- UID
- 9757
- 积分
- 0
- 精华
- 贡献
-
- 威望
-
- 活跃度
-
- D豆
-
- 在线时间
- 小时
- 注册时间
- 2002-9-10
- 最后登录
- 1970-1-1
|
楼主 |
发表于 2005-6-28 08:02:27
|
显示全部楼层
[讨论]:3721这个助手,,,,,,怎么样,,,,,好还是坏,大伙来说说
大家都来说说,,,要是3721好的话来世这么多的论坛的兄弟们也不会有这么同样的夸3721吧!
这是来自小熊在线教你什么完全删除3721.exe[/COLOR]
论坛精华:3721.EXE的删除
〖本站论坛精华〗软件论坛-布穿内酷 北京
--------------------------------------------------------------------------------
[文章简介]阅读 . 人次
C:\Program Files 在这个目录下的的3721.EXE 是否可以删除........ (1168 字)
文章分类
第一步:
进入恢复控制台
登录超级管理员
(我以前反复提醒大家最好不要用克隆版的操作系统,千万不要让ADMINISTRATOR帐号空密码或别人设置的“统一”密码,这个帐户威力很大)
删掉%SYSTEM32%\DRIVERS\下面的CNSMINKP.SYS这个恶魔,这就成功了一半
删掉%SYSTEM32%下面的assist.dll、bdhelper.dll、cesweb.dll、cnshook.dll
删掉%WINDOWS%\DOWNLOADED PROGRAM FILES\下面的所有CNS开头的文件,删掉3721文件夹
删掉PROGRAM FILES下面的3721文件夹
·
第二步:
放心地重启进入GUI
开注册表编辑器,搜索以下关键字,属于3721的都删掉
3721,网络实名,cns,中文邮,cesmain.dll,helper.dll
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
{6d8f256b-6ab8-4398-8f86-1e56207db77a}
{b83fc273-3522-4cc6-92ec-75cc86678da4}
{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
{d157330a-9ef3-49f8-9a67-4141ac41add4}
{e5e4e352-6947-44ee-a420-db84efd3fe93}
{df692509-d9ef-48a0-9cd0-3aa5b81f6f68}
{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
{d157330a-9ef3-49f8-9a67-4141ac41add4}
{e5e4e352-6947-44ee-a420-db84efd3fe93}
{a5adeae7-a8b4-4f94-9128-bf8d8db5e927}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
{d157330a-9ef3-49f8-9a67-4141ac41add4}
{e5e4e352-6947-44ee-a420-db84efd3fe93}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
{b835c273-3522-4cc6-92ec-75cc86678da4}
{d157330a-9ef3-49f8-9a67-4141ac41add4}
{aab6bce3-1df6-4930-9b14-9ca79dc8c267}
{5d73ee86-05f1-49ed-b850-e423120ec338}
{ecf2e268-f28c-48d2-9ab7-8f69c11ccb71}
{fd00d911-7529-4084-9946-a29f1bdf4fe5}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
{6231d512-e4a4-4df2-be62-5b8f0ee348ef}
{d157330a-9ef3-49f8-9a67-4141ac41add4}
{b83fc273-3522-4cc6-92ec-75cc86678da4}
{1b0e7716-898e-48cc-9690-4e338e8de1d3}
对了,还有
CODELIB.DLL、ZUNINS.EXE、CDN.DLL、CDNIEHLP.DLL
第二种方法:自动+手动..
第一步:
先用自动卸载3721的软件,比如 UninstSpy 4.X 先把能杀的杀了(你会发现一些文件删了立即又复活了,不要紧,记下来,一会算总帐)
第二步:
进恢复控制台,按手动的方法,把CNSMINKP.SYS等和那些删了又复活的文件端了
第三步
重启进GUI,编辑注册表,删掉剩下的垃圾。注意3721喜欢做权限保护,所以要用管理员帐户登录,强制解除3721对关键键值做的权限保护然后删除之。
再用UninstSpy之类的软件打扫战场
最后,将带3721字眼的任何证书关进“不受信任的证书”中,或者找个免疫程序把3721关在门外。
帖子地址:http://www2.beareyes.com.cn/bbs1/2/2004/12/30_545148.htm
论坛地址:http://www2.beareyes.com.cn/bbs/2.htm
咱们一起来讨伐3721..我在弄几个来,,这个是无忧网
- 无忧网校论坛 (http://www.wuyouschool.com.cn/bbssql/index.asp)
-- 计算机技术 (http://www.wuyouschool.com.cn/bbssql/list.asp?boardid=31)
---- 3721驻留机制简单研究 (http://www.wuyouschool.com.cn/bb ... did=31&id=61203)
--------------------------------------------------------------------------------
-- 作者:lujing
-- 发布时间:2004-6-15 20:55:00
-- 3721驻留机制简单研究
