租房买房买生意上iU91
楼主: 小葱拌豆腐
打印 上一主题 下一主题

[网络] 请问高手, 上网助手3721到底好用不?

[复制链接]   [推荐给好友]
11#
 楼主| 发表于 2005-3-14 14:28 | 只看该作者

依计而行

依计而行, 有四个file 改了名字也洗不掉<alrex.dll,helper.dll,autolive.dll,ComObj.DLL>
the message is: access is denied   :frown:
Post by myxy77
firstly find 3721 file in Program file. , then you rename it to any other name, then you can delete it.


Too eric:

进去 regedit, 把3721整个folder都洗了,从新打开,它又回来了. :confused:


另, 多谢指教.
回复 支持 反对

使用道具 举报

12#
发表于 2005-3-14 21:17 | 只看该作者
有那么差马

我一直用它 大概4年多了

挺好用的 整理 恢复 注册表 删除垃圾,防简单的木马 以及sp2以前blockpopups。

没发现什么网站上不去

这类的程序 基本都要常驻内存,一定程度的修改注册码是必然的 没什么可惊讶的, 比百度好多了
回复 支持 反对

使用道具 举报

sinoq挖坑第二高 该用户已被删除
13#
发表于 2005-6-7 06:45 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

14#
发表于 2005-6-9 11:01 | 只看该作者
这个软件充分体现出软件设计者的
阴暗,狡诈,无赖,无耻,流氓
的本性.
回复 支持 反对

使用道具 举报

15#
发表于 2005-6-9 18:00 | 只看该作者
今天我的电脑也中了3721和一搜工具条的彩啦,我是在装豪杰解霸9的时候中的,根本就没有任何提示和问是否需要就给顺带装上了,装了以后电脑顿时就慢了下来.显示CPU一直是在满负荷运转.

卸载3721和一搜工具条以后,把Program Files里面的文件夹和注册表里面所有有关3721和一搜工具条的东东都去掉了,可是在网页的地址栏里面还是有很多十分讨厌和无用的中文地址信息.

请教网页的地址栏里面的东东在哪里能删除啊,谢谢!!!!
回复 支持 反对

使用道具 举报

16#
发表于 2005-6-10 08:43 | 只看该作者
我找到一篇,转贴如下:

远离3721,3721病毒杀除方法详解--------作者:天缘

病毒查杀方案:

    由于网管专题的栏目作用主要是“授人与渔”,天缘把病毒查杀过程经历一并写下,大家共同探讨。

    第一回合:

    当初见此病毒的时候,感觉不过如此,普通木马而已。依照老规矩,先把注册表里相关键值删除,再把病毒文件一删,然后重新启动机器,等待万事ok。启机一看,注册表完全没改过来,该删除的文件也都在。

    结局:病毒胜,天缘败。

    第二回合:

    换了一台机器,下了个卸载帮助工具,以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件,能监视注册表/文件/重要配置文件。Ok,再次安装3721插件,把对注册表的改变/文件的改变都记录下来。(值得注意,因为注册表run和runonce的键是下次启动的时候生效的,因此在重新启动后,还要对比一下文件/注册表的改变才能得到确切结果)。然后对比记录,把3721添加的键全部记下来,添加的文件也记录下来。之后我计划是用安全模式启动,删除文件和注册表,所以写了一个save.reg文件来删除注册表里的相关键值(写reg文件在网管笔记之小兵逞英雄那讲有介绍,等一下在文末我提供那个reg文件给大家参考),写了一个save.bat来删除相关文件,放到c盘根目录下。重新启动机器,进入安全模式下,我先用regedit /s save.reg 导入注册表,然后用save.bat删除相关文件。重新启动机器,却发现文件依然存在,注册表也没有修改成功。通常对付木马/病毒的方式全然无效,令我产生如临大敌之感。

    结局:病毒胜,天缘败。

    第三回合:

    重新启动机器,这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys,WINDOWSDownloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当,准确地说法是——删除之后没有任何错误报告,但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章(名字及url见前文),于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么,只要能开机不加载它不就行了??但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动,而如果想要取消加载,则需要修改注册表,但由于在加载了CnsMinKP.sys后修改注册表相关值无效,导致无法遏制CnsMinKP.sys这个程序的加载。当然,有软驱的朋友可以利用软盘启动的方式来删除该文件,但如果跟天缘一样用的是软驱坏掉的机器怎么办呢?记得绿盟上的文章所说的是——“目前无法破解”。在这一步上,天缘也尝试了各种方法。

    我尝试着改这几个文件的文件名,结果没成功;

    我尝试着用重定向来取代该文件,如dir * > CnsMinKP.sys ,结果不成功;

    我尝试着用copy con <文件名> 的方式来覆盖这几个文件,结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功,但是在覆盖CnsMinKP.sys和CnsMin.dll的时候,居然提示“文件未找到”!?熟悉copy con用法的朋友都该了解,无论是文件是否存在,都应该是可以创建/提示覆盖的,但居然出来这么一个提示,看来CnsMinKP.sys着实把系统都骗过了,强!!跟它拼到这里的时候,回想到了在dos下用debug直接写磁盘的时代了,或许用它才能搞定吧?

    仔细一想,win2k/xp下似乎没有了debug程序了,而或许问题解决起来也不是那么复杂。再又尝试了几种方法后,终于得到了启示:既然文件不允许操作,那么你好作目录如何?

