3721病毒杀除方法详解[本人原创]
这篇文章本来是偶的投稿,因故未能发表,近日看到有朋友提到升xp到sp2,必须先删除掉xp的上网助手,因此想起此文,特此发出,欢迎转载,请注明原作者是俺就行咯
===========================================================
3721病毒杀除方法详解
作者:天缘,qq:354887 转载请注明
近日接到内网用户来报,在上到某些站点的时候,会被提示安装一个叫3721中文实名的插件,部分用户在不知情的情况下误点“安装”选项,导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员,但是对Windows操作系统的确使用得不多,从来也没有用过这个名为3721的插件,但看到用户们焦急地神情,于是答应尽力而为。经过几番努力,终于将其斩于马下。
以下是杀除该病毒得经历及病毒解决方案。
天缘使用一台windowsxp机器,访问用户提供的站点,下载并执行了该插件。该插件为中文,自动安装后重新启动机器后生效,并自带卸载功能。通过安装/卸载前后的对比观察,其驻留性、自身保护性及对系统性能的大量损耗,让天缘确定了该插件确是病毒无疑!
病毒发作现象:
自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站,该站点为中文站,且无法修改;
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标;
不断刷新注册表相关键值,以达到成功驻留和大量消耗用户主机资源的目的;
每次启机加载,并自带进程保护功能,在正常地windows启动下难以杀除;
5. 带自动升级功能,每次用户上网使用ie时,该病毒会后台执行升级;
病毒自身特点:
自带卸载功能;该病毒为达到隐藏自身目的,麻痹下载插件用户的目的,提供了卸载程序。但根据天缘的使用情况发现,在卸载后,该病毒程序依然驻留,启动时仍然加载,依然监视、改写注册表;
采用网络升级方式;该病毒为了防止用户以及杀毒软件的杀除,采取定期网上升级的方式,这点与近期的其他Windows主流病毒类似,但值得一提的是该病毒建有公开的病毒升级站点www.3721.com,且站点风格酷似门户、服务类站点,具有极大的欺骗性;
以驱动模式加载;该特性可说是近段时期以来病毒编写的一次技术飞跃,采用驱动模式加载配合挂接hook的方式,在windows下极难查杀(详细技术讨论见后);
提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁,看来新的病毒越来越多地喜欢提供一些另类功能了;
被动方式传播:利用一些站点来进行传播,而不是主动感染其他机器,这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动,可说是今年一些病毒的新特点;
病毒详细分析:
当用户访问站点的时候,弹出一个控件下载窗口提示用户下载安装,表面上称自己是提供中文实名服务,引诱用户安装;
在安装过程中多处修改用户文件及注册表;
添加文件:
在Documents and Settings\All Users\「开始」菜单\程序\网络实名\ 目录下添加
了解网络实名详细信息.url 86 字节
清理上网记录.url 100 字节
上网助手.url 99 字节
卸载网络实名.lnk 1,373 字节
修复浏览器.url 103 字节
在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico" 6,526 字节
yahoomsg.ico 5,734 字节
在WINDOWS\System32\Drivers\ 目录下添加
CnsminKP.sys
添加注册表键值:
增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主键,下设多子键及属性值;
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主键下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
两个子键
3.在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四个子键
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主键下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子键
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主键下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主键下增加
!CNS子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主键下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五个子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主键下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子键 (提示,这个键将在下次启动机器的时候生效,产生最令人头疼的部分,后文会叙述)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子键
HKEY_CURRENT_USER\Software\下增加
3721子键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后,上面提到的RunOnce下的EK_Entry生效,在注册表中多处生成最为邪恶的CnsMinKP键值,同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件,噩梦由此开始。
由于win2k/xp在启动的时候(包括安全模式)默认会自动运行windows/system32/drivers下面的所有驱动程序,于是CnsMinKP.sys被加载,而这个驱动的作用之一,就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除;Cnshook.dll的作用则是提供中文实名功能,CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,因此造成系统性能下降,在天缘测试的那台机器上,使得性能大概下降了20%左右。而且由于hook强行挂接的原因,当用户使用断点调试程序的时候将会导致频繁出错,这一点与早期版本的cih导致winzip操作和无法关机类似(关于详细的技术细节,可参看题目为《[转载]3721驻留机制简单研究》一文,地址为 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清华)
防删除特性:
该病毒虽然自带一个所谓的“卸载程序”,但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段,具有极其强大的反删除特性。
windows系统启机(包括安全模式下)便会加载windows/system32/drivers下的CnsMinKP.sys,该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
技术亮点:
天缘不得不承认,3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破:cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性,可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒,对系统并没有破坏特性,但依据病毒的发展史,可以预见,这种几近完美的反删除技术将很快被其他病毒所利用,很快将被其他病毒所利用。届时结合网络传播,局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历,也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行,我个人对3721病毒作者所使用的种种技术表示钦佩,但新型病毒的潘多拉魔盒,已经被他们打开:
在目前已知的病毒历史上,之前只有几种病毒利用过windows nt下的system32/drivers 下的程序会被自动加载的特性来进行传播,但那些病毒本身编写地不够完善,会导致windows nt系统频繁蓝屏死机,象3721插件病毒这样完美地加载、驻留其他进程,只消耗主机资源,监测注册表及关键文件不导致系统出错的病毒,国内外尚属首次,在技术上比以前那些病毒更为成熟;
如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载,而欲不加载它,只有在windows启动后,进注册表改写相应的CnsMinKP键值或者删除该文件,但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时,直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除,让我们传统的杀除病毒和木马的对策无法进行。
驻留ie进程,并自动升级,保证了该病毒有极强大的生命力,想来新的杀除方法一出现,该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器,但由于微软的捆绑策略和兼容性上的考虑,绝大多数用户一般只安装有ie。上网查资料用ie,寻找杀除3721资料的时候也用ie,如此一来,3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加,更加增添了杀除该病毒的难度。或许在本文发出后,病毒将会在最短时间内进行一次升级。
附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒,在发作的时候会自动运行一个可爱的屏幕保护,或者是自动替用户清理临时文件夹等有趣的功能;后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节,xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒;而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展,这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信,或以re开始的回信格式发信,病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡,越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来,就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。
极具欺骗性:该插件在win98下也能使用,但使用其自带的卸载程序则可比较完美地卸载,而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通:当一个人有一只表时他知道时间;而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候,其他win2k/xp用户会表示赞同,而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立,影响了旁观者的判断。
商业行为的参与。据传该病毒是由某公司编写的,为的是进一步推销其产品,增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件,之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员(当然也有可能是不法者冒充该公司的工作人员)经常打电话恐吓大型的企业单位,无外乎说其中文域名已被xx公司抢注,如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历:该公司员工打电话到某高校网络中心,起初是建议其申请中文域名,其主任很感兴趣但因价格原因未果。第二次打来的时候,就由劝说变成了恐吓,说该校中文名字已经被xx私人学校注册,如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬,回话:“你既然打电话到此,想来你也知道在中国,xx大学就我们一所是国家承认的,而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通,就这点上就可见你们的不规范性,那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理?遇到类似冒用我校名义行骗及协助其行骗的公司,我们一贯的做法是寻找法律途径解决!”回答甚妙,当然此事后果是不了了之。从相关报道中不难看到,计算机犯罪逐步开始面向经济领域。侵犯私人隐私,破坏私人电脑的病毒与商业结合,是病毒编写由个人行为到商业行为的一次转变,病毒发展的历史由此翻开了新的一章。
病毒查杀方案:
由于网管专题的栏目作用主要是“授人与渔”,天缘把病毒查杀过程经历一并写下,大家共同探讨。
第一回合:
当初见此病毒的时候,感觉不过如此,普通木马而已。依照老规矩,先把注册表里相关键值删除,再把病毒文件一删,然后重新启动机器,等待万事ok。启机一看,注册表完全没改过来,该删除的文件也都在。
结局:病毒胜,天缘败
第二回合:
换了一台机器,下了个卸载帮助工具,以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件,能监视注册表/文件/重要配置文件。Ok,再次安装3721插件,把对注册表的改变/文件的改变都记录下来。(值得注意,因为注册表run和runonce的键是下次启动的时候生效的,因此在重新启动后,还要对比一下文件/注册表的改变才能得到确切结果)。然后对比记录,把3721添加的键全部记下来,添加的文件也记录下来。之后我计划是用安全模式启动,删除文件和注册表,所以写了一个save.reg文件来删除注册表里的相关键值(写reg文件在网管笔记之小兵逞英雄那讲有介绍,等一下在文末我提供那个reg文件给大家参考),写了一个save.bat来删除相关文件,放到c盘根目录下。重新启动机器,进入安全模式下,我先用regedit /s save.reg 导入注册表,然后用save.bat删除相关文件。重新启动机器,却发现文件依然存在,注册表也没有修改成功。通常对付木马/病毒的方式全然无效,令我产生如临大敌之感。
结局:病毒胜,天缘败
第三回合:
重新启动机器,这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys,WINDOWS\Downloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当,准确地说法是——删除之后没有任何错误报告,但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章(名字及url见前文),于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载它不就行了??但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动,而如果想要取消加载,则需要修改注册表,但由于在加载了CnsMinKP.sys后修改注册表相关值无效,导致无法遏制CnsMinKP.sys这个程序的加载。当然,有软驱的朋友可以利用软盘启动的方式来删除该文件,但如果跟天缘一样用的是软驱坏掉的机器怎么办呢?记得绿盟上的文章所说的是——“目前无法破解”。在这一步上,天缘也尝试了各种方法。
我尝试着改这几个文件的文件名,结果没成功;
我尝试着用重定向来取代该文件,如dir * >; CnsMinKP.sys ,结果不成功;
我尝试着用copy con <文件名>; 的方式来覆盖这几个文件,结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功,但是在覆盖CnsMinKP.sys和CnsMin.dll的时候,居然提示“文件未找到”!?熟悉copy con用法的朋友都该了解,无论是文件是否存在,都应该是可以创建/提示覆盖的,但居然出来这么一个提示,看来CnsMinKP.sys着实把系统都骗过了,强!!跟它拼到这里的时候,回想到了在dos下用debug直接写磁盘的时代了,或许用它才能搞定吧?
仔细一想,win2k/xp下似乎没有了debug程序了,而或许问题解决起来也不是那么复杂。再又尝试了几种方法后,终于得到了启示:既然文件不允许操作,那么我操作目录如何?
我先把windows\system32\drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);
重新启动机器,到安全模式下;
用drivers1目录替代原来的drviers目录
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件,方便各位删除注册表:
Windows Registry Editor Version 5.00(用98的把这行改成regeidt4)
[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]
[-HKEY_CURRENT_USER\Software\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
结局:病毒败,天缘胜
(虽然是成功地删除了它,但是感觉赢得好险,如果该病毒加一个禁止上级文件改名的功能那么就真的没折了,为了预防类似的情形,最后还是找到了彻底一点的办法,见下)
第四回合:
聪明的读者大概已经想到,既然没有办法在硬盘启动对于c盘是fat32格式的机器,想到这里已经找到了解决办法——用win98启机软盘启动机器,然后到c盘下删除相关文件,然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式,win98启机软盘是不支持的!怎么办?有软驱的机器可以做支持NTFS分区操作的软盘,用ntfsdos这个软件就能做到(详情请见http://www.yesky.com/20020711/1620049.shtml一文)。而跟天缘一样没有软驱的朋友,别忘记了win2k/xp开始加入的boot,不光是能够选择操作系统而已,而是跟linux下的lilo和grub一样,是一个操作系统引导管理器——换句话说,如果我们能在硬盘上做一个能读写NTFS的操作系统,再用boot进行引导,那么不是就可以在无软驱的情形下实现操作c盘的目的了么?在网络上找到vFloppy.exe 这个软件,它自带一个支持读写ntfs的镜象文件,并且使用简单,非常傻瓜化(详情见http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文,顺便一提新版本的yFloppy已经自带支持ntfs读写的img文件了)。然后删除3721的相关文件,重新启动后清理注册表和删除相关文件就行了。
到此,我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘!!
由于不少网站基于各种原因,在显示页面的时候都会弹出3721的下载窗口,很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。具体方法可见(http://www.yesky.com/20030416/1663721.shtml 一文)。
截止发稿为止,天缘所知不少同行网管已经在网关上做了对该地址的屏蔽,防止不知情的用户无辜受害。网络安全任重道远,还要靠大家的努力才能把一些害群之马斩草除根。
lwai 回复于:2004-08-12 18:11:21
真是爽,把个幽灵干掉,我每次是在防火墙上把这个幽灵屏蔽的
weichongli 回复于:2004-08-12 19:06:38
有没有试下replace命令?
skylove 回复于:2004-08-12 19:48:43
呵呵,那个命令也没用。它不是正在用那个文件而已,而是把读写都接管了。。。
这篇文章是因为不满3721的作风,故意一本正经地按照病毒分析写法、杀除的方式来叙述的。
当时大概是4月~5月间写的,可惜后来yesky因为和yahoo合作,而yahoo又买了3721,所以这文章就不准发。。。55555,今天看到有人说sp2升级的疑难,才想起这文章——既然写了,不如发出来。
weichongli 回复于:2004-08-13 08:36:25
我也讨厌3721,不过好在用IE的时候都很少,通常都是用mozilla 1.6的.
