|
 | 作者: kimi0083 [kimi0083]
 论坛用户 |
登录 |
| 我的操作系统是WIN98,有个程序,我怎么都删不了,在注册表的启动组里,我删了,系统配置程序的启动组里我把勾去掉了,重起后还有,我这没装还原卡,这个程序是Cnsmin.dll,注册表里显示他的地址在Rundll32.exe C:\WINDOWS\DOWNLO~1\CNSMIN.DLL,Rundll32,可我怎么都找不到,我把隐藏的全显示了,是病毒吗?他还会躲在其他地方吗?快告诉我怎么能彻底清除他。 |
| 地主 发表时间: 04-03-24 12:25 |
 | 回复: z7 [skyzz]  论坛用户 |
登录 |
|
该死的3721 |
| B1层 发表时间: 04-03-24 23:25 |
 | 回复: AEOLIAN [aeolian] 论坛用户 |
登录 |
|
卸掉。。 |
| B2层 发表时间: 04-04-02 13:39 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
|
后门啊,都叫你们别用3721了 |
| B3层 发表时间: 04-04-02 13:45 |
 | 回复: neloncat [neloncat]  论坛用户 |
登录 |
|
3721一般人是卸不掉的 需要汇编的知识 黑暗阿~ 这么个破网站还很多人上 太惨了 很多LAN里面都有这种病毒 link:post.baidu.com [3721] |
| B4层 发表时间: 04-04-04 20:34 |
 | 回复: dzskyhgy [dzskyhgy] 论坛用户 |
登录 |
|
大千世界,百鸟争鸣。 你可能喜欢“网络蚂蚁”,他却对“超级兔子”情有独钟,大家和平共处,一团和气,俺从未想过与谁作对,此次与网络实名“过招”,实出无奈,可以说是被逼上梁山。 这要从电脑杀毒说起。 近期,一种被称为新欢乐时光的病毒(VBS―KJ)甚是横行,俺所在科室的几台机器也未幸免。没法,只得用升级的KV3000查杀。开始的两台比较顺利,到了第三台却遇上了麻烦,每扫描到一个名为Cnsmi.inf的文件时(C:\WINDOWS\Downloaded Program Files\),系统总提示“非法操作”,并强行扫描停止,反复几次均如此,重装KV3000,依然如故。于是决定将该文件夹中的文件移出,不曾想系统却报出“该文件已装入系统并正在运行,无法删除”提示框。一清点,共有6个库连接文件,分别为:Cnshook.dll、Cnsio.dll、Cnsmin.dll、Cnsminex.dll、Cnsminio.dll、Cnsminsv.dll,俺怎么瞧,也觉得没一个像系统启动时需要装入的。 没辙了,俺到注册表中去看看,在“运行”中键入“regedit”回车,打开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”主键,果然发现有个“CnMain”键值与上述文件关联,毫不犹豫,删了它!――蓦地,弹出个禁止删除的提示框(新鲜!俺可是头一遭碰上这样的事情),当然,也让俺终于见识了网络实名的狐狸尾巴。试着删了几次,均被恢复原样,看来那6个文件中,肯定有个是用来监视、控制和恢复注册表的。 ――你够狠!俺更狠!!看俺咋出招?! 第一招:移花接木 俺修改文件夹,让你找不着北!于是重命名C:\WINDOWS下的“Downloaded Program Files”为“PPP”,――铛!系统弹出了“禁止修改”提示框。第一回合,算俺失败。 ――俺发愣,俺发傻!看来,俺还得狠点!! 第二招:釜底抽薪 修改文件夹时,对弹出的提示框置之不理,直接拔掉电脑的电源插头,人为造成死机,让文件起不了作用,看你如何再恢复! 第三招:暗渡陈仓 使用软盘进行系统引导,重新启动电脑到纯Dos系统中,在“C:\”提示符下,键入“cd windows”后回车,“cd ppp”后回车,这样就进入了死机前修改的文件夹“PPP”中,再键入“del *.*”回车,在系统提示行后键入“y”,回车。 ――哈哈!让那6个文件见上帝去吧! ――古得拜!――赛又那拉! 最后一招:斩草除根 退出软盘,重新启动系统后,系统会弹出“系统装载文件发生错误”提示框,甭理会它,径直打开注册表,到“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”主键下,删除键值“CnMain”,然后,按快捷键“Ctrl+F”,查找网络实名的主键,比如“3421”之类,查到后统统删除。打开[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\,发现以下主键: {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} {BF1F4A1A-BDCD-43ac-9D17-261D2C197AB8} {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} {CD67F990-D8E9-11d2-98FE-00C1F0318AFF} {c95fe080-8f5d-11d2-a20b-00aa003c157a}, 统统删除,这样IE即可复原。 关闭注册表,直接重启动,系统恢复正常,运行杀毒软件,畅通无阻。 另外,有的电脑还被修改了windows批处理文件WinStart.bat,可以用记事本打开该文件,可看见这样两行: @ if exist C:\WINDOWS\TEMP\KAVMove.BAT del C:\WINDOWS\TEMP\KAVMove.BAT @if exist C:\WINDOWS\TEMP\KAVMove.EXE del C:\WINDOWS\TEMP\KAVMove.EXE 删除这两行文字即可。 |
| B5层 发表时间: 04-04-06 14:17 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 求救,Cnsmin.dll是病毒吗????????