关于3721反间谍专家误报的问题

已解决的问题

关于3721反间谍专家误报的问题: 0分标签:3721 反间谍专家误报提问者:山青水清幼儿小班回答:2 提问时间:2008-07-19 01:55:46; 本人使用过程中发现3721反间谍专家经常把C:WINDOWSexploer.exe C:WINDOWSsystem32dllcacheexplorer.exe 误认为是 Worm.QQ.TopFox的恶意代码，请注意这是反间谍专家的误报，绝对不能删除explorer.exe，本人曾经误信了3721，删除了explorer.exe，结果就是桌面上什么东西都没有，包括开始菜单，请大家注意有很多杀毒、反间谍软件都存在一定的误报，大家在删除的时候一定要确定是否是真的恶意代码或病毒，以防不测。

满意答案好评率：0%

3721？它本身就是病毒！

☆不要使用3721，因为它可以误导你
★不要使用3721，因为它使你永远是菜鸟
☆不要使用3721，因为它可以通过您的电脑赚钱
★不要使用3721，因为它可以……
……

☆罪名☆
1、强制安装；
2、浏览器劫持；
3、干扰其他软件运行；
4、无法彻底卸载。3721能自动启动，通过Rundll32.exe调用动态链接库，令系统无法终止进程。

☆预防措施☆
1、安装WinXP Sp2
2、升级IE
3、不去3721的网站
4、安装软件时需要注意有没有附带3721，如果有，不要安装。
5、下载一个插件管理器（例如Upiea，我在共享资料里面有），管理插件
6、下载一个反间谍工具
7、安装防毒软件
8、安装防火墙

病毒发作现象：

自动将浏览器的“搜索”功能重定向到一个叫www。3721。com的网站，该站点为中文站，且无法修改；
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标；
不断刷新注册表相关键值，以达到成功驻留和大量消耗用户主机资源的目的；
每次启机加载，并自带进程保护功能，在正常地windows启动下难以杀除；
带自动升级功能，每次用户上网使用ie时，该病毒会后台执行升级；

病毒自身特点：

自带卸载功能；该病毒为达到隐藏自身目的，麻痹下载插件用户的目的，提供了卸载程序。但根据天缘的使用情况发现，在卸载后，该病毒程序依然驻留，启动时仍然加载，依然监视、改写注册表；

采用网络升级方式；该病毒为了防止用户以及杀毒软件的杀除，采取定期网上升级的方式，这点与近期的其他Windows主流病毒类似，但值得一提的是该病毒建有公开的病毒升级站点www。3721。com，且站点风格酷似门户、服务类站点，具有极大的欺骗性；

以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载配合挂接hook的方式，在windows下极难查杀（详细技术讨论见后）；

提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁，看来新的病毒越来越多地喜欢提供一些另类功能了；

被动方式传播：利用一些站点来进行传播，而不是主动感染其他机器，这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动，可说是今年一些病毒的新特点。

病毒详细分析：

当用户访问站点的时候，弹出一个控件下载窗口提示用户下载安装，表面上称自己是提供中文实名服务，引诱用户安装；

在安装过程中多处修改用户文件及注册表；

添加文件：

在Documents and SettingsAll Users「开始」菜单程序网络实名目录下添加：
了解网络实名详细信息。url 86 字节
清理上网记录。url 100 字节
上网助手。url 99 字节
卸载网络实名。lnk 1，373 字节
修复浏览器。url 103 字节

在WINDOWSDownloaded Program Files 下添加：
assis.ico 5，734 字节
cns02.dat 1，652 字节
CnsHook.dll 56，320 字节
CnsMin.cab 116，520 字节
CnsMin.dll 179，712 字节
CnsMin.inf 378 字节
sms.ico" 6，526 字节
yahoomsg.ico 5，734 字节

在WINDOWSSystem32Drivers 目录下添加：
CnsminKP.sys

添加注册表键值：
增加HKEY_LOCAL_MACHINESOFTWARE3721 主键，下设多子键及属性值；
在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主键下增加两个子键
在HKEY_LOCAL_MACHINESOFTWAREClasses主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1四个子键
在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主键下增加
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主键下增加！CNS子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主键下增加五个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主键下增加子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子键
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子键（提示，这个键将在下次启动机器的时候生效，产生最令人头疼的部分，后文会叙述）
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子键
在HKEY_CURRENT_USERSoftware下增加3721子键
在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset

在重新启动计算机后，上面提到的RunOnce下的EK_Entry生效，在注册表中多处生成最为邪恶的CnsMinKP键值，同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件，噩梦由此开始。

由于win2k/xp在启动的时候（包括安全模式）默认会自动运行windows/system32/drivers下面的所有驱动程序，于是CnsMinKP.sys被加载，而这个驱动的作用之一，就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除；Cnshook.dll的作用则是提供中文实名功能，CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高，用了一个定时器函数反复安装钩子，因此造成系统性能下降，在天缘测试的那台机器上，使得性能大概下降了20%左右。而且由于hook强行挂接的原因，当用户使用断点调试程序的时候将会导致频繁出错，这一点与早期版本的cih导致winzip操作和无法关机类似（关于详细的技术细节，可参看题目为《[转载]3721驻留机制简单研究》一文，原作者Quaful@水木清华）

防删除特性：

该病毒虽然自带一个所谓的“卸载程序”，但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段，具有极其强大的反删除特性。

windows系统启机（包括安全模式下）便会加载windows/system32/drivers下的CnsMinKP.sys，该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。

☆完全删除办法☆

第一回合：
按照大多数人的方法，直接通过添加、删除程序删除。然后找到/3721文件夹，直接删除。
结局：病毒胜

第二回合：
这会下载两个3721专杀工具，删除、重启。然而一看：病毒仍然在那儿。
结局：病毒胜

第三回合：
按照网上的卸载方法，进入安全模式，删除注册表项目。重启，删除失败。
结局：病毒胜

第四回合：
重新启动机器，这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys，WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当，准确地说法是——删除之后没有任何错误报告，但文件依然存在。后来明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么，只要能开机不加载它不就行了？？但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动，而如果想要取消加载，则需要修改注册表，但由于在加载了CnsMinKP.sys后修改注册表相关值无效，导致无法遏制CnsMinKP.sys这个程序的加载。当然，有软驱的朋友可以利用软盘启动的方式来删除该文件，或者是使用Dos系统删除。但是我既没有安装Dos系统又没有启动软盘。
我尝试着改这几个文件的文件名，结果没成功；

我尝试着用重定向来取代该文件，如dir * > CnsMinKP.sys ，结果不成功；

我尝试着用copy con <文件名> 的方式来覆盖这几个文件，结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功，但是在覆盖CnsMinKP.sys和CnsMin.dll的时候，居然提示“文件未找到”！？熟悉copy con用法的朋友都该了解，无论是文件是否存在，都应该是可以创建/提示覆盖的，但居然出来这么一个提示，看来CnsMinKP.sys着实把系统都骗过了，强！！跟它拼到这里的时候，回想到了在dos下用debug直接写磁盘的时代了，或许用它才能搞定吧？
于是我先把windowssystem32drivers目录复制一份，取名为drivers1，并将其中的CnsMinKP.sys删除（注意，因为是drivers1中的，所以可以被成功地真正删除掉）；

重新启动机器，到安全模式下，命令提示符。用drivers1目录替代原来的drviers目录：

cd C:windowssystem32

ren drivers drivers2

ren drivers1 drivers

之后重新启动机器，然后进到windows后先把drivers2目录删除了，然后慢慢收拾残余文件和清理注册表吧。在这里我提供一个reg文件，方便各位删除注册表（或者可以使用我提供的“3721专杀工具.rar”里面双程序卸载）：

Windows Registry Editor Version 5.00（用98的把这行改成regeidt4）

[-HKEY_LOCAL_MACHINESOFTWARE3721]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]

[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]

[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface]

[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib]

[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions！CNS]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions]

[-HKEY_CURRENT_USERSoftware3721]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]

[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]

回答时间：2008-10-24 07:17:29 回答者：东吴大帝[幼儿小班] 回答采纳率：40%（47个被采纳）

对最佳答案评论目前有 0 人评论
0%(0) 0%(0)

评论字数在1000字以内

其他答案(共2条)

杀毒软件有的时候是有些不太好用，比如我把用ACCESS做的以.MDB为结尾的数据表更改成.ASP后，就会被误认为是ASP的脚本病毒，然后被删除掉，我已经郁闷过N次了。

回答者：余生坠[幼儿小班] 回答时间：2008-08-06 21:47:47

这个不是误报而是病毒在explorer.exe 里插入了病毒代码
explorer.exe 是不可以删的以后小心一点

回答者：天才小宝哥[幼儿小班] 回答时间：2008-09-22 03:00:23

已解决的问题

其他答案(共2条)

热门软件推荐