maowei 回复于:2004-08-13 08:56:34
把下面的做成3721.bat文件。新装机器就没问题了。
@echo off
if not exist hosts goto WNT
echo 127.0.0.1 cnsmin.3721.com >;>;C:\windows\hosts
echo 127.0.0.1 www.3721.net >;>;C:\windows\hosts
echo 127.0.0.1 www.3721.com >;>;C:\windows\hosts
goto END
:WNT
echo 127.0.0.1 cnsmin.3721.com >;>;%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.3721.net >;>;%systemroot%\system32\drivers\etc\hosts
echo 127.0.0.1 www.3721.com >;>;%systemroot%\system32\drivers\etc\hosts
:END
echo 3721屏蔽成功!
pause >; nul
cls
chenzs 回复于:2004-08-13 11:29:13
3721现在好象成了一个过街老鼠了,前几天3721的一个代理也是打电话到公司来推销网络实名,没理他。
weichongli 回复于:2004-08-13 12:24:39
3721缺钱花,
3721忘了中国老祖宗的教养,
中国的传统文化有许多精华,也被3721也丢掉了.
typ520 回复于:2004-08-15 09:17:04
有光明使者这么优秀的管理员,我等受益非浅,在此谢过。
风 子 回复于:2004-08-15 10:57:25
哇,太好啊,最近被3721搞死了,thanks
skylove 回复于:2004-08-15 17:10:24
文章虽带有玩笑的语气,不过其中提到的通过在winnt/system/driver目录下挂载xxx.sys的驱动hook来改写windows读写的方式,如果真的一旦被病毒作者利用起来的话——那么所有的杀毒软件都无法在windows中将其杀除,而谁又能保证每台机器一定会有软驱呢???
假设在不久的将来,有一种情形的发生:
1.xx蠕虫病毒也在/winnt/system/driver下生成一个virus.sys文件,该virus.sys文件的作用同样是改写windows i/o ,保护该蠕虫所必要的文件和注册表键值不被删除;
2.该蠕虫在windows平台下的表现为大量发包占用带宽,大量消耗用户cpu,通过多端口/多漏洞试图朝其他机器传播感染;
3.该蠕虫在windows下有2个进程,且互相监视,如发现某一进程死后,另一进程自动再次执行该进程;
面对如此的情形,在一台没有软驱的win2k机器上,要杀除它。。。或许就比目前我们手工杀除病毒的一些传统方式要难上很多了。。。
这样的病毒会出现么??? 理论上它是会的。。。
第1点,3721已经实现了;
第2点,目前不少病毒都做到了;
第3点,更是很简单就能做到;
如果真有了这样的病毒,会给本来就不擅长杀毒的普通用户带来更大的麻烦,而如果正好用户的机器没有软驱or可引导工具光盘呢????
因此,在那篇半带玩笑语气的文章中,有一点是真的——如果真出现了以基本驱动方式挂hook,改写windows i/o的病毒,那的确会是windows病毒发展史上的里程碑。。。不知道我在这里的猜测,会不会成为未来网络管理员的噩梦。。。
weichongli 回复于:2004-08-15 19:33:55
3721打开了一个潘多拉魔盒,早晚有一天,3721全体股东会暴毙而死,
忏悔吧,乞求上帝的原谅吧,阿门!
skylove 回复于:2004-08-15 20:26:50
关于对未来病毒的悲观态度,其实3721是起了一个启示作用——毕竟,的确在研究3721的解决方法前,我没留意到在windows会对system/driver下的驱动都加载上——而因为又没有类似win98一样实模式的dos,所以想删除system/driver下的文件变得有点困难——虽然有replace这样的命令,但是接管了部分i/o的3721已经能做到将自己的关键文件/注册表键值保护起来。。。如果真是病毒,制造更大的麻烦也是在很容易的事——比如将replace命令删除掉,比如将vfloopy这样的程序给破坏掉。。。
说实在的,3721那接管i/o的技术真的不错,大家该感到幸运了,他们是偶尔做强买强卖的生意而已,还好不是捣乱的crack利用这技术。。。
quintin 回复于:2004-08-15 21:02:08
前几天转个2000的机器,也出现了这个问题,以前是98的没遇到过,现在知道了,谢谢谢谢
simonzhan 回复于:2004-08-16 02:16:08
强贴!
hawkli 回复于:2004-08-16 17:50:59
的确,3721是很过分的,这么多年来,我每次看到它都要点否,烦,偶LP有一次趁我不在,点了是,我火大死了,半天都没搞掉它,后来选了XP的恢复向导返回到前几天才解决了。
skylove 回复于:2004-08-16 18:30:06
记得看看前面提的杀除方法
我总预感以后有病毒会同样地保护自己不被删除。。。这技术肯定会被利用的
就不知道是什么时候被用了。。。也许明天,也许明年。。。也许到时候windows会变得更安全了呢???也许吧。。。吃饭去了
悠闲的猪 回复于:2004-08-17 10:23:43
小生受益匪浅呀:)努力把楼主说的东东搞出来呀!!
weichongli 回复于:2004-08-17 12:17:04
现在发生了一件极其可怕的事情!
我在IE里点工具栏上的搜索按钮,提示的居然是3721!
现在IE一直不大稳定,动不动就毫无提示地全部自动关闭,
我要起诉3721,还要起诉金山,居然在升级包里夹带3721病毒,
黑吃黑啊!
lomio 回复于:2004-08-17 12:26:10
呵呵,我老早就在IE里面把3721和BAIDU,CNNIC这些东西全他妈的屏蔽了。这些东西给普通用户用是方便,但对于个性用户来说,垃圾。
江南大米 回复于:2004-08-17 12:42:11
有个免疫补丁好像能做到不用安装,原理差不多吧
jrlee 回复于:2004-08-17 15:50:07
是个讨厌的东西,对不熟的用户防不胜防,
一般直接在防火墙里干掉它。
zhangshoug 回复于:2004-08-18 14:51:52
还是在防火墙上屏蔽它省事。
alpha_sun_ux900 回复于:2004-08-19 14:00:03
真是高手,谢谢。
tuzhiwei 回复于:2004-08-19 16:18:18
客观的说,3721也有它的可取之处,好多恶意的网站改了IE,它都可以再改回来,这点方便了不少初入门的人,如果你的朋友都叫你去帮忙他改回IE的话,你跑都跑不过来,如果真像楼主所说的病毒的话,那它就是以毒攻毒,成了百毒不侵了,再说装3721,不会消耗很多的资源的,一些人说的那些情况多半是又装了其它的什么东东,才会耗掉系统的大量资源,我试过,新装的系统+3721,系统没有什么影响,一点也看不出来哪里慢了,这是真的,不信可以试试,再说装什么不消耗资源呢?我想没有不消耗资源的东东!
scout2004 回复于:2004-08-19 17:47:23
引用:原帖由 "tuzhiwei"]客观的说,3721也有它的可取之处,好多恶意的网站改了IE,它都可以再改回来,这点方便了不少初入门的人,如果你的朋友都叫你去帮忙他改回IE的话,你跑都跑不过来,如果真像楼主所说的病毒的话,那它就是以毒攻毒,成?.........
发表:
这家伙百分百是3721的枪手来的.你装一个玩玩啊.KAO.
weichongli 回复于:2004-08-20 11:59:02
引用:原帖由 "tuzhiwei"]客观的说,3721也有它的可取之处,好多恶意的网站改了IE,它都可以再改回来,这点方便了不少初入门的人,如果你的朋友都叫你去帮忙他改回IE的话,你跑都跑不过来,如果真像楼主所说的病毒的话,那它就是以毒攻毒,成..........
发表:
你.........那你就用呗,也是你的自由,
反正偶不用,自打用了3721之后,偶IE就慢的没边儿,而且还总是在我狂按鼠标的时候一大片窗口一起同时消失.....
jiantao 回复于:2004-08-20 13:28:33
不能完全删除,有错吗?
能完全缷载的程序又有多少呢?
-----------------------------------------------------------------------------------
上一些网站的时候3721弹出来是慢一些,不过其它的网站插件也同样慢。。。
我不用,但身边的初级使用者也有在使用,就事论事,3721的个别功能确实也可以以,过滤广告,保护IE。
你不能指望每个人都和这里的高手一样,这玩意用不着。
当然我不用。3721个别地方做的是不好,这一点也是明了的。
tangningtnt 回复于:2004-08-23 11:41:49
楼主在文章最后说的ie中屏蔽掉3721的地址
"http://www.yesky.com/20030416/1663721.shtml"找不到
skylove 回复于:2004-08-24 08:00:32
哦,yesky的技术部是一帮白痴在做,他们完全把yesky当实验场一样地用。 那文章写得早,你现在可以直接用3721免疫程序搞定它,你google一下吧
shitou850 回复于:2004-08-24 08:55:34
那个 帮3721说话的家伙tuzhiwei才注册的 ,就发了一片帖子而已!
3721那点功能还不如不用,还有什么中文域名,都让它搞烂了!
说它是糖衣炮弹也是对它太宽容了,简直不把用户放在心上
JohnBull 回复于:2004-08-25 14:12:13
I defined 2 zones:
3721.net
3721.com
in our DNS server....
:D
ericfung 回复于:2004-08-27 14:08:55
只有没脑袋的才开发3721等垃圾,搞到我们的机器不稳定。严重声讨!!
我把
3721.net
3721.com
baidu.com
cnnic.cn
cnnic.net.cn
放进了受限制的站点,以后就不会弹出来了。
呵呵
lnx 回复于:2004-08-30 10:11:37
楼主的文章是一般清除病毒的思路,虽然说结合了些工具,但如果能再结合这几个工具,想必不用这么麻烦(我曾清过它,主要是它的进程优先级较高,在WIN2K的任务管理器中不能结束):HiJackThis、OLE/COM object viewer、procexp
VinegarFish 回复于:2004-08-30 23:22:10
同意,谁的网站未经同意乱在我的机子上装东西,都放入受限站点
谁喜欢用那么反应慢,又消耗资源,把人都想像成弱智的东西。
sniper 回复于:2004-09-01 10:59:49
神啊,赐我一个工具吧,手动的步骤太麻烦啦。
PrayerLee 回复于:2004-09-01 14:45:23
3721算是一个病毒吧??
居然在中国会有一家专门的公司来研制病毒。
居然在中国会允许这样一家公司存在。
我无语。。。
PrayerLee 回复于:2004-09-01 14:51:11
想问一下,怎么在防火墙下面屏蔽掉3721??
wisi 回复于:2004-09-02 15:20:33
引用:原帖由 "tuzhiwei"]客观的说,3721也有它的可取之处,好多恶意的网站改了IE,它都可以再改回来,这点方便了不少初入门的人,如果你的朋友都叫你去帮忙他改回IE的话,你跑都跑不过来,如果真像楼主所说的病毒的话,那它就是以毒攻毒,成了百毒不侵了,再说装3721,不会消耗很多的资源的,一些人说的那些情况多半是又装了其它的什么东东,才会耗掉系统的大量资源,我试过,新装的系统+3721,系统没有什么影响,一点也看不出来哪里慢了,这是真的,不信可以试试,再说装什么不消耗资源呢?我想没有不消耗资源的东东!
发表:
客观的说,卖淫小姐也有它的可取之处,好多大龄的没有伴侣的*欲旺盛的青年,它都可以满足的,这点方便了那些*欲旺盛的人。如果*欲旺盛的青年都去打手枪的话,裤衩洗都洗不过来。如果卖淫女真的像大家说的那么淫贱的话,那它就是业务素质过硬,成了服务优良了。再说和卖淫女XX,不会很危险的。一些人说的那些情况多半是又和其他卖淫女玩其他高难度体位,消耗了大量体力。tuzhiwei 和卖淫女XX试过,处男+卖淫女,没有带TT,也没有感染AIDS,一点都看不出和良家少女太大不同。这是真的,不信可以试试。再说和谁××没有危险呢,我想没有绝对安全的**行为。
干,tuzhiwei的逻辑,是不是很好玩啊,呵呵。就因为有部分大龄无伴侣青年,就允许卖淫女存在么?那么已婚男人咋办,卖淫女能保证不去骚扰他们么?事实就是,那丫的3721不关你是未婚的已婚的少男还是老爷爷,看到你的电脑没有装上就使出浑身结束来纠缠,来,装一个吧……纠缠的还很厉害
blues1205 回复于:2004-09-02 21:03:42
过瘾 过瘾 很久没有在这里看到这么精彩的帖子了
建议加精
aka 回复于:2004-09-05 11:17:05
引用:原帖由 "wisi" 发表:
客观的说,卖淫小姐也有它的可取之处,好多大龄的没有伴侣的*欲旺盛的青年,它都可以满足的,这点方便了那些*欲旺盛的人。如果*欲旺盛的青年都去打手枪的话,裤衩洗都洗不过来。如果卖淫女真的像大家说的那么淫贱..........
精辟,不过还是尊重一下性工作者的工作权利.....人家要吃饭的嘛。
可以有一个斯文的例子:窃以为麦当劳是完全垃圾食品,可是大把人喜欢啊。
还好,我们还有方法杀掉这个东西,于是群起杀之!
不像杀的就算了,您养什么死鱼烂蛤蟆宠物都不要紧嘛,自己舒服就好啦
just_dome 回复于:2004-09-14 14:10:39
靠,太爽了,早就看3721不爽了,终于看到一篇出气的了!
巧克力牛奶 回复于:2004-09-14 15:56:26
引用:原帖由 "PrayerLee"]想问一下,怎么在防火墙下面屏蔽掉3721??
发表:
我也不太明白,大家谁给讲讲啊??
巧克力牛奶 回复于:2004-09-14 17:41:24
我想问两个问题:
3721升级是用IE,那么腾讯TT,或是MSN,能阻碍它升级是吗?(后两者也属IE吗?对不起,我真的刚接处网络不久。什么都不晓得哩~大家不要笑我,麻烦给解释一下!)
还有就是文章提到用删掉CnsMinKP.sys文件的drivers1代替drivers,怎么代替呢?能不能讲清一下步骤呢?拜托了!
“有软驱的朋友可以利用软盘启动的方式来删除该文件”,那该怎么弄呢?
什么是软驱呀?怎么就知道自己有没有了?我是三星笔记本P30的,有没有大家晓得的呀?这款有没软驱呢???
(我只会用电恼画画的……其余这些真是没脑子,大家帮帮我吧……)
思一克 回复于:2004-09-15 13:19:50
3721是垃圾,说是病毒已经抬举了
巧克力牛奶 回复于:2004-09-16 09:49:31
耶?你们这些高手没有一个帮我解答一下的吗?怎么这样呀?谁都有菜鸟的时候是不是啊?我知道你们简直是太高了~OK,有没有知道菜鸟讨论区的告告我啊?
onebuyone 回复于:2004-09-16 17:06:58
分析的很透彻!好呀!
凤凰涅磐浴火重 回复于:2004-09-17 01:51:44
谢谢!
fanyf 回复于:2004-09-17 22:46:26
前几天我还遇到一个和3721相关的事件:
公司有一台测试用的电脑,我新装了win2k,还没来的及用就出差了,回来后同事说系统坏了,我还挺纳闷。打开一看,蓝屏停止。仔细一看信息,提示说CnsMinKP.sys无法加载,系统停止!
:evil: 岂有此理!什麽东西嘛!就因为3721这破玩意儿不能加载就不让操作系统起动?
我到安全模式下,把注册表清理了一下,ok,系统正常起动!
由此可见这鬼东西有多可恶!所以呐,坚决删无赦!
Intranet 回复于:2004-09-21 11:54:44
好貼
atwo 回复于:2004-09-21 15:42:17
封杀3721,小小软件搞定!
感谢作者!!!
下载:
[u]http://dl.pconline.com.cn/html/1/3/dlid=13133&dltypeid=1&pn=0&.html[/u]
不知道为什么找不到cnsminkp,3721又升级了?
fishersteven 回复于:2004-09-21 20:07:04
楼主真强! 透彻 谢谢
JianhuaPeng 回复于:2004-09-21 20:13:48
--------------------------------------------------------------------------------
我的UNIX系统清空BIOS 后就找不到 网卡了!!请高手回复!!小弟谢过!!
fuxingjun674 回复于:2004-09-26 11:09:09
引用:原帖由 "风 子"]哇,太好啊,最近被3721搞死了,thanks
发表:
我的机子就是中的这样的病毒啊,我搞不掉啊,哪位老大做一个这样的软件来帮我们来下掉这个3721这个鬼东西啦,在这里谢谢啦!
xchen301 回复于:2004-09-26 16:56:46
非常实用,收藏先,
skylove 回复于:2005-11-02 02:27:21
网络实名软件使XP无法正常启动
http://www.enet.com.cn/article/2005/1019/A20051019463387.shtml
这是2005年10月19日的消息,这个婊子软件的最新恶行。。。
不喜欢用enet的,随便上一个搜索引擎,用“cnsMinKp.sys xp 无法开机” 作为关键字,能搜索出一大堆文章来,还都是在大站点上登出来的消息。。。
prc 回复于:2005-11-03 14:36:39
楼主很强
tianrenly 回复于:2005-11-08 17:05:03
另人又爱有恨的东西!
ipaddr 回复于:2005-12-13 11:29:49
3721就是一垃圾。
举家流浪 回复于:2005-12-17 12:58:24
投诉他们:
客服中心联系方式
电话:010-65833721
传真:010-65833721-6 / 65815100
(服务时间:周一至周五9:00-18:00)
--------------------------------------------------------------------------------
实名产品付款方式
邮局付款
单位名称:北京三七二一科技有限公司
单位地址:北京市朝阳区光华东路甲8号和乔庭园大厦B座6层
邮 编:100026
备 注:请勿使用密码汇款方式
中国银行付款
开户名:北京三七二一科技有限公司
开户行:中国银行北京市分行光华路支行
公司帐号:802010314908091001
招商银行企业网上银行
开户名:北京三七二一科技有限公司
开户行:招商银行北京市分行建国路支行
公司帐号:2681073210001
--------------------------------------------------------------------------------
搜索竞价付款方式
招商银行企业网上银行
开户名:北京三七二一科技有限公司
开户行:招商银行北京市分行光华路支行
公司帐号:2380888510001
--------------------------------------------------------------------------------
公司地址
北京三七二一科技有限公司
地 址:北京市朝阳区光华东路甲8号和乔庭园大厦B座6层
传 真:010-65812440
邮 编:100026
网络实名:3721(http://www.3721.com)
上海办事处
地址: 上海延安西路726号华敏翰尊5楼A座
邮编:200050
传真: 021-52385255
广州办事处
地址: 广州市天河北路233号中信广场1004室
邮编:510613
传真: 020-38911345-601
成都办事处
地址: 成都市人民南路一段86号城市之心23楼K座
邮编: 610016
传真: 028-86381029
chunhui_true 回复于:2006-01-18 17:08:47
引用:原帖由 lwai 于 2004-8-12 18:11 发表
真是爽,把个幽灵干掉,我每次是在防火墙上把这个幽灵屏蔽的
请问如果在防火墙上fuk 3721的话。大致怎么个设置方法?
