 新手上路


精华: 0
发帖: 17
威望: 49 点
金钱: 1086 静电币
支持度: 0 点
在线时间:5(小时)
注册时间:2001-11-21
最后登录:2010-12-26

 

病毒的典型特征。
Posted: 2004-02-20 19:58 | 8 楼
狗狗
加菲's
级别: 管理员


精华: 10
发帖: 4859
威望: 10314 点
金钱: 10285 静电币
支持度: 19330 点
在线时间:1420(小时)
注册时间:2001-11-20
最后登录:2024-02-11

 

可以增加到病毒列表了
Posted: 2004-02-20 21:45 | 9 楼
C1
级别: 侠客


精华: 0
发帖: 51
威望: 0 点
金钱: 74 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2004-01-29
最后登录:2004-03-05

 

查看了一下,还没中,不过我看快了,原来装得免疫补丁根本不起作用,上网稍不留神就会在程序中有3721。
Posted: 2004-02-21 18:08 | 10 楼
dyromax
级别: 新手上路


精华: 0
发帖: 3
威望: 34 点
金钱: 392 静电币
支持度: 0 点
在线时间:1(小时)
注册时间:2002-12-01
最后登录:2008-02-16

 

这东西真TMD讨厌吖..
Posted: 2004-02-22 12:42 | 11 楼
liuhom
级别: 咿呀学语


精华: 0
发帖: 2
威望: 0 点
金钱: 74 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2004-02-13
最后登录:2004-04-07

 听楼主讲的这么历害,怎么我刚就用3721自带的卸载程序一卸就什么都没了~

听楼主讲的这么历害,怎么我刚就用3721自带的卸载程序一卸就什么都没了~
Posted: 2004-02-22 16:07 | 12 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17392
威望: 8730 点
金钱: 7074 静电币
支持度: 19101 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

呵呵,看看注册表,再看看进程——3721自带的卸载程序只是把它藏起来让你看不见,假装已经卸载了~骗骗菜鸟的手段
Posted: 2004-02-22 16:27 | 13 楼
liuhom
级别: 咿呀学语


精华: 0
发帖: 2
威望: 0 点
金钱: 74 静电币
支持度: 0 点
在线时间:0(小时)
注册时间:2004-02-13
最后登录:2004-04-07

 怎么看啊??楼主所说的几个文件,我卸载后就没有了~~

怎么看啊??楼主所说的几个文件,我卸载后就没有了~~
Posted: 2004-02-22 16:40 | 14 楼
« 1 2» Pages: ( 1/2 total )
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor