6,849
社区成员
发帖
与我相关
我的任务
分享如何停止 cnsminkp 服务
如何停止 cnsminkp 服务
如何删除 cnsminkp.sys 文件 system32\drivers\cnsminkp.sys
该死的3721!!!!
如何删除 cnsminkp.sys 文件 system32\drivers\cnsminkp.sys
该死的3721!!!!
...全文
请发表友善的回复…
发表回复
jh999 2004-12-16
- 打赏
- 举报
a) 运行3721自己提供的删除程序。可以删掉大部分的文件。
b) 从DOS启动,删除残存文件,如CnsMin.dll,CnsMinKP*.*等
可能的目录:Downloaded Program Files目录,Program Files\3721目录,drivers目录
c) 启动Windows,进入桌面时Windows会报告一些模块找不到的错误,不用理会,删除
注册表中3721的值。
可能的位置:HKEY_CURRENT_USER: Software\3721
HKEY_LOCAL_MACHINE: Windows\CurrentVersion\Run
SYSTEM\CurrentControlSet
另外还零散的藏了一些,用关键字查找。
b) 从DOS启动,删除残存文件,如CnsMin.dll,CnsMinKP*.*等
可能的目录:Downloaded Program Files目录,Program Files\3721目录,drivers目录
c) 启动Windows,进入桌面时Windows会报告一些模块找不到的错误,不用理会,删除
注册表中3721的值。
可能的位置:HKEY_CURRENT_USER: Software\3721
HKEY_LOCAL_MACHINE: Windows\CurrentVersion\Run
SYSTEM\CurrentControlSet
另外还零散的藏了一些,用关键字查找。
jh999 2004-12-16
- 打赏
- 举报
zt:
那么究竟它能不能被当作是病毒?为此我们又联系了国内某著名杀毒软件厂商的专业防病毒软件工程师,在答应不透露 姓名的基础上,他就记者提到的3721插件发表了以下看法:“这个软件的自我复制机理的确有些类似某些病毒。首先, 它在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备名叫cnsminkp.sys,驱动程 序位于windows\system32\drivers\cnsminkp.sys。一旦加载了这个驱动保护,是无法用普通的命令方式,即net stop cnsminkp命令卸载该驱动程序的。”
那么究竟它能不能被当作是病毒?为此我们又联系了国内某著名杀毒软件厂商的专业防病毒软件工程师,在答应不透露 姓名的基础上,他就记者提到的3721插件发表了以下看法:“这个软件的自我复制机理的确有些类似某些病毒。首先, 它在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备名叫cnsminkp.sys,驱动程 序位于windows\system32\drivers\cnsminkp.sys。一旦加载了这个驱动保护,是无法用普通的命令方式,即net stop cnsminkp命令卸载该驱动程序的。”
pooryaya 2004-12-16
- 打赏
- 举报
1,首先卸载3721的网络失明,
2,安全模式下,REGEDIT。然后找 所有3721和CNSMIN的关键字,然后全部删除。
3,下载3721完整卸载程序。建议以安全模式运行, http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html
如果这个软件有些REGISTRY里的东西始终删不干净,自己找出来,SAFE MODE手工删除。这时候你需要以下做参考,如果还不行,就没办法了。
1、在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做cnsminkp,驱动程序位于windows\system32\drivers\cnsminkp.sys。
2、cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 也是无法停止这个驱动的。cnsminkp.sys 的文件日期是2004-02-15,是前几天才release出来的。
3、这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保在注册表run子键下始终存在cnsmin.dll,以达到开机立即运行的目的。
4、这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
系统为Win2000Pro版,系统分区为NTFS
1。用DOS软盘启动,使用NTFSforDOS专业版(注意,试用版只能读文件,不能删文件)对NTFS分区进行操作。为什么要在不进入Win2000的情况下对系统进行操作,实在是迫不得已,因为无论以何种方式(Normal,SafeMode,CommandPromot)启动Win2000,cnsminkp.sys都会被加载,其进程在任务管理器看不见,也关不掉,也就无法清除该文件。
2。删除目录
“C:\Program Files\3721”
“C:\WINNT\Downloaded Program Files\3721”(这个目录在Win2000下看,其内容与现在看到有很大区别,“3721”这个目录在Win2000下根本看不见)
如果“C:\WINNT\Downloaded Program Files\”目录下还有其他可疑的目录,如Baidu,一并删了吧!
