本页主题: [转贴/2004.02.20]噩梦!!3721升级了!!!, 3721 系统刚刚升级,手段更为卑劣及霸道 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

st0n3
级别: 嘉宾


精华: 4
发帖: 1870
威望: 909 点
金钱: 10 静电币
支持度: 52 点
在线时间:315(小时)
注册时间:2002-08-24
最后登录:2024-07-15

 [转贴/2004.02.20]噩梦!!3721升级了!!!, 3721 系统刚刚升级,手段更为卑劣及霸道

最近,3721 系统刚刚升级,手段更为卑劣及霸道。

1 在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windows\system32\drivers\cnsminkp.sys
2 cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。
3 这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll
4 这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。


我的解决方法。
1 安装另外一个干净的windows 系统
2 从这个干净的系统启动,删除所有的cnsminpk.sys cnsmin.dll文件
3 从原来的windows系统启动
4 运行spybot软件,清除3721,并且加上免疫保护

cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。
wh3n a 1itt1e b0y fa11  in l0v3 with a 10v31y 1ady...
Posted: 2004-02-20 01:08 | [楼 主]
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19901 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

嗨,用Opera吧~
Posted: 2004-02-20 07:42 | 1 楼
bbsriver
杀人游戏MVP勋章I 杀人游戏MVP勋章II
级别: 管理员


精华: 52
发帖: 17391
威望: 8729 点
金钱: 7064 静电币
支持度: 19901 点
在线时间:13725(小时)
注册时间:2002-11-21
最后登录:2016-12-22

 

呵呵,看看注册表,再看看进程——3721自带的卸载程序只是把它藏起来让你看不见,假装已经卸载了~骗骗菜鸟的手段
Posted: 2004-02-22 16:27 | 2 楼
帖子浏览记录 版块浏览记录
狗狗静电BBS - wwW.DoGGiEhoMe.CoM » 电脑全方位 Computer Guide

沪ICP备05008186号
Powered by PHPWind Styled by MagiColor