回首頁

3721推出了更為殘暴的法西斯手段,強迫安裝網路實名 


3721推出了更為殘暴的法西斯手段,強迫安裝網路實名

最近,3721 系統剛剛昇級,手段更為卑劣及霸道。

1 在設備驅動層加了保護,而且是boot時立即啟動,即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程式位於windows\system32\drivers\cnsminkp.sys
2 cnsminkp.sys 一旦載入,無法用指令方式卸載這個驅動程式,即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。
3 這個驅動不停地檢測cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即會重建這兩個文件,並且不停檢測service 和software 下面的註冊表,確保cnsminkp這個服務的參數保持和它設定的一致,如果被改動,立即會恢復成原來的樣子。另外,還確保 run 裡有cnsmin.dll
4 這種死皮賴臉的方式,是決心要在記憶體和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統效能迅速下降。
改了註冊表,沒有用,你一重新整理,馬上還原了。
一刪文件,再dir 一看,又回來了。
因為cnsminkp.sys 的程式碼有自我還原功能。一旦啟動後,就開始不停地掃瞄,有異常便立即還原。這段程式碼將大大降低機器的效能

解決方法。
1 安裝另外一個乾淨的windows 系統
2 從這個乾淨的系統啟動,刪除所有的cnsminpk.sys cnsmin.dll文件
3 從原來的windows系統啟動
4 執行spybot軟體,清除3721,並且加上免疫保護

cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。

今天不少網友發現3721這個老婊子又換了新花樣,由於他們的控件沒有作數字簽名,所以就不會出現控件安裝時候的廠商信息,估計他們是交不起那高昂的數字簽名證書費。

而且現在的3721安裝之後,你會發現,無論你怎麼樣搜尋,都不會在硬碟上找到他們的文件(如果是個君子,幹什麼隱藏文件?)。

不過,我發現一個意外的收穫,如果你曾經安裝過3721,並且卸載過它,他們以後就不會再彈出婊子的安裝對話視窗

操作方法如下:

在下面的註冊表專案中
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

新增一個字串串鍵值
命名為CNSUIN,值為1。

該鍵值表示,用戶曾經卸載過3721。

Ww i n d o w s R e g i s t r y E d i t o r V e r s i o n 5 . 0 0 



[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ I n t e r n e t E x p l o r e r \ M a i n ] 

" C N S U I N " = " 1 "


==================================
站控件免疫修正檔BanActiveX_V0.03
增加對新的3721昇級包的遮閉
下面是黑名單,使用方法只需要選即可,解除只要不選
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
1B0E7716-898E-48CC-9690-4E338E8DE1D3$3721上網助手
4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686$3721中文郵
8D898B17-976D-44c1-84E6-AF38842AC9EC$3721昇級包
9BBC1154-218D-453C-97F6-A06582224D81$百度搜霸
BC207F7D-3E63-4ACA-99B5-FB5F8428200C$百度搜尋伴侶
9A578C98-3C2F-4630-890B-FC04196EF420$CNNIC通用域名
CF051549-EDE1-40F5-B440-BCD646CF2C25$網易泡泡
15DDE989-CD45-4561-BF99-D22C0D5C2B74$新浪點點通
98FA5667-513F-4F15-8A15-C171477B8847$新浪IE通
2D0C7226-747E-11D6-83F0-00E04C4A2F90$搜狐視瀕播放器
484FF54A-CC44-467E-9C31-5B89FC753007$搜狐工作列
018B7EC3-EECA-11D3-8E71-0000E82C6C0D$XXXToolbar
E8EDB60C-951E-4130-93DC-FAF1AD25F8E7$Mtree Dialers 1
FC87A650-207D-4392-A6A1-82ADBC56FA64$Mtree Dialers 2


or:
執行BanActiveX.exe
選需要遮閉的ActiveX,關閉程序即可
取消遮閉只需要取消選即可。

增加自訂資料庫,直接請編輯BanActiveX.ini,格式見下面的,幾乎不需要說明

程序開放來源碼

資料庫格式:
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
ActiveX id $分隔符 名字

原作者:復旦大學Lucian

回首頁