3721驻留机制简单研究
简单研究了一下3721的机制,写在这里,作为心得笔记吧。大部分收获都来自
Softice + 反汇编,不一定适用于某些版本。
1. CnsMin.dll的驻留方式
3721的核心文件:CnsMin.dll
通常存在于Downloaded Program Files下。
通过注册表Run键值加载:Rundll32
CnsMin.dll, Rundll32
CnsMin.dll提供了一个函数Rundll32供Rundll32.exe调用
但这个函数只是调用一个真正的驻留函数Rundll32Main()。
Rundll32Main()伪代码:
void Rundll32Main()
{
hMutex = CreateMutex("CNSMINMUTEX");
if(ERROR_ALREADY_EXISTS)
{
CloseHandle(hMutex);
exit;
}
if(IsWindowsNT()) {
SetProcessSecurityInfo();
}
else {
RegisterProcessAsService();
}
CheckVersion();
// CnsMinKP.sys/vxd 内核驱动程序,保护3721关键文件和注册表项不被删除
ContactWithCnsMinKPDriver();
// 关键的hook,负责将CnsMin.dll注入其他进程空间
InstallCBTHook();
// 关键的hook,负责将CnsMin.dll注入其他进程空间
InstallCallWndProcHook();
// CnsMinIO.dll 负责IE地址栏下方的提示
InitCnsMinIO();
// 一些注册表信息
InitRegistry();
// 保护CnsMin.dll的钩子不被卸载或抢先
InstallGuardTimer();
CreateMsgWindow();
// Message loop
while (true)
{
GetMessage(&msg);
TranslateMessage(&msg);
DispatchMessage(&msg);
}
}
CnsMin主要是通过WH_CBT和WH_CALLWNDPROC两个全局钩子注入IE进程空间的。注入
IE后,又安装了WH_KEYBOARD,WH_DEBUG等钩子。其中对3721实现其“实名转换”
有用的是WH_KEYBOARD。这是一个本地钩子。
CnsMin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,无疑会造成
系统性能的下降。
我曾经尝试过自己安装一个WH_DEBUG钩子阻止3721钩子的调用,确实起到了效果,
立即可以使3721失效。但这种方法3721仍然驻留IE进程内,属于指标不治本的方法。
强制结束Rundll32进程,可以暂时卸载3721的驻留代码。但CnsMin.dll通过COM注册已经
嵌入IE组件中,重新启动IE后,该进程又会重新启动。
2. 3721的防删除手段
文件系统驱动:CnsMinKP*.sys 针对NT/2000/XP有不同版本(98下面是CnsMinKP.vxd)
通常存在于drivers目录。
驱动程序,由Windows启动时加载。
该驱动程序过滤了对文件和注册表的删除操作。试图删除3721的关键文件和注册表项时,
直接返回一个TRUE,使Windows认为删除已经成功,但文件和注册表实际上还是在那里。
该驱动程序还有一个黑名单(保存在某个外部文件中),阻止Windows读取其他3721的
竞争对手的插件文件。
目前还没有找到停止该驱动的方法。
删除方法:在Windows启动前(例如,98下面退出到DOS)删除CnsMinKP*.sys文件。
注意:3721具有自恢复能力。某些关键文件被删除后,其它模块会试图从3721网站重新
下载。所以彻底删除前需要断开网络连接。
3. 针对目前版本的删除步骤:
a) 运行3721自己提供的删除程序。可以删掉大部分的文件。
b) 从DOS启动,删除残存文件,如CnsMin.dll,CnsMinKP*.*等
可能的目录:Downloaded Program Files目录,Program Files3721目录,drivers目录
c) 启动Windows,进入桌面时Windows会报告一些模块找不到的错误,不用理会,删除
注册表中3721的值。
可能的位置:HKEY_CURRENT_USER: Software3721
HKEY_LOCAL_MACHINE: WindowsCurrentVersionRun
SYSTEMCurrentControlSet
另外还零散的藏了一些,用关键字查找。
在来一个三峡论坛,,,什么骂3721
以文本方式查看主题
- 三峡论坛 (http://www.sanxia.net.cn/sxbbs/index.asp)
-- 电脑网络 (http://www.sanxia.net.cn/sxbbs/list.asp?boardid=25)
---- 3721,我真的想把你骂死!!!! (http://www.sanxia.net.cn/sxbbs/d ... id=25&id=140525)
--------------------------------------------------------------------------------
-- 作者:㊣牙买加的猫
-- 发布时间:2004-12-22 14:57:00
-- 3721,我真的想把你骂死!!!!
不知道为什么,每次一开机还未进行任何操作(甚至音量小图标都还没显示出来)就自动弹出一个网页“欢迎使用3721网上助手2005”,我非常恼火!!!
使用了以下方法都不能成功解决该问题!
1,瑞星2005(正版)查杀
2,木马克星最新版查杀
3,MSCONFIG启动项正常
4,开始→程序→启动→无
5,HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
一切正常
6,系统服务项一切正常
7,C:\\Documents and Settings\\XXX\\Local Settings\\Temporary Internet Files以及CONTENT.IE5目录下的东西全部清空
我现在已经搞的焦头烂额了。还是不能解决问题!哪位达人有解决方法帮帮我啊!
