史萊姆論壇 - 查看單個文章

psac · 2004-02-19, 06:53 AM

3721推出了更為殘暴的法西斯手段，強迫安裝網路實名

最近，3721 系統剛剛昇級，手段更為卑劣及霸道。

1 在設備驅動層加了保護，而且是boot時立即啟動，即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程式位於windows\system32\drivers\cnsminkp.sys
2 cnsminkp.sys 一旦載入，無法用指令方式卸載這個驅動程式，即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。
3 這個驅動不停地檢測cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即會重建這兩個文件，並且不停檢測service 和software 下面的註冊表，確保cnsminkp這個服務的參數保持和它設定的一致，如果被改動，立即會恢復成原來的樣子。另外，還確保 run 裡有cnsmin.dll
4 這種死皮賴臉的方式，是決心要在記憶體和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統效能迅速下降。
改了註冊表，沒有用，你一重新整理，馬上還原了。
一刪文件，再dir 一看，又回來了。
因為cnsminkp.sys 的程式碼有自我還原功能。一旦啟動後，就開始不停地掃瞄，有異常便立即還原。這段程式碼將大大降低機器的效能

解決方法。
1 安裝另外一個乾淨的windows 系統
2 從這個乾淨的系統啟動，刪除所有的cnsminpk.sys cnsmin.dll文件
3 從原來的windows系統啟動
4 執行spybot軟體，清除3721,並且加上免疫保護

cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。

今天不少網友發現3721這個老**又換了新花樣，由於他們的控件沒有作數字簽名，所以就不會出現控件安裝時候的廠商信息，估計他們是交不起那高昂的數字簽名證書費。

而且現在的3721安裝之後，你會發現，無論你怎麼樣搜尋，都不會在硬碟上找到他們的文件（如果是個君子，幹什麼隱藏文件？）。

不過，我發現一個意外的收穫，如果你曾經安裝過3721，並且卸載過它，他們以後就不會再彈出**的安裝對話視窗

操作方法如下：

在下面的註冊表專案中
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

新增一個字串串鍵值
命名為CNSUIN，值為1。

該鍵值表示，用戶曾經卸載過3721。

Ww i n d o w s R e g i s t r y E d i t o r V e r s i o n 5 . 0 0

[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ I n t e r n e t E x p l o r e r \ M a i n ]

" C N S U I N " = " 1 "

==================================
站控件免疫修正檔BanActiveX_V0.03
增加對新的3721昇級包的遮閉
下面是黑名單，使用方法只需要選即可，解除只要不選
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
1B0E7716-898E-48CC-9690-4E338E8DE1D3$3721上網助手
4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686$3721中文郵
8D898B17-976D-44c1-84E6-AF38842AC9EC$3721昇級包
9BBC1154-218D-453C-97F6-A06582224D81$百度搜霸
BC207F7D-3E63-4ACA-99B5-FB5F8428200C$百度搜尋伴侶
9A578C98-3C2F-4630-890B-FC04196EF420$CNNIC通用域名
CF051549-EDE1-40F5-B440-BCD646CF2C25$網易泡泡
15DDE989-CD45-4561-BF99-D22C0D5C2B74$新浪點點通
98FA5667-513F-4F15-8A15-C171477B8847$新浪IE通
2D0C7226-747E-11D6-83F0-00E04C4A2F90$搜狐視瀕播放器
484FF54A-CC44-467E-9C31-5B89FC753007$搜狐工作列
018B7EC3-EECA-11D3-8E71-0000E82C6C0D$XXXToolbar
E8EDB60C-951E-4130-93DC-FAF1AD25F8E7$Mtree Dialers 1
FC87A650-207D-4392-A6A1-82ADBC56FA64$Mtree Dialers 2

or:
執行BanActiveX.exe
選需要遮閉的ActiveX，關閉程序即可
取消遮閉只需要取消選即可。

增加自訂資料庫，直接請編輯BanActiveX.ini，格式見下面的，幾乎不需要說明

程序開放來源碼

資料庫格式：
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
ActiveX id $分隔符名字

網站控件免疫修正檔BanActiveX1.1.5

-=功能介紹=-

　BanActiveX用於禁止網上不必要的ActiveX插件安裝到您的機器，而且當您訪問含有這
些東西的網站時不會彈出安裝提示，您還可以在線昇級可能禁用的ActiveX黑名單。

