关于3721病毒
bhut 2004-11-19 02:31:05 鉴于最近有不少3721的托在这里捣乱,有必要普及一下关于这种病毒的基础知识
昨天中了3721,刚刚搞定,发现这个垃圾简直做得太精品了!!
总结一下
1。他给的卸载程序纯属扯淡,运行后该留下的一个都没少
2。他会启动在%windows%/download programs files/下边留有几个
dll,下边还有一个名叫3721的目录,里边也是一堆dll。
3。他会在系统自动启动项里加入一项CnsMin, 就是rundll32 CnsMin.dll(路径名
就不写了,就是上边那个download目录;
4. 启动的这个进程会做维护注册表里有关3721的信息;维护启动项。就是说只要
这个进程在,你对注册表、启动选项做得有关3721的一切都是徒劳的;你删除
那些dll的工作也是徒劳的
5. 这个进程被杀掉后会自动重启(安全模式也是一样)
6. 这个最变态,我在Linux下讲上边download目录删掉之后启动WinXP,发现一切照旧!!
dll都在,进程照起。所以有另一个东西在维护他们
7. 这个东西是什么呢?在我发现之后我告诉你,我简直没办法理解3721这拨人是个什么心 态 ,丫们简直就是专门研发病毒的。他们居然在%windows%/system32/drivers/里
边加了一个文件CnsMinKP.sys。这样系统每次启动的时候都会把这个.sys Load进来!这
个.sys干什么的大家应该能够猜出七八分,我只想说:这时如果你是用安全模式启动的
话,你可以亲眼看到你的系统是怎么被3721强奸的!!
8. 重新进入Linux,把那几个dll删掉,把CnsMinKP.sys删掉,重启WinXP,终于看到了我
盼望已久的无法找到 *******/CnsMin.dll的错误。用精华区里介绍的Spybot删掉了注册
表里3721留下的垃圾,这个世界终于清净了…………(整个过程在断网情况下进行,所
以我并不知道联网有没有影响,我估计没有)
9. 上边说的这些很大一部分精华区里都没有提及,所以我想,是不是3721升级了?!不管
怎么说,把一个“病毒”做成这样也真算敬业了,我只想对3721这拨人说:你们这群
王八蛋应该把这些心思用来做正经事!还有一句,×你们大爷!