-- 作者:wuku546
-- 发布时间:2004-12-22 15:20:00
--
我这里也使用了3721上网助手~,我一直没出现过你说的情况
不过我这里有个习惯,你可以试用一下,应该马上就可以解决~
你先访问http://assistant.3721.com/start.htm
点 系统加速 (在此页的页眉偏右处)然后刷出一个新页面,下面有一项 电脑启动加速 然后把里面的所有项目全部去掉,然后点 立即加速
然后把 HOST表 全部清空那样就好了~
--------------------------------------------------------------------------------
-- 作者:㊣牙买加的猫
-- 发布时间:2004-12-22 15:29:00
--
以下是引用wuku546在2004-12-22 15:20:00的发言:
我这里也使用了3721上网助手~,我一直没出现过你说的情况
不过我这里有个习惯,你可以试用一下,应该马上就可以解决~
你先访问http://assistant.3721.com/start.htm
点 系统加速 (在此页的页眉偏右处)然后刷出一个新页面,下面有一项 电脑启动加速 然后把里面的所有项目全部去掉,然后点 立即加速
然后把 HOST表 全部清空那样就好了~
拜托,你发的这个就是3721………………
我晕了。
--------------------------------------------------------------------------------
-- 作者:wuku546
-- 发布时间:2004-12-22 15:32:00
--
我知道~它本身自己的东西就可以把它自己关了啊
不信你自己去看了就晓得了
--------------------------------------------------------------------------------
-- 作者:kitty
-- 发布时间:2004-12-22 15:49:00
--
试一下这个软件绿色版:
http://nway.cn/upiea/index.htm
--------------------------------------------------------------------------------
-- 作者:kitty
-- 发布时间:2004-12-22 15:57:00
--
2. 淘宝网(taobao)屏蔽方法.
Internet选项-安全-受限站点中加入以下内容:
www.taobao.com
page.taobao.com
search.taobao.com
taobao.com
www.unionsky.cn
3. 3721插件卸载方法.
3721已经完善了他们的卸载程序,早期的卸载程序中会询问你是否保留控件过滤功能,以及保留上网助手的功能。现在的卸载程序只会询问你是否保留那些上网助手的按钮。经过确认。卸载的完整程度相当高。经过卸载以后,软件也没有产生卸不掉的现象。(卸载方法。进入控制面板,添加或删除里找到中文实名。然后点击卸载,重启。3721就正常卸载了)
4. 百度插件卸载方法.
先重新启动计算机,按 F8 进入安全模式(F8 只能按一次)之后,单击 开始 -> 运行 regedit打开注册表,进入:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run删除键:BIE 其键值为:Rundll32 C:\\WINNT\\DOWNLO~1\\BDPlugin.dll,Rundll32(如果是win98,这里的 C:\\WINNT\\DOWNLO~1\\ 为 C:\\WINDOWS\\DOWNLO~1\\)
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\AdvancedOptions\\ACCESSIBILITY
删除键:BDSEARCH,此键在 Internet 选项 -> 高级中加入了百度IE搜索伴侣的选项。
HKEY_CLASSES_ROOT
删除键:BDHlprObj.BDHlprObj
删除键:BDHlprObj.BDHlprObj.1
删除键:BDHook.BDSrchHook
删除键:BDHook.BDSrchHook.1
删除键:BDHook.URLBDHook
删除键:BDHook.URLBDHook.1
删除键:BDPlugins.Interceptor
删除键:BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\\CLSID
删除键:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\\TypeLib
删除键:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\\Software\\CLASSES\\CLSID
删除键:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\\Software\\CLASSES\\TypeLib
删除键:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Code Store Database\\Distribution Units
删除键:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
删除完注册表中的项之后,还需要删除存储在硬盘中IE搜索伴侣的文件。
删除如下文件:C:\\WINNT\\DOWNLO~1 目录下(98下为 C:\\WINDOWS\\DOWNLO~1\\ 下同)
BDEX.DLL 24576 12-25-02 11:43
BDPLUGIN.DLL 49152 12-25-02 11:44
BDSRHOOK.DLL 32768 12-25-02 11:45
BDHELPER.DLL 36864 12-25-02 11:52
BDSEARCH.INF 1507 12-28-02 9:48
以上文件全部删除,这样百度IE插件就基本上从你的计算机中全部清除了。最后,重新启动计算机,进入正常模式就不再有百度插件的侵害了。
--------------------------------------------------------------------------------
-- 作者:rock1026
-- 发布时间:2004-12-22 16:08:00
--
我也装了这个的,好象没出现楼主说的这个情况列。
--------------------------------------------------------------------------------
-- 作者:Royal
-- 发布时间:2004-12-22 16:34:00
--
下个spy-bot search搞了算了 这东西本来就是一个类似广告的程序的程序
如果真要用里面的功能 好像随便一些小软件就能搞定吧
以猫猫的能力应该摆平这东西很简单的吧
--------------------------------------------------------------------------------
-- 作者:采姑娘的小蘑菇
-- 发布时间:2004-12-22 17:15:00
--
传说广告也要升级了 SP2有政策 广告商有对策
--------------------------------------------------------------------------------
-- 作者:啦啦歌舞
-- 发布时间:2004-12-23 15:40:00
--
个人是非常讨厌类似3721/百度插件之类的东东
我明明不想安装,它还每天孜孜不倦的跳出来询问是否要安装~
--------------------------------------------------------------------------------
-- 作者:雨玲珑
-- 发布时间:2004-12-23 16:56:00
--
推荐一个网址:www.kill3721.com 上面有卸载3721的方法
--------------------------------------------------------------------------------
-- 作者:爱→已成负担
-- 发布时间:2005-1-20 23:40:00
--
哈哈,本人职业卸载3721,因为我每天要帮N个客户卸载这个玩意,建议装个通用网址的插件,在中国互联网中心下载,绿色软件国家支持,并且也有IE保护的功能,你自己选择吧,装了这个就不会弹出3721了.
http://www.cnnic.net.cn/index/0J/index.htm
--------------------------------------------------------------------------------
-- 作者:爱→已成负担
-- 发布时间:2005-1-20 23:50:00
--
进入添加删除程序里面卸载网络实名和上网助手,注意是2个插件!不要重起直接进入中国互连网中心(CNNIC)的下载中心下载中文上网官方版软件,重起,OK!告别3721.