谢谢!!
wjj9912130 回复于:2006-01-19 19:01:46
对3721我有同大家同样的感想。杀。。。。。。
5楼的同仁的做法真是一个字,强啊
佟儿 回复于:2006-08-16 10:11:01
误闯进来了
lwx1982 回复于:2006-08-16 11:24:17
感谢
skylove 回复于:2006-08-16 12:31:07
欢迎各位支持我2年前的帖子。。。
追忆逝水流年 回复于:2006-08-17 17:11:35
引用:原帖由 lnx 于 2004-8-30 10:11 发表
楼主的文章是一般清除病毒的思路,虽然说结合了些工具,但如果能再结合这几个工具,想必不用这么麻烦(我曾清过它,主要是它的进程优先级较高,在WIN2K的任务管理器中不能结束):HiJackThis、OLE/COM object viewer、procexp
总算看到个比LZ更高明的办法。我昨天也中了类似的病毒,NTFS分区,用深山红叶的PE盘启动以后,进入C盘直接删的病毒文件,有8,9个之多,一会发上来。
追忆逝水流年 回复于:2006-08-17 17:14:11
晕菜,居然是2年前的帖子,我说呢。
追忆逝水流年 回复于:2006-08-17 17:32:44
昨天中的是这个病毒,因本配置低,打补丁后慢,就没打,在浏览一个网站是中的。奇怪的是刚上此网时有mcafee报警,且删掉了病毒生成在%windows%\目录下的文件,
我看删掉了也没在意,就继续浏览此网的其它网叶,不知为何在浏览到第10页时,两样的病毒, mcafee居然没报警,也没动作,就这样,我中招了。
任务管理器里有2个smss.exe进程,其中一个是以系统用户运行的,一个是以我当前登陆用户运行的,系统的那个是正常的,占300来K的MEM,病毒生成的smss.exe,占27M还是2.7来的,忘记了。此进程用任务管理器的结束功能是结束不掉的,而不kill此进程,做其它都是徒劳的。
试了几次,后来干脆用深山红叶的启动光盘(PS:此光盘可以从光盘上运行WINXP系统,强)启动了机器,查找和病毒文件创建时间相同的所有exe和com文件后,删之。
重启后发现exe关联不正常,正好此光盘上有个瑞星的注册表修复工具,将其后缀改为.com后,运行之,恢复exe关联,系统正常了。
附:网上杀此病毒的资料
1.灭掉进程smss.exe(这一步我没做到,任务管理器无法结束此进程,安全模式也不行。不知第三方工具是否可以做到)
(如果不能结束此进程,只能考虑用PE盘,启动光盘上的WINXP系统后,删之)
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,修改为“Explorer.exe”。
在进行过第二项操作后,exe关联出现了错误,每当开打exe执行文件的时候就会出现“执行操作关联”的对话框,因为我的系统里以前下载过一些系统优化的注册表文件,执行修复exe后还是不行。于是点开windows自带的搜索程序搜索regedit.exe,将c:\windows\ 底下的regedit.exe修改后缀regedit.com。(还有一个方法就 如果“文件夹选项”能打开的话,就在“关联里面”添加exe关联“应用程序”),接着就可以继续进行修复工作!
追忆逝水流年 回复于:2006-08-17 17:38:42
个人觉得“深山红叶袖珍PE系统工具箱正式版”非常不错,可以帮很多人修复系统,恢复数据,所以推荐一下。
[url=http://soft.cnemule.com/sys/shenshanhongyexiuzhenPExitonggongjuxiangzhengshiban.html]http://soft.cnemule.com/sys/shenshanhongyexiuzhenPExitonggongjuxiangzhengshiban.html
文名称:深山红叶袖珍PE系统工具箱正式版
资源类型:ISO
版本:V20
发行时间:2005年07月30日
制作发行:深山红叶
地区:大陆
简介:
深山红叶袖珍PE系统工具箱说明 V20 正式版 2005-7 深山红叶制作
[已通过安全检测]毒霸2005 2005-07-29.17
[安装测试]光盘运行无须安装
服务器:VC.1
共享时间:上传到2G 每天补源3小时
严正声明:
本光盘仅供光盘制作和系统维护爱好者的技术交流与研究之用,不得用于任何商业场合,所有相关软件仅供安装、测试、学习研究之用,不得用于任何版权法限制之外的场合!光盘原作者并不同意、也未授权任何人以任何方式私下以非研究交流的方式对外传播!对于因使用、传播、修改本光盘带来的任何直接或间接影响和损失人,制作人不负任何直接或连带责任!同时,因本光盘仅供小范围交流研究,因此制作人不负责提供任何级别的技术支持!
软件名称:《深山红叶袖珍PE系统工具箱正式版》
版本号: V20
软件语言: 简体中文
运行环境: Win9x/Me/NT/2000/XP
软件大小: 116MB(压缩后)
软件分类: 国产软件 / 注册版 / 系统工具
---------------------------------------------------------
V20 正式版 MD5: ★全面修正★
baa4d47f515fed9b43ae914746a584ba CoolMiniPE.iso
baa4d47f515fed9b43ae914746a584ba CoolMiniPE.iso
深山红叶袖珍PE系统工具箱是一款高度集成的袖珍光盘工具系统,其带有独立的PE系统,支持 USB 2.0/SCSI/Netcard 等设备,支持上网功能,集成极其全面的系统维护工具,如修改系统管理员口令、硬盘修复、文件救护等,提供卓尔 Infogate 免费在线杀毒等多套在线杀毒方案;制作时间历时两年多,经过了 20 个版本的改进更新,是专供高级系统维护和光盘制作爱好者之间交流的一个系统工具光盘。
V20 正式版之前,在极小的范围内进行了测试,但被网络上的朋友私下泄漏。因此,只有这个7月26日以后的版本才是真正的 V20 正式版(7月26日在无忧论坛内部几个人的范围内进行了短时间的测试)。正式版本的PE桌面是红色基调,带有 NO JAPAN NO WAR 的字样。最终定型版本内的文件日期为 8 月 1 日。
有关 V20 测试版以后的修正情况请看后面的 V20 测试版以后的更新说明。
本工具光盘的特色如下:
一、最全面的系统环境支持
=======================
① 光盘引导到Windows PE 环境
② 光盘引导到 MS-DOS 环境
③ 安装到硬盘的硬盘引导模式
④ 标准Windows环境的全功能调用
二、极其方便灵活的菜单系统
=========================
① Windows PE 环境的工具菜单
② 普通Windows环境下的光盘工具菜单
③ 普通Windows环境下调用 PE 环境下的工具菜单
④ 多重引导界面的工具菜单
三、极小的体积与极多强大功能的完美结合
====================================
① 标准 Windows 环境下,集成有多达 160 多种系统维护功能,囊括了安全设置、安全检测、安全扫描、注册表相关、系统修复、启动管理、系统调整、系统优化、加密解密、磁盘工具系列、数据恢复、网络检测、网络服务、网络其他相关工具、输入法、资源管理、卸载清除、硬件检测、BIOS相关、驱动程序相关、光盘及刻录相关等 20 多个类别的超强实用功能!
② Windows PE 环境下,提供 100 多种系统维护功能,支持绝大多数网卡/SCSI控制器,支持 USB 2.0,其 PE 环境下结硬盘系统的离线病毒扫描、文件管理、管理员口令设置、系统还原等超强功能,在系统遇到重大故障时,可以得心应手地药到病除!