-=操作方法=-

執行BanActiveX.exe
選需要遮閉的ActiveX，關閉程序即可
取消遮閉只需要取消選即可。

-=自訂黑名單=-

程序開放來源碼
資料庫格式：
第一行為控件庫版本日期
下面是控件信息
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名$更新日期

-=開發者信息=-

原作者：復旦大學Lucian 2004-02-19 14:41
更新功能由復旦大學wking增加 2004-02-19 21:08
更新伺服器由Lucian提供。:P

-=版本歷史=-

v1.1.5 Lucian 2004-02-20 16:22
+增加列數動態判斷,以最佳方式分佈界面

v1.1.0 wking 2004-02-20 11:11
+在線程中處理更新操作避免如當機般
+更新配置文件資料結構，存貯最近控件庫版本日期
以前版本的配置文件可直接使用，不影響以前版本程序昇級
+更新操作只獲取最新控件庫資料

v.1.0.5 wking 2004-02-19 21:08
+點擊"更新控件庫"便聯接到202.120.227.42取得新的控件庫資料

v.1.0.0 Lucian 2004-02-19 14:41

原作者：復旦大學Lucian

win98 例編輯新的 key,,且可以下儲為*.reg 登錄注冊檔

REGEDIT4

#B83FC273-3522-4CC6-92EC-75CC86678DA4 /3721
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
#CF051549-EDE1-40F5-B440-BCD646CF2C25 /POPO
#4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686 /中文郵
#BC207F7D-3E63-4ACA-99B5-FB5F8428200C /Baidu
#9BBC1154-218D-453C-97F6-A06582224D81 /Baidu

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9BBC1154-218D-453C-97F6-A06582224D81}]
"Compatibility Flags"=dword:00000400