3721因为强制很多网站与它的网站连接,所以大家一不小心就会中标,但是装了这个插件后3721对你的电脑就不起作用了.
我保证这个插件的安全性,不懂的可以来问我.我在时代天骄8楼中国企业网.13872643453
在来一贴
原贴网址:http://www.cnxz.cn/forum/viewtopic.php?t=1436
请看3721对网民的强奸
学会上网之后,原本以为到达了一个更加便利的世界,然而,这个自由便利的世界却早被3721统治。 5年时间,疯狂掠夺统治资本
3721从1998年成立至今一直在利用微软的浏览器做着自己的梦,试图打造中国人的网络标准。用了5年时间,3721通过各种渠道、利用各种手段,让他的网络实名插件遍布90%的中文上网用户,而这,就是3721用5年时间积累起的统治中国互联网的雄厚资本,3721插件,表面上是中文上网工具,实际上,背后利用简单的病毒原理控制着网民的电脑,玩弄着中国互联网和对技术不甚了解的7000万网民,5年时间,积累起了足以对抗7000万网民和的雄厚资本。用简单的技术愚弄着中国网民
这样一个打着“简单上网”旗号的3721,在程序员眼里,甚至成为了“垃圾”的代名词。到任何程序员聚集的站点,查看一下涉及到3721新闻的评论 90%以上都是对3721的攻击,甚至是辱骂,更有程序员还在个人网站中标注:“如果你是3721的支持者,不要安装本程序,本人不欢迎并拒绝其支持者使用本程序!”
首先,程序员对3721的技术一直没有持肯定态度。在程序员看来,通过客户端软件将域名和中文单词对应起来,实在没有什么技术可言。
最初,3721的软件是客户端的形式,主要通过和网站合作进行免费发放,但这种方式容易被用户拒绝或者删除。不久,3721采用了微软公开的activex技术标准,将客户端转变为了浏览器插件。应该说,许多软件均采用activex技术开发,例如flash动画播放插件、microsoft media player插件等,这种方式也无可厚非,但3721在推行这种方式时,并没有尊重用户的意愿,而是防不胜防的在各种网站上弹出骚扰对话框,强迫安装。有程序员表示:“不管软件写的怎样,有一点是肯定的,开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户,有多少是自愿安装的呢?又有多少是踩中地雷的呢。”同时,在早期的某些版本中,的确有造成用户死机的案例出现并被广泛的传播。
因此,3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除,软件中采用各种技术手段。有程序员说:“现在3721的插件越做越霸道。不止是修改注册表,而是一直在你的系统里运行,并把自己伪装起来,我曾经把cmin*.dll删除后,用winhex查还有,是改名运行的!而且如果用softice 调程序,3721的dll总会捣乱!” 3721在煞费苦心的加入各种技巧,有的技巧与木马病毒的原理一模一样,所有3721的软件在你的计算机上都开着后门,而这个后门,正是3721走进你计算机深处的通途,3721在偷窥你的时候,你,却并不知情。
用程序员群体的眼光看,用软件开发的某些技巧来强奸用户的意志,这对3721是自辱,对中国互联网是侮辱! 但是,3721为了保证其利润来源和一个无耻的梦想,他还是选择侮辱中国互联网,侮辱中国网民。
黑社会手段抢夺地盘
然而3721在圆自己的美梦时却毁掉了众多网民的基本的使用权。众多不知情的网民在无意下载3721插件后却一直在被3721的梦想所左右。3721的插件也已经开始在90%的中文上网用户打开电脑开始上网时被监控。
有懂技术的网民在论坛上发表言论时写道:这两天上某些网站不是很顺利,开始我以为是网络的问题,可是其它网站上的去很正常,因此我排除了网络原因。排除了病毒原因之后,我反编译了其电脑里唯一和浏览器相关的程序——3721网络实名插件。当看到3721程序代码的时候,他说:“当时吓出了一身冷汗。原来这个程序有个后门,所有的人都不知道存在的这个后门。而3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码,这就是屏蔽那些网站的代码,在这个代码后面,有着一长串我们熟悉的网站,有的屏蔽是生效的,有的屏蔽还没有启用。这段代码就像一个机器人一样,在这段代码后边,如果加http://www.sina.com.cn
那么新浪网将被屏蔽而无法访问。
3721为了保住他的网络实名业务,不得不保住他插件的推广量,而3721用这种手段,在威胁并强迫着许多网站为他弹插件。而许多网站却敢怒不敢言。***网站是受害者之一,而除他之外,还后一长串名单。
3271就像中国互联网的黑社会,他知道你电脑里的所有信息,他占据着本属于网民的中国互联网,把他划为属于自己的地盘,牢牢控制,即便是sina、sohu、netease、qq这样的门户大腕,慑于3721的淫威,在3721面前也是敢怒不敢言,因为就连都无可奈何。
谁来管管3721?
