今天帮同事整理系统,发现也中了 3721,当即开始清除。先用了两种专杀工具,不成功(一个是运行报错,另一个清除完成重启后仍然没有干净)。在这种情况我下只好自己动手,经过观察发现
比较显示的一处在启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CnsMin=Rundll32.exe "C:WINDOWS\DOWNLO~1\CnsMin.dll",Rundll32
本以为删了就行不料刷新一下又出来了,可见这个烂货在监视注册表的更改,一旦删除了这个键又自动恢复,太 TMD 恶心了。
还有一处是作为驱动运行的 C:\Windows\system32\drivers\CnsMin.sys。
鉴于 3721 臭名远扬,我采取先删文件再清除注册表的方法,避免其纠缠不清。
具体处理方法:
1、用 PE 光盘启动系统,删除上述两处相关文件,其中 C:WINDOWS\DOWNLO~1 下还有好多个 cns 打头的文件都一并删除。
2、启动到原系统,注册表中删除启动项先(系统启动时会报文件找不到的错误,那就表示烂货已经不在了:)),然后用 Registry Crawler 搜索 cnsmin、3721,将找到的键值全部删除。
3、驱动的删除可用我刚刚发的一个工具 pserv2 轻松搞掂。在设备列表中,找到名称为 CnsMinPK 的设备名称,将其删除即可。
4、重启后用现有的 3721 卸载工具再清理一遍,用 upiea 之类的东西屏蔽插件后收工。
总结较为仓促,不当之处请各位斧正。
相关文档浏览