转自 http://pchome.drj.com.tw/ 电脑家庭杂志网站 http://www.jone.idv.tw/DrJ%20Q&A/%BA%F4%B8%F4%B9%EA%A6W%A1H.htm#c248173 (缩网址: http://tinyurl.com/drrto ) 网路实名？ Ｑ：我常常因为商务关系，以及许多新的电脑讯息而浏览大陆的网站内容。然而就在前几 天，发现系统开机时增加了一个奇怪的程式，透过PC home教的利用msconfig启动「系统 组态管理程式」，不管怎麽删除、取消这个奇怪程式的载入，它每次开机又重新启动一个 新的，用扫毒程式扫过也没有用，请问这是不是病毒？要怎麽解决这个问题？ Ａ：这个是近来浏览大陆网站的常见问题，未来，此类的程式可能会层出不穷，请各位读 者小心。 首先，这种程式并不是「病毒」，只是很像病毒的形式而已。这个被称为「3721网路实名 」的程式，会在你浏览一些入口网站时，不知不觉地被安装上去。这属於支援IE浏览器的 外挂程式，主要是「3721网路实名」开发的，主要的目的是提供入口网站更多的功能。虽 然这些入口网站和3721公司是本着商业行为的标准形式，但片面地为用户安装这个外挂程 式就有点不道德了！3721其实就象一个114查号台，或者象一个全国都在广泛使用的电话 号码本，实际上是把黄页、搜索引擎和软体这三种技术结合到一起，提供了一个让企业客 户迅速找到企业的快速通道，它类似病毒的行为，主要是它一开机就自动启动，为IE增加 一些功能，但偶尔会使系统运行时，产生不稳定的情况，连带着影响到上网的速度。有时 候关机时会出现「explorer.exe」错误的浮现视窗。另外，电脑每次重新开机时，有机会 会出现「载入C：\windows\downlo~1\cnsmin.dll时错误，系统找不到指定的档案。」 最大的问题就是这个「3721网路实名」，由於程式特殊设计的关系，它是完全没有移除功 能的！有兴趣的读者，这里执笔人给你看看它的程式原始码，看得出来它不是木马程式和 病毒，但是只要透过msconfig关闭功能，或是更动regstry都没有用，会自动「变身」， 换个名字继续启动，所以永远删除不掉！ ‧ 怎麽样知道自己有没有「中标」？ 1.使用「msconfig」系统组态管理工具，关闭「jkhajkd.exe」类似的程式，重开机之後 ，它又会以另外一个名字出现。 2.只要启动IE後，选择工具选项後，在「进阶」设定里看到这个选项，就知道你「中标了 」。即使你把这些功能的选项打勾都取消也没用。 ‧ 那麽要怎麽移除它呢？ 这个网页程式的有趣之处，就是当你连结到包含此程式码的网页，它会自动使用「 Rundll32.exe」连结程式库，此时系统是无法终止 Rundll32.exe执行，因为这是系统重 要的执行程序。因此，要删除它，一定得重新启动电脑，一直按下＜CTRL＞，选择进入安 全模式「SAFE MODE」才可以。 详细的方法如下： 1、进入安全模式後，使用regedit这个指令，修改windows系统的regedit，唯有这个方法 可以移除网络实名的程式。 1．按一下「开始」。 2．按一下「执行」。 3．键入「regedit」，按一下键盘上的键。 2、首先先进入以下的机码字串，「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\ 」，这里是Windows开机会载入的程式之总集合，我们选择「 CnsMin」，把这个值整个删除掉。在WindowsXP、2000的环境下，它的键值是「 Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32」，如果是Windows98、ME，那 麽就会是「Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32」 找到这一串後，按一下键盘上的键删除。 3、接着，移动到「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\」这一串值，将目录「!CNS 」删除掉，它是让Internet 选 项中的进阶设定页有「3721网络实名」的选项。 找到这一串後，按一下键盘上的键删除。 4、再来，分别进入「HKEY_LOCAL_MACHINE\SOFTWARE\3721\」与「 HKEY_CURRENT_USER\Software\3721\」，将整个目录「3721」删除。 找到这一串後，按一下键盘上的键删除。 5、另外，「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\」下有 关「CNS」的值都要删除，这边给读者一个方便的作法，就是用这个程式的寻找功能，将 所有有关「CNS」的值都删除掉。 找到与CNS相关的值，都是按一下键盘上的键删除。 6、在删除完注册表中的数值之後，还需要删除存储在硬碟中的3721网络实名档案，最简 单的方式，也是利用搜寻的方式，将所有在C:\WINNT\DOWNLO~1 或 C:\WINDOWS\DOWNLO~1\ 下包含「cns」的档案都删除掉。 利用搜寻功能，把CNS相关的档案都删除掉。 此要你在安全模式下把这些档案和注册值都清除，那麽重新启动电脑，进入正常模式後， 就不会有「3721网络实名再来烦你了。 =========================== 补充 这样杀掉还是会留渣 用进版hijackthis扫, 然後打勾fix以下这些 O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003 O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing) O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing) O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing) O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing) O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing) O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing) O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing) O11 - Options group: [!CNS] 网络实名 O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB 降子应该就乾净了..... 如果其他人还有发现啥3721的残留物可是上面没列到的 也请提供一下 :) -- 造成的不稳定包括常断线,广告, 无法连线, 系统出现错误等.... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.115.129.123 ※ 编辑: lostname 来自: 61.230.51.223 (06/17 04:28)