遍查互联网的法律,也没有任何一条对3721这种做法进行管理的规定,甚至没有任何一级管理部门和法律制定者意识到这个问题。3721在利用着自己制定的法律为所欲为,制定着属于他的游戏规则,所有人都必须俯首称臣,上贡交钱。
一方面偷偷摸摸给网民安装,一方面穷凶极恶逼迫其他网站为他弹插件,否则就“封掉”不合作的网站,毕竟,他已经有了90%的占有率,一方面,堂堂正正的大卖网络实名赚钱,甚至威胁北京大学,如果不买这个词,就把这个词卖给别人。
用三条计谋堂而皇之的赚钱,大大方方的管理中国互联网。原本互联网所倡导的平等、自由、公开的原则,在3721的公司利益面前荡然无存。原本上上下下部署严密的部门对他也无可奈何,甚至毫不知情。
中国互联网,被3721继续统治着……,谁来管管?无人来管,无人敢管.
三七二一公司已经一次次的挑战网民的忍耐力和承受能力。不断在技术上进行改进,以达到使网民无法屏蔽该公司网络实名客户端的目的。面对网民愤怒的谴责和自发的屏蔽行动,三七二一公司显然是准备不惜一切代价与这些在其眼里是”刁民“的网友战斗到底。
近日,我们再次发现,三七二一公司进一步改进了他们的”反“屏蔽技术。通过该方法,网络实名的客户端将”永久“的驻留在用户的计算机系统中,即使用户选择了卸载该客户端。除非,用户重新安装其计算机系统,否则,无法手动清除该程序。
在用户浏览网页时,弹出的安装窗口,既没有使用协议,也没有明示程序的发布公司,存在严重的欺诈行为。同时,该程序并不会在用户的计算机中建立”合法“的程序安装目录,而且用户通过一般手段,无法在自己的计算机系统中找到被安装的程序,这无疑严重危害了用户的计算机安全。
对于,三七二一这样的行为,一些法律也专家认为,三七二一公司已经严重违反了中华人民共和国国务院于 1997 年颁布实施的《计算机信息网络国际联网安全保护管理办法》中的相关条款,以及《中华人民共和国消费者保护法》的相关内容。
在此,我们仅代表那些深受三七二一网络实名”病毒“之苦的用户,谴责三七二一公司这种毫无商业道德的行为。并且,希望国家有关部门,认真对待该事件,规范市场秩序,创造良好的市场环境。
有网友认为觉得3721客户端软件已经具有部分病毒的性质了。
1 在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windowssystem32driverscnsminkp.sys。
2 cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。
3 这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll。
4 这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的windowssystem32drivers下有cnsminkp.sys ,肯定中招了。
以下是木子工作室的部分网友评论。
网友评论:
3721也不是完全无用对于家用电脑 不太里手的大多数人,他还是可以起点小做用。但是大多数人还是不太喜欢,他本身就是个木马!
网友评论:
现在的3721插件已经看不到它自己公司的名称了,越来越隐蔽了哦。
网友评论:
3721有些功能还是很好的,但就它的这种做法令人无法忍受。
网友评论:
知道了3721的原理之后,就好像时常有人看着你在干什么。心里总是别扭,害的我重新安装!!
网友评论:
把一个软件做成这样,简直是在侮辱我们这些做程序员的
这里有彻底清除这种病毒的方法;
返回顶部
论坛游客
发表时间: 2004年10月02日 09:41 贴子标题:
--------------------------------------------------------------------------------
怎样删除啊?
返回顶部
论坛游客
发表时间: 2004年10月02日 09:54 贴子标题:
--------------------------------------------------------------------------------
哪位好心人请快回答啊????
返回顶部
论坛游客
发表时间: 2004年10月29日 01:21 贴子标题:
--------------------------------------------------------------------------------
删除3721病毒的方法。。。。
晕啊,我今天也中这个东西了。。。郁闷死我了。。。。
搞了二小时终于在网上找到解决的资料了。。。。。。。。。
如果您机器中没有安装网络实名也不想安装它,可以按下面的方法做:
用记事本编辑你的WINNT\SYSTEM32\Drivers\etc\hosts
对于win2000和xp,这个文件是 X:\WINNT\system32\drivers\etc\hosts
对于win98,这个文件是 X:\WINDOWS\hosts
加入如下几行即可
127.0.0.1 download.3721.com
127.0.0.1 3721.com #3721网络实名
127.0.0.1 3721.net #3721网络实名
127.0.0.1 cnsmin.3721.com #3721网络实名
127.0.0.1 cnsmin.3721.net #3721网络实名
127.0.0.1 download.3721.com #3721网络实名
127.0.0.1 download.3721.net #3721网络实名
如果您已经中了3721病毒想删除它,当然用他自己的反安装程序没用。。
把windows\system32\drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);
重新启动机器,到安全模式下;
用drivers1目录替代原来的drviers目录
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之后重新启动机器,然后进到windows后先把drivers2目录删除了,再把run里的相关键值删了
然后再搜索注册表把所有含3721和cns字样的值和项都删了。再把c:\winnt\download program files里的相关文件删了就可以了。。。3721终于滚开了!
