3721推出了更為殘暴的法西斯手段，強迫安裝網路實名

[psac]

3721推出了更為殘暴的法西斯手段，強迫安裝網路實名

最近，3721 系統剛剛昇級，手段更為卑劣及霸道。

1 在設備驅動層加了保護，而且是boot時立即啟動，即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程式位於windows\system32\drivers\cnsminkp.sys
2 cnsminkp.sys 一旦載入，無法用指令方式卸載這個驅動程式，即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。
3 這個驅動不停地檢測cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即會重建這兩個文件，並且不停檢測service 和software 下面的註冊表，確保cnsminkp這個服務的參數保持和它設定的一致，如果被改動，立即會恢復成原來的樣子。另外，還確保 run 裡有cnsmin.dll
4 這種死皮賴臉的方式，是決心要在記憶體和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統效能迅速下降。
改了註冊表，沒有用，你一重新整理，馬上還原了。
一刪文件，再dir 一看，又回來了。
因為cnsminkp.sys 的程式碼有自我還原功能。一旦啟動後，就開始不停地掃瞄，有異常便立即還原。這段程式碼將大大降低機器的效能

解決方法。
1 安裝另外一個乾淨的windows 系統
2 從這個乾淨的系統啟動，刪除所有的cnsminpk.sys cnsmin.dll文件
3 從原來的windows系統啟動
4 執行spybot軟體，清除3721,並且加上免疫保護

cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。

今天不少網友發現3721這個老**又換了新花樣，由於他們的控件沒有作數字簽名，所以就不會出現控件安裝時候的廠商信息，估計他們是交不起那高昂的數字簽名證書費。

而且現在的3721安裝之後，你會發現，無論你怎麼樣搜尋，都不會在硬碟上找到他們的文件（如果是個君子，幹什麼隱藏文件？）。

不過，我發現一個意外的收穫，如果你曾經安裝過3721，並且卸載過它，他們以後就不會再彈出**的安裝對話視窗

操作方法如下：

在下面的註冊表專案中
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

新增一個字串串鍵值
命名為CNSUIN，值為1。

該鍵值表示，用戶曾經卸載過3721。

Ww i n d o w s R e g i s t r y E d i t o r V e r s i o n 5 . 0 0



[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ I n t e r n e t E x p l o r e r \ M a i n ]

" C N S U I N " = " 1 "


==================================
站控件免疫修正檔BanActiveX_V0.03
增加對新的3721昇級包的遮閉
下面是黑名單，使用方法只需要選即可，解除只要不選
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
1B0E7716-898E-48CC-9690-4E338E8DE1D3$3721上網助手
4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686$3721中文郵
8D898B17-976D-44c1-84E6-AF38842AC9EC$3721昇級包
9BBC1154-218D-453C-97F6-A06582224D81$百度搜霸
BC207F7D-3E63-4ACA-99B5-FB5F8428200C$百度搜尋伴侶
9A578C98-3C2F-4630-890B-FC04196EF420$CNNIC通用域名
CF051549-EDE1-40F5-B440-BCD646CF2C25$網易泡泡
15DDE989-CD45-4561-BF99-D22C0D5C2B74$新浪點點通
98FA5667-513F-4F15-8A15-C171477B8847$新浪IE通
2D0C7226-747E-11D6-83F0-00E04C4A2F90$搜狐視瀕播放器
484FF54A-CC44-467E-9C31-5B89FC753007$搜狐工作列
018B7EC3-EECA-11D3-8E71-0000E82C6C0D$XXXToolbar
E8EDB60C-951E-4130-93DC-FAF1AD25F8E7$Mtree Dialers 1
FC87A650-207D-4392-A6A1-82ADBC56FA64$Mtree Dialers 2


or:
執行BanActiveX.exe
選需要遮閉的ActiveX，關閉程序即可
取消遮閉只需要取消選即可。

增加自訂資料庫，直接請編輯BanActiveX.ini，格式見下面的，幾乎不需要說明

程序開放來源碼

資料庫格式：
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
ActiveX id $分隔符 名字

網站控件免疫修正檔BanActiveX1.1.5

-=功能介紹=-

　BanActiveX用於禁止網上不必要的ActiveX插件安裝到您的機器，而且當您訪問含有這
些東西的網站時不會彈出安裝提示，您還可以在線昇級可能禁用的ActiveX黑名單。

-=操作方法=-

執行BanActiveX.exe
選需要遮閉的ActiveX，關閉程序即可
取消遮閉只需要取消選即可。

-=自訂黑名單=-

程序開放來源碼
資料庫格式：
第一行為控件庫版本日期
下面是控件信息
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名$更新日期

-=開發者信息=-

原作者：復旦大學Lucian 2004-02-19 14:41
更新功能由復旦大學wking增加 2004-02-19 21:08
更新伺服器由Lucian提供。:P

-=版本歷史=-

v1.1.5 Lucian 2004-02-20 16:22
+增加列數動態判斷,以最佳方式分佈界面

v1.1.0 wking 2004-02-20 11:11
+在線程中處理更新操作避免如當機般
+更新配置文件資料結構，存貯最近控件庫版本日期
以前版本的配置文件可直接使用，不影響以前版本程序昇級
+更新操作只獲取最新控件庫資料

v.1.0.5 wking 2004-02-19 21:08
+點擊"更新控件庫"便聯接到202.120.227.42取得新的控件庫資料

v.1.0.0 Lucian 2004-02-19 14:41

原作者：復旦大學Lucian

win98 例編輯新的 key,,且 可以下儲為*.reg 登錄注冊檔

REGEDIT4

#B83FC273-3522-4CC6-92EC-75CC86678DA4 /3721
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
#CF051549-EDE1-40F5-B440-BCD646CF2C25 /POPO
#4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686 /中文郵
#BC207F7D-3E63-4ACA-99B5-FB5F8428200C /Baidu
#9BBC1154-218D-453C-97F6-A06582224D81 /Baidu


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}]
"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9BBC1154-218D-453C-97F6-A06582224D81}]
"Compatibility Flags"=dword:00000400

感謝!!!
真的很實用!!!

[peggau]

喔喔

cnsminkp.sys

沒在電腦裡

不過先打個預防針吧

[rushany3]

這個3721煩人的值入程式.
只有是被它搞過的人,才會有切身之痛.
謝謝Psac大大的精闢教學.

感恩大大熱心提供解說.3QQ~

又學習到了一項知識，感謝告知並指導。

我剛重灌程式就遭到3721的騷擾
所以來找解決的方法
真好找到了
謝謝你!

用ad-aware掃得掉嗎？可以的話就用他掃就好了。不行的話只好用大大的方法了！

[jennydiddy]

真是謝謝，我常常被這種東西困擾。

[primo]

大陸很多網站一進首頁就問你要不要安裝3721
真是煩人

[quasar]

昨天去大陸網站 五分鐘不到 就告訴我安裝了網路實名
@##!$#$@@ !拒絕的機會都沒有 !!!
到登錄檔 搜殺3721 不知有沒殺乾淨
跟病毒程式沒兩樣 可惡 !!!