③ 极小的体积与高度的便携性。袖珍光盘仅 200MB 左右的体积,适合多数微型光盘的刻录,可以做到随身携带,不但外观精致小巧,界面也非常前卫,非常适合光盘制作爱好者的口味。
四、光盘重要说明
=====================
① 光盘中的内容为节省空间进行了各种方式的压缩,因此某些劣质杀毒软件可能会报告有病毒(劣质杀毒软件认为只要是加壳的程序就是病毒,如果你的杀毒软件是这种情况,建议及早卸载!),其中不乏一些破解工具、网络管理之类的工具,也可能会被劣质杀软认为是病毒。但本人以人格和技术保证是无毒的!
② 刻录微型光盘时,一定要以刻录映像文件的方式,不能以刻录数据的方式把映像文件直接刻录为光盘上的单个文件。一般只需把 RAR 文件解压后的映像内容(即 ISO 文件)用刻录软件以刻录映像的方式展开到光盘中,而不能对 ISO 再次解压!再次强调:千万不要以数据文件的方式直接把 ISO 映像作为一个文件刻录到光盘!如果这样,肯定无法实现引导!刻录时建议选择光盘一次性刻录,而不建议用轨道方式刻录!
③ 本光盘仅供爱好者交流学习,作者不提供任何公开下载,对于从其他途径得到的光盘映像,本人无法保证不被进行各种修改(包括对MD5值也可能被同时修改),因此也不能保证其安全性!
五、郑重声明
=============
① 本工具箱仅供光盘制作爱好者和系统玩家交流、学习和技术探讨之用,不得用于任何商业场合!所有工具的版权归原始作者所有。
② 使用本光盘全凭您本人自愿,本人对任何人使用、传播本光盘所带来的直接或间接影响不负任何直接或连带责任!光盘中任何涉及版权的工具软件的注册许可问题由使用者自行负责解决,本光盘仅从技术角度提供相关资料,请严格按照国家相关法规学习和使用。
③ 本人不负责任何有关光盘工具的使用等的问题的解答!
④ 特别感谢深圳卓尔伟业卓尔Infogate的长期免费全功能在线杀毒!顺便说一下,我正在使用就的是卓尔Infogate的综合安全网关,整合防毒墙/防垃圾邮件/防火墙/内容过滤/泄密防范/VPN六大技术于一体,一个字:爽!希望大家支持一下国产的立体防御产品!
六、V18 以后的更新情况
=========================
……………………(以前更新情况略)
91、添加和完善了USB设备的安装;
92、添加 DOS 环境加载 ISO 光盘映像功能;
93、添加“网络猪”垃圾插件的免疫功能;
94、清除 DM 目录中的垃圾文件;
95、添加乱码查看器;
96、添加硬盘分区表修复与管理工具 PartitionTableDoctor
97、更新进程管理工具;
98、对部分菜单进行调整;
99、添加新版本流行病毒统杀工具;
100、添加 USB 设备激活程序,解决某些系统中的PE环境下 USB 设备不能即插即用的问题。
101、添加自动运行项目全能分析器;
102、添加McAfee流行病毒杀除工具。
103、更新极点输入法平台;
104、更新IE插件免疫工具;
105、更新TotalCommander到6.52正式版;
106、添加极点和拼音加加的安装程序,可方便地安装到硬盘系统中使用;
107、添加对 Dudu 加速器的免疫;
108、将Totalcmd改为只读直接运行,不再在虚拟盘上运行(仅仅多出400K);
109、去除对绝大多数人无用的NBSI服务器数据漏洞扫描工具;
110、添加文件强行删除/替换工具,以方便手工杀毒时使用。
110、升级Winrar;
111、结合几次实际使用的体会,调整了光盘菜单,分类更明晰,使用更方便;坚持单页菜单。
112、采用最新版本Easyboot的Loader.bin文件以增强引导兼容性;
113、添加 AMI 类型通用 BIOS 刷新工具;
114、替换技嘉 BIOS 写入工具为通用型 Award BIOS写入工具 WinFlash;
115、更新 MHDD 硬盘工具到 4.3;
116、添加漏洞扫描器,能够扫描服务器或本机现存的漏洞;
117、将DOS环境的USB驱动程序目录转移到虚拟A盘,以方便使用USB移动光驱;
118、去除中看不中用的虚拟软驱Vfloppy;
119、恶意垃圾插件免疫工具中增加对“网译通”等垃圾插件的免疫;
120、升级Winimage到最新版本,并进一步减小文件体积、修改了默认设置不搜索FAT32分区地回忆启动速度;
121、修改PE浮动菜单为自动隐藏模式,以避免对操作时的干扰;
122、在PE工具栏上添加三只重要工具图标按钮;调整了工具栏的按钮排列;
123、加入系统后门账户检测工具,可方便检测隐藏或克隆的管理员权限账户;
124、升级 MyUninstaller;
125、恶意垃圾插件免疫工具中增加对“网易搜霸”垃圾插件的免疫;同时优化免疫效果;
126、将Everest嫁接为企业版本,可检测的硬件更多;
127、添加远程桌面 3389 端口配置工具;
128、更新子网掩码计算器为特别多功能版;
129、添加《Apache WEB 服务器安全配置》资料,前用专门目录存放安全资料;
130、添加系统文件审计工具;
131、添加可疑文件在线扫描,可在线用十几种安全工具综合扫描可疑文件;
132、更换光盘引导菜单,界面效果更加前卫;
-----------以下为V20测试后的修改----------------
133、添加系统服务优化工具,并提供两套典型服务优化方案;
134、添加 DOS 下修改Windows 2K/XP/2003 的账户口令修改工具 NTPass(支持NTFS/FAT32分区);
135、在分区表修复工具等启动批处理中,自动判断当前系统是否缺少 Mfc71.dll Msvcp71.dll Msvcr71.dll 三个文件,并自动复制此三个文件到当前系统目录(很多程序要用到它们!);
136、修正和提高mcafee在线杀毒的稳定性和兼容性;
137、更新输入法调整工具;
138、接受peak8的意见将DOS引导模块更改为双重引导菜单,以便更好地支持USB光驱;
139、添加PC.exe这个DOS命令行环境的传统文件管理工具(处理特殊的文件名故障时特别有用);
140、升级 Totalcommander 到6.53;
141、为RegWorkshop添加两项隐藏的自动运行功能和组策略的登录注销自动运行程序的位置,并添加到收藏夹,同时将收藏夹固定为展开状态,更方便好用;
142、添加安装鼠标右键快速复制路径和快速看图(经典版本的Picaview,速度极快!)两项实用功能;
143、去除极少使用的 PQS,因为服务器一般不会中途带数据调整分区的,也不建议这么做!