2004-02-19, 06:53 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	3721推出了更為殘暴的法西斯手段，強迫安裝網路實名 3721推出了更為殘暴的法西斯手段，強迫安裝網路實名最近，3721 系統剛剛昇級，手段更為卑劣及霸道。 1 在設備驅動層加了保護，而且是boot時立即啟動，即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程式位於windows\system32\drivers\cnsminkp.sys 2 cnsminkp.sys 一旦載入，無法用指令方式卸載這個驅動程式，即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。 3 這個驅動不停地檢測cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即會重建這兩個文件，並且不停檢測service 和software 下面的註冊表，確保cnsminkp這個服務的參數保持和它設定的一致，如果被改動，立即會恢復成原來的樣子。另外，還確保 run 裡有cnsmin.dll 4 這種死皮賴臉的方式，是決心要在記憶體和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統效能迅速下降。改了註冊表，沒有用，你一重新整理，馬上還原了。一刪文件，再dir 一看，又回來了。因為cnsminkp.sys 的程式碼有自我還原功能。一旦啟動後，就開始不停地掃瞄，有異常便立即還原。這段程式碼將大大降低機器的效能解決方法。 1 安裝另外一個乾淨的windows 系統 2 從這個乾淨的系統啟動，刪除所有的cnsminpk.sys cnsmin.dll文件 3 從原來的windows系統啟動 4 執行spybot軟體，清除3721,並且加上免疫保護 cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。今天不少網友發現3721這個老又換了新花樣，由於他們的控件沒有作數字簽名，所以就不會出現控件安裝時候的廠商信息，估計他們是交不起那高昂的數字簽名證書費。而且現在的3721安裝之後，你會發現，無論你怎麼樣搜尋，都不會在硬碟上找到他們的文件（如果是個君子，幹什麼隱藏文件？）。不過，我發現一個意外的收穫，如果你曾經安裝過3721，並且卸載過它，他們以後就不會再彈出的安裝對話視窗操作方法如下：在下面的註冊表專案中 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 新增一個字串串鍵值命名為CNSUIN，值為1。該鍵值表示，用戶曾經卸載過3721。 Ww i n d o w s R e g i s t r y E d i t o r V e r s i o n 5 . 0 0 [ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ I n t e r n e t E x p l o r e r \ M a i n ] " C N S U I N " = " 1 " ================================== 站控件免疫修正檔BanActiveX_V0.03 增加對新的3721昇級包的遮閉下面是黑名單，使用方法只需要選即可，解除只要不選 B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名 1B0E7716-898E-48CC-9690-4E338E8DE1D3$3721上網助手 4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686$3721中文郵 8D898B17-976D-44c1-84E6-AF38842AC9EC$3721昇級包 9BBC1154-218D-453C-97F6-A06582224D81$百度搜霸 BC207F7D-3E63-4ACA-99B5-FB5F8428200C$百度搜尋伴侶 9A578C98-3C2F-4630-890B-FC04196EF420$CNNIC通用域名 CF051549-EDE1-40F5-B440-BCD646CF2C25$網易泡泡 15DDE989-CD45-4561-BF99-D22C0D5C2B74$新浪點點通 98FA5667-513F-4F15-8A15-C171477B8847$新浪IE通 2D0C7226-747E-11D6-83F0-00E04C4A2F90$搜狐視瀕播放器 484FF54A-CC44-467E-9C31-5B89FC753007$搜狐工作列 018B7EC3-EECA-11D3-8E71-0000E82C6C0D$XXXToolbar E8EDB60C-951E-4130-93DC-FAF1AD25F8E7$Mtree Dialers 1 FC87A650-207D-4392-A6A1-82ADBC56FA64$Mtree Dialers 2 or: 執行BanActiveX.exe 選需要遮閉的ActiveX，關閉程序即可取消遮閉只需要取消選即可。增加自訂資料庫，直接請編輯BanActiveX.ini，格式見下面的，幾乎不需要說明程序開放來源碼資料庫格式： B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名 ActiveX id $分隔符名字網站控件免疫修正檔BanActiveX1.1.5 -=功能介紹=- 　BanActiveX用於禁止網上不必要的ActiveX插件安裝到您的機器，而且當您訪問含有這些東西的網站時不會彈出安裝提示，您還可以在線昇級可能禁用的ActiveX黑名單。 -=操作方法=- 執行BanActiveX.exe 選需要遮閉的ActiveX，關閉程序即可取消遮閉只需要取消選即可。 -=自訂黑名單=- 程序開放來源碼資料庫格式：第一行為控件庫版本日期下面是控件信息 B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名$更新日期 -=開發者信息=- 原作者：復旦大學Lucian 2004-02-19 14:41 更新功能由復旦大學wking增加 2004-02-19 21:08 更新伺服器由Lucian提供。:P -=版本歷史=- v1.1.5 Lucian 2004-02-20 16:22 +增加列數動態判斷,以最佳方式分佈界面 v1.1.0 wking 2004-02-20 11:11 +在線程中處理更新操作避免如當機般 +更新配置文件資料結構，存貯最近控件庫版本日期以前版本的配置文件可直接使用，不影響以前版本程序昇級 +更新操作只獲取最新控件庫資料 v.1.0.5 wking 2004-02-19 21:08 +點擊"更新控件庫"便聯接到202.120.227.42取得新的控件庫資料 v.1.0.0 Lucian 2004-02-19 14:41 原作者：復旦大學Lucian win98 例編輯新的 key,,且可以下儲為*.reg 登錄注冊檔 REGEDIT4 #B83FC273-3522-4CC6-92EC-75CC86678DA4 /3721 #9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC #CF051549-EDE1-40F5-B440-BCD646CF2C25 /POPO #4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686 /中文郵 #BC207F7D-3E63-4ACA-99B5-FB5F8428200C /Baidu #9BBC1154-218D-453C-97F6-A06582224D81 /Baidu [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B83FC273-3522-4CC6-92EC-75CC86678DA4}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9BBC1154-218D-453C-97F6-A06582224D81}] "Compatibility Flags"=dword:00000400

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次