3。删除文件
“C:\WINNT\system32\drivers\cnsminkp.sys”
4。重新启动到Win2000_SafeMode,对注册表进行处理,对照下面键值,都删了:
HKEY_CLASSES_ROOT\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_CLASSES_ROOT\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\clsid\{6d8f256b-6ab8-4398-8f86-1e56207db77a}
HKEY_CLASSES_ROOT\clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_CLASSES_ROOT\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\cnshelper.ch
HKEY_CLASSES_ROOT\cnshelper.ch.1
HKEY_CLASSES_ROOT\cnsminhk.cnshook
HKEY_CLASSES_ROOT\cnsminhk.cnshook.1
HKEY_CLASSES_ROOT\interface\{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\typelib\{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
HKEY_CURRENT_USER\software\3721
HKEY_LOCAL_MACHINE\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINE\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_LOCAL_MACHINE\software\3721
HKEY_LOCAL_MACHINE\software\classes\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b835c273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\classes\typelib\{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINE\software\interchina
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cesmain.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\helper.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\3721c:\progra~1\3721\autolive.dll253343
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
5。删除以下文件:
systemroot+\system32\assist.dll
systemroot+\system32\bdhelper.dll
systemroot+\system32\cesweb.dll
systemroot+\system32\cnshook.dll
systemroot+\system\assist.dll
systemroot+\system\bdhelper.dll
systemroot+\system\cesweb.dll
systemroot+\system\cnshook.dll
systemroot+\system\regkper.dll
6。删除以下目录:
c:\documents and settings\all users.windows\start menu\programs\chinese keywor
c:\progra~1\3721\assist
programfilesdir+\3721
systemroot+\downloaded program files\3721
以上步骤之后,应该已清除3721了。
2,安全模式下,REGEDIT。然后找 所有3721和CNSMIN的关键字,然后全部删除。
3,下载3721完整卸载程序。建议以安全模式运行, http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html
如果这个软件有些REGISTRY里的东西始终删不干净,自己找出来,SAFE MODE手工删除。这时候你需要以下做参考,如果还不行,就没办法了。
1、在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做cnsminkp,驱动程序位于windows\system32\drivers\cnsminkp.sys。
2、cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 也是无法停止这个驱动的。cnsminkp.sys 的文件日期是2004-02-15,是前几天才release出来的。
3、这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保在注册表run子键下始终存在cnsmin.dll,以达到开机立即运行的目的。
4、这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
系统为Win2000Pro版,系统分区为NTFS
1。用DOS软盘启动,使用NTFSforDOS专业版(注意,试用版只能读文件,不能删文件)对NTFS分区进行操作。为什么要在不进入Win2000的情况下对系统进行操作,实在是迫不得已,因为无论以何种方式(Normal,SafeMode,CommandPromot)启动Win2000,cnsminkp.sys都会被加载,其进程在任务管理器看不见,也关不掉,也就无法清除该文件。
2。删除目录
“C:\Program Files\3721”
“C:\WINNT\Downloaded Program Files\3721”(这个目录在Win2000下看,其内容与现在看到有很大区别,“3721”这个目录在Win2000下根本看不见)
如果“C:\WINNT\Downloaded Program Files\”目录下还有其他可疑的目录,如Baidu,一并删了吧!
3。删除文件
“C:\WINNT\system32\drivers\cnsminkp.sys”
4。重新启动到Win2000_SafeMode,对注册表进行处理,对照下面键值,都删了:
HKEY_CLASSES_ROOT\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_CLASSES_ROOT\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\clsid\{6d8f256b-6ab8-4398-8f86-1e56207db77a}
HKEY_CLASSES_ROOT\clsid\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_CLASSES_ROOT\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\cnshelper.ch
HKEY_CLASSES_ROOT\cnshelper.ch.1
HKEY_CLASSES_ROOT\cnsminhk.cnshook
HKEY_CLASSES_ROOT\cnsminhk.cnshook.1
HKEY_CLASSES_ROOT\interface\{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_CLASSES_ROOT\typelib\{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
HKEY_CURRENT_USER\software\3721
HKEY_LOCAL_MACHINE\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\clsid\{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
HKEY_LOCAL_MACHINE\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\clsid\{e5e4e352-6947-44ee-a420-db84efd3fe93}
HKEY_LOCAL_MACHINE\software\3721
HKEY_LOCAL_MACHINE\software\classes\clsid\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\classes\clsid\{b835c273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\classes\typelib\{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
HKEY_LOCAL_MACHINE\software\interchina
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\advancedoptions\!cns
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{5d73ee86-05f1-49ed-b850-e423120ec338}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{fd00d911-7529-4084-9946-a29f1bdf4fe5}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{d157330a-9ef3-49f8-9a67-4141ac41add4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{b83fc273-3522-4cc6-92ec-75cc86678da4}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cesmain.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\helper.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\3721c:\progra~1\3721\autolive.dll253343
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cns02.dat
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnshook.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shareddlls\c:\windows\downloaded program files\cnsmin.dll
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\cnsmin
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{1b0e7716-898e-48cc-9690-4e338e8de1d3}
5。删除以下文件:
systemroot+\system32\assist.dll
systemroot+\system32\bdhelper.dll
systemroot+\system32\cesweb.dll
systemroot+\system32\cnshook.dll
systemroot+\system\assist.dll
systemroot+\system\bdhelper.dll
systemroot+\system\cesweb.dll
systemroot+\system\cnshook.dll
systemroot+\system\regkper.dll
6。删除以下目录:
c:\documents and settings\all users.windows\start menu\programs\chinese keywor
c:\progra~1\3721\assist
programfilesdir+\3721
systemroot+\downloaded program files\3721
以上步骤之后,应该已清除3721了。
followme_ck 2004-12-16
- 打赏
- 举报
如果想卸载3721,那么卸载过程中间选中卸载所有控件就可以 。
followme_ck 2004-12-16
- 打赏
- 举报
net stop cnsminkp
del c:\winnt\system32\cnsminkp.sys
del c:\winnt\system32\cnsminkp.sys
