3721, CNNIC, POPO, 百度 免疫程序

发信人: cancel (snake), 信区: Virus
标  题: 【总结】关于3721
发信站: BBS 水木清华站 (Thu Mar 18 20:26:28 2004), 转信

昨天中了3721，刚刚搞定，发现这个垃圾简直做得太精品了！！
总结一下
1。他给的卸载程序纯属扯淡，运行后该留下的一个都没少

2。他会启动在%windows%/download programs files/下边留有几个
   dll，下边还有一个名叫3721的目录，里边也是一堆dll。

3。他会在系统自动启动项里加入一项CnsMin， 就是rundll32 CnsMin.dll(路径名
   就不写了，就是上边那个download目录；

4. 启动的这个进程会做维护注册表里有关3721的信息；维护启动项。就是说只要
   这个进程在，你对注册表、启动选项做得有关3721的一切都是徒劳的;你删除
   那些dll的工作也是徒劳的

5. 这个进程被杀掉后会自动重启（安全模式也是一样）

6. 这个最变态，我在Linux下讲上边download目录删掉之后启动WinXP，发现一切照旧！！
   dll都在，进程照起。所以有另一个东西在维护他们

6. 这个最变态，我在Linux下讲上边download目录删掉之后启动WinXP，发现一切照旧！！
   dll都在，进程照起。所以有另一个东西在维护他们

7. 这个东西是什么呢？在我发现之后我告诉你，我简直没办法理解3721这拨人是个什么心
   态 ，丫们简直就是专门研发病毒的。他们居然在%windows%/system32/drivers/里
   边加了一个文件CnsMinKP.sys。这样系统每次启动的时候都会把这个.sys Load进来！这
   个.sys干什么的大家应该能够猜出七八分，我只想说：这时如果你是用安全模式启动的
   话，你可以亲眼看到你的系统是怎么被3721强奸的！！

8. 重新进入Linux，把那几个dll删掉，把CnsMinKP.sys删掉，重启WinXP，终于看到了我
   盼望已久的无法找到 *******/CnsMin.dll的错误。用精华区里介绍的Spybot删掉了注册
   表里3721留下的垃圾，这个世界终于清净了…………（整个过程在断网情况下进行，所
   以我并不知道联网有没有影响，我估计没有）

9. 上边说的这些很大一部分精华区里都没有提及，所以我想，是不是3721升级了？！不管
   怎么说，把一个“病毒”做成这样也真算敬业了，我只想对3721这拨人说：你们这群
   王八蛋应该把这些心思用来做正经事！还有一句，×你们大爷！

--

※ 修改:·cancel 于 Mar 18 20:27:50 修改本文·[FROM:   166.111.136.*]
※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.136.*]