还有人说用这个程序可以删除3721病毒,偶没试过。。地址是:http://www.crsky.com/SoftView/SoftView_3586.html
强烈建议各大杀毒软件厂商将3721加入病毒库,至少也出个专杀工具什么的。。。
3721随意在偶的电脑里放上这些垃圾,缺德。。。偶前前后后摆弄了2个多小时才在网上找到资料把他删干静。我想说,3721垃圾,远离我的电脑,这里不欢迎你和你的网站。
详细及原文:http://blog.csdn.net/feel8/archive/2004/10/29/157461.aspx
来最后一个
跟3721中文网址对抗到底[Updated!!]
[日期:2004-05-07] 来源:原创 作者:.com.cn [字体:大 中 小]
什么是3721中文网址插件?
3721中文网址是3721公司为了方便英文不好的用户开发的一套中文网址服务。通过该服务,以往冗长难记的英文网址可以简化为一个中文的词语。
类似的插件还有百度搜索伴侣和CNNIC网络实名等。
为什么反感3721插件?
请设想这种情况:某天走在大街上,突然有人冲出来,很有礼貌地问你:先生,要不要我帮您擦皮鞋?如果你确实需要擦皮鞋,那么你可以直接响应它这个建议,并欣然接受相应的服务。相反,如果你的皮鞋是干净的;或者你就是喜欢穿脏皮鞋,那么你可能很有礼貌地说:不,谢谢。OK,我们继续逛街。还没有走出去10米,又有一个家伙很礼貌地问你要不要擦皮鞋,你仍然很有礼貌地打发了它....结果今天这次逛街,几乎每隔10米就有人问你要不要擦皮鞋。虽然那些人很有礼貌的问,并且你可以选择擦或者不擦,但是这样逛一次街下来你有没有想扁人的感觉?
没错,3721中文网址就是这么个东西。很多网站基于各种原因会向来访者推荐3721插件,在这之前网页首先要检测你的电脑种到底有没有安装3721插件,如果已经装好,那你可以直接浏览网页,否则就要等待浏览器下载安装文件,然后询问你是否安装。遗憾的是在这个检测和下载的过程中,你的浏览器都可能进入一种不响应的状态,就像死机了一样。
如果仅仅是这样也就罢了,大不了我们屈服,装一个插件就得了,可惜事实远非如此。根据众多网友的反馈,安装了3721中文网址的电脑有可能遇到各种各样的问题,以下列举一些:
大家对3721插件有什么看法?
细说3721网络实名“病毒”(含部分源代码)
作者:邱腾(chutium)
较早前发表于 http://www.yesky.com/
最近浏览一些门户网站时,会不知不觉的被安装上一个名为“3721网络实名”的
IE插件。虽说这些门户网站和3721本是好意,可是这样单方面地安装上这么一个
插件有点不妥!之所以说它是病毒,因为它同样是开机自动启动,而且虽然带来
一些方便,但是使系统运行的极不稳定,拖慢上网速度。在s8s8.net的论坛上看
到很多网友都说关机时经常会出现 explorer.exe 出错的提示。我也是同样深受
其害,仔细研究了一下,问题就出在这个“3721网络实名”上!更可气的是,可
能是由于程序做的比较仓促,完全没有卸载功能!
这里附上它的源代码,通过代码可以看出这不是木马。不过程序写的很烂……
#include "windows.h"
#include "winbase.h"
void main()
{
char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH);
char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\CnsMinIO.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\CnsMin.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\cnsio.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
}
下面将给大家卸载这个插件的详细过程。
由于这个3721网络实名插件是使用Rundll32.exe调用连接库的,系统无法终止
Rundll32.exe进程,所以我们必须重新启动计算机,按 F8 进入安全模式
(F8 只能按一次,千万不要多按!)
之后,单击 开始 -> 运行 regedit.exe 打开注册表,进入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除键:CnsMin
其键值为:Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32
(如果是win98,这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\
删除整个目录:!CNS
这个目录在 Internet 选项 -> 高级 中加入了3721网络实名的选项。
HKEY_LOCAL_MACHINE\SOFTWARE\3721\ 以及 HKEY_CURRENT_USER\Software\3721\
删除整个目录:3721
注:如果您安装了3721的其它软件,如 极品飞猫 等,则应删除
整个目录:HKEY_LOCAL_MACHINE\SOFTWARE\3721\CnsMin
以及 HKEY_CURRENT_USER\Software\3721\CnsMin
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
删除键:CNSEnable 其键值为:a2c39d5f
删除键:CNSHint 其键值为:a2c39d5f
删除键:CNSList 其键值为:a2c39d5f
在删除完注册表中的项之后,还需要删除存储在硬盘中的3721网络实名文件。
删除如下文件:
C:\WINNT\DOWNLO~1 目录下
(这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\ 下同)
2001-08-09 15:34 <DIR> 3721
2001-08-02 17:03 40,960 cnsio.dll
2001-08-08 14:14 102,400 CnsMin.dll
2001-08-24 23:14 42 CnsMin.ini
2001-08-09 10:18 13,848 CnsMinEx.cab
2001-07-06 17:57 32,768 CnsMinEx.dll
2001-08-25 02:52 115 CnsMinEx.ini
2001-08-25 02:51 17,945 CnsMinIO.cab
2001-08-02 17:02 32,768 CnsMinIO.dll
2001-08-24 23:15 40,793 CnsMinUp.cab
C:\WINNT\DOWNLO~1\3721 目录下
2001-08-02 17:03 40,960 cnsio.dll
2001-08-24 15:53 102,400 CnsMin.dll
2001-07-06 17:59 213 CnsMin.inf
2001-08-24 15:48 28,672 CnsMinIO.dll
以上文件全部删除,这样3721网络实名“病毒”就从您的计算机中全部清除了。
最后,重新启动计算机,进入正常模式。现在已经完全没有3721网络实名的困扰了!
