Cómo eliminar completamente 3721

El método anterior aún está incompleto y requiere el uso de un registro.

Recientemente, recibí un informe de un usuario de la intranet que indicaba que cuando visita ciertos sitios, se le pedirá que instale Para un complemento llamado 3721 Chinese Real Name, algunos usuarios hicieron clic por error en la opción "Instalar" sin saberlo, lo que provocó que el virus residiera en el disco duro y fuera difícil de eliminar. Aunque Tianyuan es administrador de red, no usa mucho el sistema operativo Windows. Nunca ha usado este complemento llamado 3721, pero al ver las expresiones ansiosas de los usuarios, aceptó hacer lo mejor que pudo. Después de varios esfuerzos, finalmente fue asesinado.

La siguiente es la experiencia de matar el virus y la solución del virus.

Tianyuan utilizó una máquina Windows XP para acceder al sitio proporcionado por el usuario, descargó y ejecutó el complemento. El complemento está en chino, entrará en vigor después de que la máquina se reinicie después de la instalación automática y tiene su propia función de desinstalación. A través de una observación comparativa antes y después de la instalación/desinstalación, su persistencia, autoprotección y gran pérdida de rendimiento del sistema permitieron a Tianyuan confirmar que el complemento era efectivamente un virus.

Fenómeno de ataque de virus:

Redirige automáticamente la función de "búsqueda" del navegador a un sitio web llamado www.3721.com, que es un sitio web chino y no se puede modificar

Agregue a la fuerza varios íconos como "Chat situacional" y "Aceleración de Internet" en el IE del usuario.

Actualice continuamente los valores clave relevantes del registro para lograr una residencia exitosa y un gran consumo; El propósito de los recursos del host del usuario;

Se carga cada vez que se inicia la computadora y tiene su propia función de protección de procesos, que es difícil de eliminar durante el inicio normal de Windows

5; Con función de actualización automática, cada vez que un usuario navega por Internet y utiliza IE, el virus realizará una actualización en segundo plano.

Características del virus:

Tiene las suyas propias; función de desinstalación; para ocultarse, el virus paraliza a los usuarios que descargan complementos. Para ello se proporciona un desinstalador. Sin embargo, según el uso de Tianyuan, se descubrió que después de la desinstalación, el programa de virus aún reside, aún se carga al inicio y aún monitorea y reescribe el registro.

Usando este método de actualización de red; Esto es para evitar que los usuarios y el software antivirus se eliminen mediante actualizaciones periódicas en línea, lo cual es similar a otros virus populares recientes de Windows. Sin embargo, vale la pena mencionar que este virus tiene un sitio público de actualización de virus www.3721.com, y el estilo del sitio es similar a un portal, sitios de servicios, que son extremadamente engañosos;

Se puede decir que esta característica es un salto tecnológico en la escritura de virus en los últimos tiempos, utilizando el modo de controlador. cargar y enganchar, es extremadamente difícil de detectar y eliminar en Windows (consulte la discusión técnica detallada más adelante

Proporciona un servicio de búsqueda que le permite ingresar chino en la barra de direcciones del navegador y luego ir a). su sitio web para consultas de palabras clave. Hace algún tiempo, el virus Shockwave Nemesis también conectó automáticamente la máquina del usuario a update.Microsoft.com para descargar parches después de infectar la máquina del usuario. Parece que los nuevos virus ofrecen cada vez más algunas funciones alternativas.

Propagación pasiva: utilizar algunos sitios para propagarse en lugar de infectar activamente otras máquinas. Esto es similar al popular virus actual "belleza".

Se puede decir que el cambio de activo a pasivo es una nueva característica de algunos virus este año.

Análisis de virus detallado:

Cuando el usuario visita el sitio, aparece una ventana de descarga de control; para solicitar al usuario que lo descargue e instale En la superficie, afirma proporcionar servicios de nombre real chinos para atraer a los usuarios a instalar

Modificar los archivos y el registro del usuario en muchos lugares durante el proceso de instalación; p>

Agregar archivos:

Agregar Documentos y Configuraciones\Todos los Usuarios\Menú Inicio\Programas\Nombre Real de Red\ directorio

Obtenga más información sobre el nombre real de la red.url 86 bytes

Limpiar registros de acceso a Internet.url 100 bytes

Asistente de Internet.url 99 bytes

Desinstalar red nombre real.lnk 1.373 bytes

Reparar browser.url 103 bytes

Agregar en WINDOWS\Archivos de programa descargados\

assis.ico 5734 bytes

cns02.dat 1652 bytes

CnsHook.dll 56,320 bytes

CnsMin.cab 116,520 bytes

CnsMin.dll 179,712 bytes

CnsMin inf 378 bytes

sms.ico" 6,526 bytes

yahoomsg.ico 5,734 bytes

En el directorio WINDOWS\System32\Drivers\ Agregar en

CnsminKP.sys

Agregar valor de clave de registro:

Agregar clave principal HKEY_LOCAL_MACHINE\SOFTWARE\3721, con múltiples subclaves y valores de atributos

