Re: [求救] CnsMin/3721
※ 引述《peppermintx (愛情電影)》之銘言:
: 這陣子常常有些網頁開不起來,Outlook也無法使用
: 用norton掃不到東西
: 來板上爬文後,用panda線上掃毒掃到
: Incident Status Location
: Spyware:Spyware/CnsMin No disinfected C:\Documents and Se
: ttings\user\Local Settings\Temporary Internet Files\Content.IE5\OPEF4L6N\CnsMin
: [1].cab[CnsMin.dll]
: 再繼續爬文得知這屬於3721木馬程式
: 也照著板上、精華區提供的方法
: 無論是移除程式、ad-aware
: 或進入安全模式用regedit刪機碼
: 啥都找不到
: (我也沒有出現3721這個資料夾)
: 然後我再用panda掃一次,結果還是一樣
: 請問我該怎麼辦呢? 感謝~
在toget討論區看到的
徹底封殺病毒3721!
最近,3721 系統剛剛升級,最近推出了更為殘暴的法西斯手段:強迫安裝網路實名
1) 在設備驅動層加了保護,而且是boot時立即啟動,即使在安全模式時也會啟動。
這個設備的名字叫做 cnsminkp,驅動程式位於
windowssystem32driverscnsminkp.sys
cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的
windowssystem32drivers下有cnsminkp.sys ,肯定中招了。
2)cnsminkp.sys 一旦載入,無法用命令方式卸載這個驅動程式,即 net stop
cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的檔日期是2004-02-15, 是
前幾天才release出來的。
3) 這個驅動不停地檢測cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存
在,立即會重建這兩個檔,並且不停檢測service 和software 下麵的註冊表,
確保cnsminkp這個服務的參數保持和它設置的一致,如果被改動,立即會恢復成原
來的樣子。另外,還確保 run 裏有cnsmin.dll
4) 這種死皮賴臉的方式,是決心要在記憶體和硬碟上駐留cnsminkp.sys 和cnsmin.
dll,使系統性能迅速下降。
封殺大法:
1.運行regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run項,點右鍵將Run項的野i權設為---禁止所有人訪問!
即Administrator也禁止訪問!
2.重新啟動:你會發現,進程中的Rundll.exe沒有了! ;)
3.首先刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的和3721 有關的項/鍵。
4.運行reggedit,搜索“{B83FC273-3522-4CC6-92EC-75CC86678DA4}”
(不帶引號),找到的一律刪除!
5.刪除windowssystem32driverscnsminkp.sys檔---現在可以刪除了!
最好隨便找個txt檔,該為cnsminkp.sys,放在哪里,將其禁用!
刪除C:Program Files3721目錄,最好將其保留,但是將其禁用,裏面的檔一律刪除!
6.搜索cnsminkp.sys和cnsmin.sys,刪除!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.75.42.178
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
