轉自 http://pchome.drj.com.tw/ 電腦家庭雜誌網站 http://www.jone.idv.tw/DrJ%20Q&A/%BA%F4%B8%F4%B9%EA%A6W%A1H.htm#c248173 (縮網址: http://tinyurl.com/drrto ) 網路實名？ Ｑ：我常常因為商務關係，以及許多新的電腦訊息而瀏覽大陸的網站內容。然而就在前幾 天，發現系統開機時增加了一個奇怪的程式，透過PC home教的利用msconfig啟動「系統 組態管理程式」，不管怎麼刪除、取消這個奇怪程式的載入，它每次開機又重新啟動一個 新的，用掃毒程式掃過也沒有用，請問這是不是病毒？要怎麼解決這個問題？ Ａ：這個是近來瀏覽大陸網站的常見問題，未來，此類的程式可能會層出不窮，請各位讀 者小心。 首先，這種程式並不是「病毒」，只是很像病毒的形式而已。這個被稱為「3721網路實名 」的程式，會在你瀏覽一些入口網站時，不知不覺地被安裝上去。這屬於支援IE瀏覽器的 外掛程式，主要是「3721網路實名」開發的，主要的目的是提供入口網站更多的功能。雖 然這些入口網站和3721公司是本著商業行為的標準形式，但片面地為用戶安裝這個外掛程 式就有點不道德了！3721其實就象一個114查號臺，或者象一個全國都在廣泛使用的電話 號碼本，實際上是把黃頁、搜索引擎和軟體這三種技術結合到一起，提供了一個讓企業客 戶迅速找到企業的快速通道，它類似病毒的行為，主要是它一開機就自動啟動，為IE增加 一些功能，但偶爾會使系統運行時，產生不穩定的情況，連帶著影響到上網的速度。有時 候關機時會出現「explorer.exe」錯誤的浮現視窗。另外，電腦每次重新開機時，有機會 會出現「載入C：\windows\downlo~1\cnsmin.dll時錯誤，系統找不到指定的檔案。」 最大的問題就是這個「3721網路實名」，由於程式特殊設計的關係，它是完全沒有移除功 能的！有興趣的讀者，這裏執筆人給你看看它的程式原始碼，看得出來它不是木馬程式和 病毒，但是只要透過msconfig關閉功能，或是更動regstry都沒有用，會自動「變身」， 換個名字繼續啟動，所以永遠刪除不掉！ ‧ 怎麼樣知道自己有沒有「中標」？ 1.使用「msconfig」系統組態管理工具，關閉「jkhajkd.exe」類似的程式，重開機之後 ，它又會以另外一個名字出現。 2.只要啟動IE後，選擇工具選項後，在「進階」設定裡看到這個選項，就知道你「中標了 」。即使你把這些功能的選項打勾都取消也沒用。 ‧ 那麼要怎麼移除它呢？ 這個網頁程式的有趣之處，就是當你連結到包含此程式碼的網頁，它會自動使用「 Rundll32.exe」連結程式庫，此時系統是無法終止 Rundll32.exe執行，因為這是系統重 要的執行程序。因此，要刪除它，一定得重新啟動電腦，一直按下＜CTRL＞，選擇進入安 全模式「SAFE MODE」才可以。 詳細的方法如下： 1、進入安全模式後，使用regedit這個指令，修改windows系統的regedit，唯有這個方法 可以移除網絡實名的程式。 1．按一下「開始」。 2．按一下「執行」。 3．鍵入「regedit」，按一下鍵盤上的鍵。 2、首先先進入以下的機碼字串，「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\ 」，這裡是Windows開機會載入的程式之總集合，我們選擇「 CnsMin」，把這個值整個刪除掉。在WindowsXP、2000的環境下，它的鍵值是「 Rundll32.exe C:\WINNT\DOWNLO~1\CnsMin.dll,Rundll32」，如果是Windows98、ME，那 麼就會是「Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32」 找到這一串後，按一下鍵盤上的鍵刪除。 3、接著，移動到「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\」這一串值，將目錄「!CNS 」刪除掉，它是讓Internet 選 項中的進階設定頁有「3721網絡實名」的選項。 找到這一串後，按一下鍵盤上的鍵刪除。 4、再來，分別進入「HKEY_LOCAL_MACHINE\SOFTWARE\3721\」與「 HKEY_CURRENT_USER\Software\3721\」，將整個目錄「3721」刪除。 找到這一串後，按一下鍵盤上的鍵刪除。 5、另外，「HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\」下有 關「CNS」的值都要刪除，這邊給讀者一個方便的作法，就是用這個程式的尋找功能，將 所有有關「CNS」的值都刪除掉。 找到與CNS相關的值，都是按一下鍵盤上的鍵刪除。 6、在刪除完註冊表中的數值之後，還需要刪除存儲在硬碟中的3721網絡實名檔案，最簡 單的方式，也是利用搜尋的方式，將所有在C:\WINNT\DOWNLO~1 或 C:\WINDOWS\DOWNLO~1\ 下包含「cns」的檔案都刪除掉。 利用搜尋功能，把CNS相關的檔案都刪除掉。 此要你在安全模式下把這些檔案和註冊值都清除，那麼重新啟動電腦，進入正常模式後， 就不會有「3721網絡實名再來煩你了。 =========================== 補充 這樣殺掉還是會留渣 用進版hijackthis掃, 然後打勾fix以下這些 O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003 O9 - Extra button: 手機短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing) O9 - Extra button: Yahoo 1G電郵 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing) O9 - Extra button: 尋寶樂趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing) O9 - Extra button: 上網助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing) O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing) O9 - Extra 'Tools' menuitem: 修復瀏覽器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing) O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing) O9 - Extra 'Tools' menuitem: 清理上網記錄 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing) O11 - Options group: [!CNS] 網絡實名 O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB 降子應該就乾淨了..... 如果其他人還有發現啥3721的殘留物可是上面沒列到的 也請提供一下 :) -- 造成的不穩定包括常斷線,廣告, 無法連線, 系統出現錯誤等.... --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.115.129.123 ※ 編輯: lostname 來自: 61.230.51.223 (06/17 04:28)