--------------------------------------------------------------------------------
恶毒的3721
1。 3721在启动时在REGEDIT里面加个HOOK,所以用REGEDIT删除不了 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin
只能在安全模式下删除
2。 卸载它还需上网。
3。 3721营销人员经常骚扰上网公司,天天打电话来促销,如果别人不注册网络实名,还
故意给你发“最后通牒”---”说其他人已经注册了公司的名称,若三天内不做回应,后果自行负责“等等
-- trainee@CSDN
--------------------------------------------------------------------------------
还有更faint的了,我用delphi写了activexform控件,里面有个openfile dialog,
就是由于3721的缘故,死活得不到打开的文件的名字,
后来在csdn的一位网友帮助下,把3721搞掉就好了,
害的我调试了几天,真是tmd 混蛋公司,混蛋软件
-- hwwu@CSDN
--------------------------------------------------------------------------------
3721 绝对是病毒,以前做得还好点,现在越做越霸道!
他不止是修改注册表,而是一直在你的系统里运行,并把自己伪装起来,我曾经把他的cmin*.dll删掉结果用winhex一查还有,是他们改名运行的!而且如果用softice 调程序这个王八蛋dll总能给你捣乱,建议大家联合起来搞垮3721!他们的这个程序绝对可以构成侵犯用户隐私,而且比病毒更可恶!为维护广大网民的切身利益,如果谁有好的方法欢迎交流
-- huanan@CSDN
--------------------------------------------------------------------------------
最近的消息是,在安装了3721上网助手后,该程序会检查Host文件,如果发现该文件屏蔽了3721网站的相关内容,则会自动悄悄地把屏蔽的部分修改,使之失效!
证据
我已经不知道说什么好了,如果说暗中修改系统文件是病毒干的事情,那么3721上网助手就是一个彻头彻尾的病毒!如果因为3721的程序员水平有限而编出差劲的程序,我想我们大家都可以理解,但是从这件事上,我们可以知道,他们有限的不仅仅是自己的编程水平,还有自己的品格。
B4 3721的所谓程序员们,你们使我感到羞耻!
鉴于该病毒狡猾和无耻的传播方式,建议已经中毒的朋友立刻格式化硬盘,然后全新安装操作系统和所有应用软件。并且马上按照下面的方法防疫。建议采用以下列出的全部方法,以免有漏网之鱼。
-- @CCF
--------------------------------------------------------------------------------
他把IE里面输入法的键盘切换改变了。
原来是ctrl+shift切换,现在ie里面变成了alt+shift,而别的窗口(比如QQ,记事本)
没有改变。
3721完全是病毒。这几天大家的输入法问题都是3721刚升级的广告拦截插件搞的。
-- 蛋糕上的天线@Newsfan
这是一个发于Newsfan 新闻组的帖子,ID为:3f7d1add_1@News.Newsfan.Net
如果因为服务器清理你看不到这个帖子,也可以查看截图
--------------------------------------------------------------------------------
网上还有很多网友的评论,你可以点击这里搜索到。
怎样防止这种类似无赖的手段打扰你?
浏览网页的时候,如果网页中包含了一些特殊的效果或者功能,浏览器可能就会给我们的电脑中安装一些必要的插件。例如为了正确播放网页中嵌入的Flash动画就需要安装由Macromedia公司发行的Flash插件。基于安全的原因,如果需要安装插件,浏览器首先会下载,然后让你决定是否安装。
本来这是一种很好的方法,通过安装插件我们可以实现更多的功能,不过有时候插件的滥用也会给浏览者造成困扰。最突出的就是3721中文网址插件,这个插件可以让你在IE的地址栏输入中文就能够直接访问相关网站,例如我们要访问雅虎网站就可以直接在地址栏中输入“雅虎中国”而不是“www.yahoo.com.cn”,这确实 ... 其实很简单。
过滤插件
方法一:
浏览器虽然可以帮助我们自动下载插件,不过是否安装还是要我们说了算的。很多插件都带有一个证书,这个证书一般由被信任的第三方机构签署,以证明该插件的安全以及完整性。我们就是利用这一点,可以通过证书的设置来禁止浏览器自动下载和询问安装相应的插件。
使用这个方法需要你的操作系统为Windows XP。首先打开Internet选项对话框,在“安全”选项卡下选中“Internet”区域,并确定该区域的安全级别不低于“中低”。然后我们可以打开一个推荐中文网址的网页,例如www.3721.com ,等待几秒钟后弹出之前的对话框,这里我们直接点击证书的颁发者,即图中带有超级链接的“3721.com”字样,之后会出现类似图二的对话框,
