安全模式下自启动的程序(200分)

前几天中了3721，想删除c:/windows/download~里面的有关文件，跑到安全模式下，
delete操作说系统正在使用，系统信息里发现已经被载入了，牛！后来到dos里删了。
各位知道这是怎么做的吗？请讨论。

到www.3721.com，直接到那个页面卸载就可以
不行的话可以注册表
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
删除cnsmin
到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions
删除{5D73EE86-05F1-49ed-B850-E423120EC338}
（里面有cnsmin.dll内容，不同计算机可能不一样）整个项

-----
http://www.8421.org

这个问题是很恶心，我上次也删了好久都没删掉，你先到IE的”选项“的“高级”里把那个“启用网络实名”去掉，或者干脆到”添加删除程序“里把3721卸掉，然后再删除DOWNLOAD！里的文件应该就可以，我也很讨厌3721

哦，理解有误，你是想问安全模式下3721是怎样载入的是吧？
//我也想知道，关注一下......

是在这吧
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions

关闭网络实名在IE的高级设置里就可以修改，就在第一项啊，用的找那么麻烦吗？
[8D]

提前一下，大家注意请看清楚题目，正确理解提问者的意思....

对不起，这段时间没上网。
我的意思是想知道它是怎么把程序在安全模式下自启动的？
删除我当然会了。

感兴趣,听课

这个问题我也很好奇。（先说一段废话）
公司前一段时间请人写了一个浏览器。关键是这个浏览器权限控制的非常严，用孩子
身份进入后无法关闭浏览器和使用别的浏览器（他会自动打开自己），也就是说一旦“家长”
设置好了限制内容后“孩子”是无法浏览黄色网站的（也可以监测杀死QQ等聊天程序）。同
样也无法删除此程序，因为他自启动。后来公司让我们试用看有没有办法解除限制，或者卸
载它。结果我就进安全模式下删了注册表的自启动项，测试结束：）。但是开发的人已经走了
最终没解决这个问题。
我就在想怎么才能让一个进程能在安全模式下自启动，到现在也没搞定。那个浏览器是用
Delphi写的，不过源程序没看到。很可惜。
哪位有思路给大家启发一下。

gz

看来是没有人知道了，结束了吧。

3721网站在www.3721.com下就可删除
要想删除c:/windows/download~中的文件，可用优化大师或超级兔子
因为不知道具体情况，没办法细说

>>我的意思是想知道它是怎么把程序在安全模式下自启动的？
用优化大师看计算机“开机速度优化一栏”，有的程序是在windows开启时加载的
超级兔子也有此选项

俺也中了他的招，不过俺花了两个多小时才搞定他，这东西真是很霸道。3721这个东西首先
是从他的页面部分运行vbscript脚本，然后悄悄下载一个cnsmin.cab的包，以下是他的页面
中的关键部分的脚本代码
<SCRIPT LANGUAGE="VBScript">
<!--
Function InstallCnsMin()
On error resume next
CnsMin.CheckNew "1.1.3.7"
CnsMin.CheckNewEx "1.0.0.6"
CnsMin.ProcessPage
CnsMin.Register "3721home"
' CnsMin.Enable clng(1)
end Function
-->
</SCRIPT>
</head>
<body bgcolor="#FFFFFF" topmargin="0" leftmargin="0" onload="vbscript:InstallCnsMin">
<object id="CnsMin" classid="clsid:B83FC273-3522-4CC6-92EC-75CC86678DA4"
CODEBASE="http://download.3721.com/download/CnsMin.cab#version=1,1,1,0"
height=0 width=0>
</object>
<script language="JavaScript">
<!--
function MM_openBrWindow(theURL,winName,features) { //v2.0
window.open(theURL,winName,features);
}
//-->
</script>
这段代码实现的功能是下载cnsmin.cab包，并解压执行。
下面我来说说他的文件：
在下载了cnsmin.cab的包以后在 c:/winnt/Downloaded Program Files目录下解压成cnsmin.dll 和cnsmin.inf
cnsmin.inf的内容为：
[version]
signature="$CHICAGO$"
AdvancedINF=2.0

[Add.Code]
CnsMin.dll=CnsMin.dll

[CnsMin.dll]
file-win32-x86=thiscab
clsid={B83FC273-3522-4CC6-92EC-75CC86678DA4}
FileVersion=1,1,1,0
RegisterServer=yes

