易码技术论坛

 找回密码
 加入易码
搜索
查看: 427646|回复: 19

[讨论]一个奇怪现象。

[复制链接]
发表于 2005-1-28 21:13:00 | 显示全部楼层
现在还没摆平么?
 楼主| 发表于 2005-1-28 21:16:00 | 显示全部楼层
没出来了,但是很疑乎……
为什么是明天创建的?
发表于 2005-1-28 21:20:00 | 显示全部楼层
其实,创建时间是可以随便改的……
要是再出现,我就执行下下你给的那个样本,看看到底是什么东东。
 楼主| 发表于 2005-1-28 21:21:00 | 显示全部楼层
我把系统中的3721弄掉了,就没有再出现……
发表于 2005-1-28 21:24:00 | 显示全部楼层
以下是引用Recallinfor在2005-1-28 21:21:43的发言:
我把系统中的3721弄掉了,就没有再出现……

你强!居然能把3721弄干净……
 楼主| 发表于 2005-1-28 21:25:00 | 显示全部楼层
youngshare哥哥,解释一下3721是什么东西,我不明白……
发表于 2005-1-28 21:39:00 | 显示全部楼层
MM,这么出名的东西,你是真不知道还是假不知道啊?-_-|||

很多人说3721是病毒,因为这个软件的品行有点不好,虽然它能为我们使用网络带来些许方便。

1 在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windowssystem32driverscnsminkp.sys。

2 cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。

3 这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll。

4 这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。

[此贴子已经被作者于2005-1-28 21:40:19编辑过]

 楼主| 发表于 2005-1-28 21:48:00 | 显示全部楼层
呜呜呜,那个dload又出来了……[em34]
 楼主| 发表于 2005-1-28 21:57:00 | 显示全部楼层
以下是引用youngshare在2005-1-28 21:39:09的发言:

MM,这么出名的东西,你是真不知道还是假不知道啊?-_-|||

很多人说3721是病毒,因为这个软件的品行有点不好,虽然它能为我们使用网络带来些许方便。

1 在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windowssystem32driverscnsminkp.sys。

2 cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程序,即 net stop cnsminkp 是无法停止这个驱动的。

3 这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保 run 里有cnsmin.dll。

4 这种死皮赖脸的方式,是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。

活活活~全部给我删掉了……
发表于 2005-1-28 22:11:00 | 显示全部楼层
已经运行病毒了,期待它给我带来惊喜,好像还不错的样子……
发表于 2005-1-28 22:48:00 | 显示全部楼层
嗯,不对头了。
这个病毒在我这里什么都不干……
 楼主| 发表于 2005-1-28 23:19:00 | 显示全部楼层
这个病毒在我这里疯狂作案……招架不住,准备玉石俱焚……看它死不死!

准备引导盘:

format c:/s/q

format d:/s/q

…………………………
[em35]
[此贴子已经被作者于2005-1-28 23:20:41编辑过]

发表于 2005-1-28 23:30:00 | 显示全部楼层
没弄清楚的话,就算格了重装能暂时解决问题,要是再感染呢?活活活……

先按我说的试试,实在不行咱再玉石俱焚成不?

[此贴子已经被作者于2005-1-28 23:45:32编辑过]

yao0324 该用户已被删除
发表于 2005-1-29 18:20:00 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2005-1-29 18:39:00 | 显示全部楼层
试过,连DOS都试了
MM大概现在已经重装完了系统了吧。
 楼主| 发表于 2005-1-29 19:25:00 | 显示全部楼层
以下是引用youngshare在2005-1-29 18:39:39的发言:

试过,连DOS都试了

MM大概现在已经重装完了系统了吧。

已经重装好了,宽带问题弄得我满头包……
发表于 2005-1-29 21:07:00 | 显示全部楼层
网路上有高手写的3721的卸载文件.当初我用WIN的时候就用那个把3721给灭了.

搜索了一下DLOAD.EXE,是个暗黑的战网的登录文件??


发表于 2005-1-29 21:12:00 | 显示全部楼层
嗯,3721每月的都不一样,那个卸载程序有时候赶不上更新,我也用过。
那个Downloader是文件名巧合吧。
发表于 2005-10-2 22:33:00 | 显示全部楼层
怀疑是误报。把杀毒软件的启发式查毒关掉看看。

另外很多网站上都有3721,而且有的还不给提示就安装。。。可以用什么东西免疫一下
 楼主| 发表于 2005-1-28 21:10:46 | 显示全部楼层 |阅读模式
电脑病毒监控发现了一个叫TorjanDownloader Dail.C的病毒。

感染了system32有一个叫dload.exe文件。被删除后,过了一会儿,文件再生。

又发现病毒。经过Windows下的扫描和Dos下的扫描,没有发现病毒。

又生成后,查看时间。今天是2005.1.28.

系统上说这个文件的创建时间是2005.1.29

是怎么回事?(没有再出现过)
被干掉了……
[此贴子已经被作者于2005-1-28 21:13:12编辑过]

您需要登录后才可以回帖 登录 | 加入易码

本版积分规则

Archiver|手机版|小黑屋|EMAX Studio

GMT+8, 2024-3-28 20:52 , Processed in 0.012891 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表