点击证书对话框下方的“安装证书”按钮,会出现证书导入向导,点击下一步后系统会询问你证书的保存路径,在这里我们要选中“将所有的证书放入下列存储区”,然后点击右侧的“浏览”,在弹出的对话框中选中“不信任的证书”,点击确定并关闭该向导。最后点击“否”,不安装这个插件。现在就大功告成了,刷新一下页面,弹出的对话框将不会是询问你是否安装证书,而是一个提醒对话框,不过这个总比询问安装插件的对话框好,毕竟这不会使得浏览器长时间不响应。
方法二:
如果你用的操作系统不是Windows XP那也不用着急,因为同样有办法解决,不过这种方法需要你至少有5.5以上版本的IE。打开Internet选项的安全选项卡,并点击选中“受限制的站点”,然后点击下方的“站点”按钮,在图中的对话框中输入“download.3721.com”然后点击右侧的“添加”。而如果你安装有网络防火墙,也可以在网络防火墙的受限制站点中添加这个地址,实现的效果是一样的。
方法三:
我们还可以通过配置Host文件来达到同样的目的。Host文件中保存了域名和IP地址相互对应的关系,通常情况下我们在浏览器的地址栏中输入一个域名后,浏览器首先会在Host文件中检查看有没有相对应的IP,如果有,就直接把该域名解析为Host文件中的IP地址,如果没有才会向DNS服务器查询。而我们要做的就是在Host文件中把3721网站相应的域名指向其他IP地址,例如默认为本机IP的127.0.0.1。方法如下:用Windows的搜索功能搜索Host这个文件,找到后用记事本打开它,然后在文件末尾添加“127.0.0.1 download.3721.com”这么一行,添加好后的文件类似图,保存文件后关闭。再次刷新一下网页试试看,讨厌的对话框不会出现了。需要注意的是,如果你是通过代理服务器上网的,那么这个方法并不适合你。
另外由于类似强行推销的插件越来越多,现总结出一些可以修改并屏蔽的域名,请自己添加进你的Host文件中,另外为了获得双保险,建议你同时把这些站点添加到IE的受限制站点中去:
127.0.0.1 http://www.3721.net/ # 3721网络实名
127.0.0.1 3721.com # 3721网络实名
127.0.0.1 3721.net # 3721网络实名
127.0.0.1 cnsmin.3721.com # 3721网络实名
127.0.0.1 cnsmin.3721.net # 3721网络实名
127.0.0.1 download.3721.com # 3721网络实名
127.0.0.1 download.3721.net # 3721网络实名
127.0.0.1 www.3721.com # 3721网络实名
127.0.0.1 www.3721.net # 3721网络实名
127.0.0.1 bar.baidu.com # 百度IE搜索伴侣
127.0.0.1 www.baidu.com # 百度IE搜索伴侣
127.0.0.1 baidu.com # 百度IE搜索伴侣
方法四:
因为这些插件在安装前首先会通过浏览器检查你的注册表中有没有注册过相应的Class ID,如果显示你的注册表中已经注册了该Class ID,则表示你已经安装了相应的插件。因此只要我们手工在注册表中添加了ID,那以后就不会在被询问是否安装了。
汉化过WinRAR的周明波写了一个很小的程序,只要运行这个程序并选择相应的复选框就可以对相应的插件免疫,效果非常不错,建议所有Windows用户使用。
通过使用这四个方法,3721网络实名就再不会在你浏览网页时骚扰你了,其中我比较推荐用第三种方法,因为其他两种方法都会在进入一些页面时弹出对话框,而第三种方法是最“安静”的。
对3721插件或者其它类似的插件,如果你有什么看法,欢迎来信讨论。
Update:
最近终于有人对这垃圾进行了一次比较详细的剖析,虽然其中某些观点仍然值得商榷,不过大部分内容我觉得还是可以推荐给大家:
http://secu.hfut.edu.cn/bencandy.php?id=505
如果服务器因为某些问题无法访问,那么我这里还提供最初版本的下载(1.21MB):
http://www.wxxf.net/upload/file/ ... 33ddfeb601_3721.rar
添加日期:
2003年5月16日
最后一次更新:
2005年6月27日
更新历史纪录:
2005年6月27日,添加了网友深山红叶写的一篇剖析文章的链接
2004年1月12日,添加了周明波制作的免疫程序,并增添了部分评论内容。
2003年10月7日,修改了一个错别字,对于修改Host文件屏蔽这些插件,增添了对百渡插件的屏蔽。
2003年10月4日,更新了关于3721在未经允许的情况下偷偷修改用户电脑中输入法切换快捷键的内容
2003年9月13日,更新了关于3721上网助手修改Host文件的相关内容
原贴来自于:http://www.cctips.com/show.aspx?id=67&cid=16
兄弟这个才叫"有口皆碑",,,大家也来发表一下对3721的看法,,,,,和恶行!!! |
|
如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】;
如何回报帮助你解决问题的坛友,一个好办法就是给对方加【D豆】,加分不会扣除自己的积分,做一个热心并受欢迎的人!
|申请友链|Archiver|手机版|小黑屋|辽公网安备|晓东CAD家园
( 辽ICP备15016793号 )
窥视卡
雷达卡
发表于 2005-6-27 07:40:01
提升卡
置顶卡
沉默卡
变色卡
千斤顶
发表于 2005-6-27 20:26:09