再下来就比较神啦，用我的一个东东跟踪了一下应用程序模块，惊讶地发现在每个应用程序里都有
一个cnsmin.dll，幸好俺也搞过两天hook，根据文件路径很快找到了他的老窝，可是却看不到相关文件，
回到DOS方式下你就能看到啦，在这个Downloaded Program Files目录下一下子生成了
cnshook.dll
cnsio.dll
CnsMin.dll
CnsMinEx.dll
CnsMinIO.dll
CnsMinSV.dll
CnsMinEx.cab
CnsMinHK.cab
CnsMinIO.cab
CnsMinSV.cab
CnsMinUp.cab
CnsMin.inf
CnsMin.ini
CnsMinEx.ini
还有一个3721的目录其中有cnsMin.dll,cnsmin.inf.
喝，文件还真不少啊，这些个鸟东西可是各有各的用处（可以随意想象一下哦），在CnsMinEx.ini文件中写着
[Add]
CnsMinIO.dll=1.0.1.8
CnsMinSV.dll=1.0.1.1
CnsHook.dll=1.0.0.6
[Remove]
[CnsMinIO.dll]
Url=http://download.3721.com/download/CnsMinIO.cab
[CnsMinSV.dll]
Url=http://download.3721.com/download/CnsMinSV.cab
[CnsHook.dll]
Url=http://download.3721.com/download/CnsMinHK.cab
这下大家该明白了吧。
原理大致如下：
1. 通过他的首页下载CnsMin.cab，执行注册并运行。这个CnsMin.dll是个全局的钩子，负责监控他的各个文件

2. 在完成第一步后，在陆续下载了别的几个cab包，其中CnsMinEx.cab中的CnsMinEx.ini就比较明确地指明了其中几个包的下载地址。

3. 其他几个.dll文件的作用我就不说了（俺也不知道），凑合着观其名，猜其意吧，不过真正起作用的也就是这几个.dll啦。

4. 首先是运行CnsMin.dll，他是通过rundll32.exe 了调用CnsMin.dll中的Rundll32这个函数（不知为什么他要把自己的函数写成和Rundll32.exe同名）
在这个CnsMin.dll中还有其他几个函数，他们完成修改注册表的和其他一些控制，而且在你删除别的文件，和清除注册表后，他会重新恢复。
这就是你为什么总是干不了他的原因。

清除方法：
1. 断开网络连接，为后面的操作做准备。
2. 搜索注册表中含后cnsmin的字节并把他删除掉。
3. 找到他的老窝一举删除他的相关文件。
4. 其中有几个.dll被他做了进程二级跳，通过cnsmin调用。所以把他们重命名。
5. 重起机器，删除掉干才没删除掉的文件就可以啦。

通常在资源管理器中有一个rundll32.exe的进程，他就是用来调用cnsmin.dll的，而cnsmin.dll又调用了其他几个.dll文件
所以只能查到cnsmin.dll，这个进程无法结束，所以在我们进行以上操作时，他的钩子是一直活着的。
在删除操作时，当他发现注册表中他的相关项被更改时，他就会自动连接他的网络服务器重新下载，并
修复你的修改删除动作。所以断开网络连接就是要掐断他的后路。
完成以上工作后，在清查一下注册表，查找一下文件，确定了，在激活网络连接。

好啦，俺的解释可能会很粗糙，不过大家依此法，应该可以搞定的。俺要下线啦，拜，别忘了给俺分啊！：）

aq100真实厉害，把问题全部剖析出来了，高手。

CYJ，现在还好吗，李林还在吗？他的电话怎么打不通，帮我问问看，

zygzw:李林在啊，你打2038好了。现在在哪里开心啊？

我本来想今年考研，现在不想考了，现在在南昌一家软件公司，刚上班不久，我电话改了：13184570537，帮我也把这个电话告诉李林，要他跟我联系一下，我打他的手机好象不通。

哇，历害。
可是你怎么避免不再受它的骚扰呢？我简直快烦死了，因为大部分的网站一上去就提示你安装。
刚刚发现有一个很妙的办法，哈哈哈。。。大家广为宣传，广为宣传。

http://www.3c3a.com/show.php?type=03&id=1032317937

很多人不喜欢3721功能，但是又觉得卸载很困难，利用下面这个办法，可以解决你的忧虑。

HOSTS文件是Windows里面自带的将主机名称映射到 IP 地址的一个文本格式的文件，在Win98里面，他的名字叫做HOSTS.SAM，一般C://Windows里面，如果C://Windows里面没有，大家可以搜索得到，而在Win2000/XP里面，他的名字叫做HOSTS，没有扩展名，位于//%Systemroot%//System32//Drivers//Etc 文件夹中（%Systemroot%指系统安装路径）。无论是在Win98还是WinXP里面，我们都可以利用HOSTS这个文件屏蔽3721。操作步骤如下：

我们用记事本打开这个文件，一般会看到

Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a /'#/' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

我们把下面一段话加入在最后面，然后保存就可以屏蔽3721了。

127.0.0.1 3721.com #3721网络实名
127.0.0.1 3721.net #3721网络实名
127.0.0.1 cnsmin.3721.com #3721网络实名
127.0.0.1 cnsmin.3721.net #3721网络实名
127.0.0.1 download.3721.com #3721网络实名
127.0.0.1 download.3721.net #3721网络实名
127.0.0.1 www.3721.com #3721网络实名
127.0.0.1 www.3721.net #3721网络实名

如果你想解除屏蔽，只需要把上面自己添加的内容删除即可。

不足的地方：以后不能访问3721的站点。

真的行的话老兄你就是英雄了。
wolf_cyj,好久不见最近如何