144、采用 xiamenatc 的建议,改用 HwPnp.exe 程序来激活USB和检测盘符(分别放到硬件检测和系统配置菜单中);
145、根据网友建议,在“系统小鬼头”和“系统DIY”之间选择后者作为补充工具;
146、升级Windows优化大师;
147、添加多功能 Hash 口令破解工具,支持MD4 hashes、MD5 hashes、MySQL hashes、SHA-1 hashes、星号密码的工具,支持暴力破解字典破解分布式破解等多种手段,速度很快,普通计算机上面每秒可达数百万口令,还可以用来它来生成密码和字典!压缩在MD5破解工具压缩包内,以便共享MD5现成的字典文件。
148、为高级注册表编辑器添加防火墙策略位置到收藏夹,可方便检查和管理这个潜在的危险区域(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy);
149、将局域网口令嗅探工具更换为更加好用更加灵活的PacketSniffer,并专门汉化和优化程序文件;
150、应网友 siwun 建议,添加硬盘修复工具 THDD.com,作为 Hddreg 的补充;
151、升级 WinRAR 到 V3.5 β5;"Repair" 命令现在能够重建压缩包中包含高精确文件时间或加密文件数据的压缩包文件头结构,即使它们没有修复记录。 以前 "Repair" 命令仅对包含了修复记录的压缩包有效。
152、对 Radmin 的控制端进行二次加壳处理,以避免卡巴斯基等的查杀(为什么管理端也要杀?!);但对服务端不作任何处理,以免被人恶意利用;
153、更新SAFEXP安全设置工具;
154、改进针对 3721、CNNIC 恶性插件病毒的免疫能力;
155、添加袖珍RTF&DOC编辑器,随时随地可以打开和编辑 RTF 和 DOC 文档了!
156、更新 ImeTools 到 2.6.2;
157、升级 Hard Disk Manager Professional 到最新汉化版,支持的功能更多了;对主程序进行修改,使之适合光盘运行,并同时支持标准Windows环境下直接运行;
158、修正\PEXP\WINSXS\MANIFESTS\X86_MICROSOFT.TOOLS.VISUALCPLUSPLUS.RUNTIME-LIBRARIES.RESOURCES_6595B64144CCF1DF_6.0.0.0_ZH-CN_5E1FBA9C.MANIFEST(少了ST两个字母,感谢 dfowe 提醒);
159、解决驱动精灵启动时找不到每日提示信息的错误;
160、改进驱动精灵的体积大小,去除任何时候都可能过时的硬件数据库(反正使用其自动在线升级驱动程序功能时,肯定要临时升级数据库的,保留默认旧数据库没有任何意义),精简体积 1MB 多!
161、添加MSCOMCTL.OCX/COMDLG32.OCX等程序控件到PE系统,以兼容更多软件;同时,如果标准Windows环境报告缺少这些文件,也可以在深山红叶PE系统中提取!
162、更新 Fport.exe 到 2.0 版本;
163、加入“扩展外部命令参考”到两套菜单中,以方便高级用户使用时参考;Windows环境自动运行菜单中去除“★”的自定义菜单接口,改为“打开扩展外部命令参考”(反正光盘已经没有什么空间自定义了);
164、用 BS2PPCopier 替代 CDRollor 以修复光盘数据;
165、更换超级U盘修复工具(已简单汉化);
166、升级CPUZ V1.29;
167、进一步改进垃圾插件的免疫能力,可以由用户自定义要免疫的垃圾目录或文件了!
168、升级 Mhdd 到 V4.5;
169、添加两种形式的网页(文本)加、解密工具页面,检测网页中加密的内容有随手的工具可用了;
170、新增大量恶意插件免疫项目;
171、增加对Fonts目录的病毒的免疫能力;增加对互联星空病毒的免疫;
172、添加笔记本系统状态综合检测工具 mobmeter(系统温度/硬盘/电池等);
172、更新极点中文平台到最新版本 V4.4,同时更新深山红叶词库;
173、添加进程执法官无忧内部特别版这个牛程序;
174、添加“闪盘数据后台恢复”即FlashDishThief(闪盘窥探者)工具(后台自动复制闪盘文件到硬盘!),为避免敏感问题,把它放入数据恢复类别而不放入破解类别。
175、升级“注册表关键键值修复”工具,新版本功能极其强大方便!
178、添加隐身代理工具HideMe,根据没边浏览器去除垃圾信息改造而来!
179、添加最常用的压缩格式RAR的修复工具RARRepair;
180、升级 Winpatrol到 9.5.0.1;
181、加入Windows XP SP2线程数更改(如将10改为50);
182、用 RealVNC 替代 Radmin,体积更小,用法更灵活(可反向侦听、支持浏览器控制),不会被杀(卡巴斯基也不杀它)!
183、添加系统外壳扩展检测工具,所有外壳扩展一览无余!
184、更改rkdetector的运行方式,修正运行后屏幕信息不能停留显示的BUG;
185、升级Protected Storage PassView到1.62,并去除语言文件(不需要了);
186、升级自动运行项目查看器 Autorus 并汉化(新版本更加方便了!)
187、加入DocRepair这个Word文档修复工具,某些情况下非常有效的;
188、使用NTBoot.exe添加向裸盘安装PE的功能(感谢Gandalf);
189、采用无忧论坛 newnet 优化的 TXTSETUP.SIF,体积减小到 78K;
190、升级 BadCopy 到最新汉化版本;
191、升级 Autoruns、Process Explorer 到最新汉化版本;
192、添加RegWorkshop 中新的自动运行位置;
193、加入端口哨兵 Attacker 以解决本机指定端口的监视和报警问题;
194、为DOS和PE双平台的 Ghost 设计了傻瓜式使用向导,支持分卷、最大压缩比、按扇区强行克隆等选项;
195、再次将远程控制工具换成 Radmin,但经过了彻底改造,不会被卡巴斯基杀掉,同时具有隐蔽性和伪装性(不可乱用!),使用也更加方便了!
196、去除鸡肋的“流行病毒统杀工具”!
197、添加小巧实用的“飞鸽传书”文件共享工具。
------------以下是V20修正版的更新--------------
198、对多个工具进行全面更新。
199、修正无忧论坛中爱好者报告的系列已知问题(十多项小BUG的修正);
200、添加NT系统引导修复工具,并采用2003的引导文件以保证全面兼容;
201、修改Radmin的端口等的配置更改方式,使之能够修改后立即生效;
202、更新Everest数据库;
203、添加Opera常用收藏夹;
204、为与以前的表示区别,最终定型完美版本文件日期为2005-08-1,文件时间为 09:18:00,以纪念建军节和9·18!
skylove 回复于:2006-10-08 09:44:44
引用:原帖由 追忆逝水流年 于 2006-8-17 17:11 发表
总算看到个比LZ更高明的办法。我昨天也中了类似的病毒,NTFS分区,用深山红叶的PE盘启动以后,进入C盘直接删的病毒文件,有8,9个之多,一会发上来。
记得我写的时候,好像香山红叶。。。有没有了?
qintel 回复于:2006-10-08 13:00:58
:em06:不晓得香山红叶。没看清楚是N年前的帖子。
|