Agregar bajo la clave principal HKEY_LOCAL_MACHINE\SOFTWARE\Classes\; CLSID

{B83FC273-3522-4CC6-92EC-75CC86678DA4}

{D157330A-9EF3-49F8-9A67 -4141AC41ADD4}

Dos subclaves

3. Agregue CnsHelper en HKEY_LOCAL_MACHINE\SOFTWARE\Classes\primary key

.CH.1

CnsMinHK.CnsHook

CnsMinHK.CnsHook.1 <. /p>

Cuatro subclaves

4. En HKEY_LOCAL_MACHINE\SOFTWARE\ Agregue la subclave {1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1} en Classes\Interface\primary key

5. Agregar en HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\primary key

{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}

{AAB6BCE3- 1DF6-4930-9B14-9CA79DC8C267}

En HKEY_LOCAL_MACHINE\SOFTWARE

\Microsoft\Internet Explorer\AdvancedOptions\Agregar bajo clave principal

!Subclave CNS

Agregar bajo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ clave principal

{00000000-0000-0001-0001-596BAEDD1289}

{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}

{5D73EE86-05F1-49ed-B850-E423120EC338}

{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}

{FD00D911-7529-4084-9946-A29F1BDF4FE5} cinco subclaves

En HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Internet Explorer\Search\Agregar cuatro subclaves en \Internet Explorer\Search\

CustomizeSearch

OcustomizeSearch

SearchAssistant

OsearchAssistant

Agregue la subclave {D157330A-9EF3-49F8-9A67-4141AC41ADD4} bajo la clave principal

HKEY_LOCAL_MACHINE\SOFTWARE\ Agregado en Microsoft\Windows\CurrentVersion\Run\

Subclave CnsMin

Agregada bajo HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

Clave de subclave EK_Entry (pista, esta clave entrará en vigor la próxima vez que se inicie la máquina, lo que provocará la parte más problemática, que se describirá más adelante)

Agregar en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

Subclave CnsMin

Agregar en HKEY_CURRENT_USER\Software\

3721 subclave

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\ Agregar

CNSAutoUpdate

CNSEnable

CNSAutoUpdate

CNSEnable

p>

CNSHint

CNSList

CNSMenu

CNSReset

Después de reiniciar la computadora, el EK_Entry en RunOnce mencionado anteriormente entra en vigor , y el valor de clave CnsMinKP más malvado se genera en muchos lugares del registro, y también se genera en el directorio windows/system32/drivers del disco del sistema, aquí es donde comienza la pesadilla.

Dado que win2k/xp ejecutará automáticamente todos los controladores en Windows/system32/drivers de forma predeterminada al iniciar (incluido el modo seguro), se carga CnsMinKP.sys y una de las funciones de este controlador es: es garantizar que Cnshook.dll y CnsMin.dll en el directorio Windows/Archivos de programa descargados no se eliminen ellos mismos. La función de Cnshook.dll es proporcionar la función de nombre real chino, y la función de Cnshook.dll es proporcionar la función de nombre real chino. hacer que resida en el proceso ie cuando. Para garantizar que tenga la máxima prioridad, CnsMin utilizó una función de temporizador para instalar ganchos repetidamente, lo que provocó una disminución en el rendimiento del sistema. En la máquina probada por Tianyuan, el rendimiento cayó aproximadamente un 20%. Además, debido al enganche forzado, cuando los usuarios utilizan puntos de interrupción para depurar el programa, se producirán errores frecuentes. Esto es similar a la versión anterior de cih que provocaba el funcionamiento de winzip y no se apagaba (para obtener detalles técnicos detallados, consulte el. título " [Reimpreso] El artículo "Un estudio simple sobre el mecanismo de residencia 3721", la dirección es el artículo /20020711/1620049.shtml). Para aquellos de ustedes que no tienen una unidad de disquete como Tianyuan, no olviden que se ha agregado arranque a win2k/xp. No se trata solo de seleccionar un sistema operativo, sino que, como lilo y grub en Linux, es un. administrador de arranque del sistema operativo - cambio En otras palabras, si podemos construir un sistema operativo que pueda leer y escribir NTFS en el disco duro, y luego usar el arranque para arrancar, ¿no sería posible operar la unidad c sin una unidad de disquete? ? Busque el software vFloppy.exe en Internet. Viene con un archivo de imagen que admite lectura y escritura ntfs. Es fácil de usar y muy infalible (consulte el artículo /SoftChannel/72350068425883648/20040226/1771849.shtml). Por cierto, se menciona la nueva versión yFloppy ya viene con archivos img que admiten lectura y escritura ntfs). Luego elimine los archivos relacionados de 3721, limpie el registro y elimine los archivos relacionados después de reiniciar.

¡En este punto, finalmente expulsamos al fantasma persistente 3721 de nuestro disco duro! !

Debido a varias razones, muchos sitios web mostrarán la ventana de descarga 3721 al mostrar la página, lo que facilitará hacer clic incorrectamente. Este sitio y cualquier otra descarga maliciosa se pueden bloquear en IE. El método específico se puede encontrar (artículo/20030416/1663721.shtml).

En el momento de la publicación, Tianyuan sabe que muchos administradores de redes pares han bloqueado la dirección en la puerta de enlace para evitar que usuarios inocentes sufran daños. Queda un largo camino por recorrer en materia de seguridad de la red y depende de los esfuerzos de todos para erradicar algunas manzanas podridas.