    我先把windowssystem32drivers目录复制一份,取名为drivers1,并将其中的CnsMinKP.sys删除(注意,因为是drivers1中的,所以可以被成功地真正删除掉);

    重新启动机器,到安全模式下;

    用drivers1目录替代原来的drviers目录
    cd windowssystem
    ren drivers drivers2
    ren drivers1 drivers

    之后重新启动机器,然后进到windows后先把drivers2目录删除了,然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件,方便各位删除注册表:

    Windows Registry Editor Version 5.00(用98的把这行改成regeidt4)

    [-HKEY_LOCAL_MACHINESOFTWARE3721]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
    [-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions!CNS]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionUninstallCnsMin]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
    [-HKEY_CURRENT_USERSoftware3721]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionExplorerShellExecuteHooks\]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunCnsMin]
    [-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceEK_Entry]
    [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
    [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
    [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
    [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
    [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
    [-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]

    结局:病毒败,天缘胜。

    (虽然是成功地删除了它,但是感觉赢得好险,如果该病毒加一个禁止上级文件改名的功能那么就真的没折了,为了预防类似的情形,最后还是找到了彻底一点的办法,见下)

    第四回合:

    聪明的读者大概已经想到,既然没有办法在硬盘启动对于c盘是fat32格式的机器,想到这里已经找到了解决办法——用win98启机软盘启动机器,然后到c盘下删除相关文件,然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式,win98启机软盘是不支持的!怎么办?有软驱的机器可以做支持NTFS分区操作的软盘,用ntfsdos这个软件就能做到。而跟天缘一样没有软驱的朋友,别忘记了win2k/xp开始加入的boot,不光是能够选择操作系统而已,而是跟linux下的lilo和grub一样,是一个操作系统引导管理器——换句话说,如果我们能在硬盘上做一个能读写NTFS的操作系统,再用boot进行引导,那么不是就可以在无软驱的情形下实现操作c盘的目的了么?在网络上找到vFloppy.exe 这个软件,它自带一个支持读写ntfs的镜象文件,并且使用简单,非常傻瓜化。然后删除3721的相关文件,重新启动后清理注册表和删除相关文件就行了。

    到此,我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘!!

    由于不少网站基于各种原因,在显示页面的时候都会弹出3721的下载窗口,很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。

    截止发稿为止,天缘所知不少同行网管已经在网关上做了对该地址的屏蔽,防止不知情的用户无辜受害。网络安全任重道远,还要*大家的努力才能把一些害群之马斩草除根
回复 支持 反对

使用道具 举报

17#
发表于 2005-6-11 17:39 | 只看该作者
Post by cindyp7009
今天我的电脑也中了3721和一搜工具条的彩啦,我是在装豪杰解霸9的时候中的,根本就没有任何提示和问是否需要就给顺带装上了,装了以后电脑顿时就慢了下来.显示CPU一直是在满负荷运转.

卸载3721和一搜工具条以后,把Program Files里面的文件夹和注册表里面所有有关3721和一搜工具条的东东都去掉了,可是在网页的地址栏里面还是有很多十分讨厌和无用的中文地址信息.

请教网页的地址栏里面的东东在哪里能删除啊,谢谢!!!!
彻底清除狗太阳的3721病毒完全手册!

如何清除3721?
回复 支持 反对

使用道具 举报

18#
发表于 2005-6-12 21:40 | 只看该作者
<TABLE class=tborder id=post763018 cellSpacing=1 cellPadding=8 width="100%" align=center border=0><TBODY><TR><TD class=alt2 style="ADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; PADDING-TOP: 0px"><TABLE cellSpacing=8 cellPadding=0 width="100%" border=0><TBODY><TR><TD noWrap>oooking <SCRIPT type=text/javascript> vbmenu_register("postmenu_763018", true); </SCRIPT>
Registered User
</TD><TD width="100%"> </TD><TD vAlign=top noWrap>Join Date: Mar 2004
Location: wuhan
Posts: 135


</TD></TR></TBODY></TABLE><!-- / user info --></TD></TR><TR><TD class=alt1><!-- message, attachments, sig --><!-- message -->Quote:
<TABLE cellSpacing=0 cellPadding=8 width="100%" border=0><TBODY><TR><TD class=alt2 style="BORDER-RIGHT: 1px inset; BORDER-TOP: 1px inset; BORDER-LEFT: 1px inset; BORDER-BOTTOM: 1px inset">Originally Posted by cindyp7009
今天我的电脑也中了3721和一搜工具条的彩啦,我是在装豪杰解霸9的时候中的,根本就没有任何提示和问是否需要就给顺带装上了,装了以后电脑顿时就慢了下来.显示CPU一直是在满负荷运转.

卸载3721和一搜工具条以后,把Program Files里面的文件夹和注册表里面所有有关3721和一搜工具条的东东都去掉了,可是在网页的地址栏里面还是有很多十分讨厌和无用的中文地址信息.

请教网页的地址栏里面的东东在哪里能删除啊,谢谢!!!!

</TD></TR></TBODY></TABLE>
彻底清除狗太阳的3721病毒完全手册!

如何清除3721?

谢谢,这二天我已经重装了操作系统.
</TD></TR></TBODY></TABLE>
回复 支持 反对

使用道具 举报

19#
发表于 2005-6-14 05:34 | 只看该作者
就像黑客帝国中的smith,最初是个防病毒的软件,可是由于太有野心了,最后妄图控制主机,结果是被消灭,但是主机的代价也是有的。
回复 支持 反对

使用道具 举报

20#
发表于 2005-10-18 17:29 | 只看该作者
我家用的是雅虎(YAHOO)工具栏,可以全面清理网上痕迹,后来有弄了一个GOOGLE的,我讨厌GOOGLE(讨厌它~讨厌它~讨厌它~讨厌它),而且有两个网页显示很小,就把GOOGLE助手撤除了,以后就在也不弄助手了!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

Copyright © 1999 - 2024 by Sinoquebec Media Inc. All Rights Reserved 未经许可不得摘抄  |  GMT-5, 2024-11-24 07:35 , Processed in 0.052876 second(s), 40 queries .