3721推出了更為殘暴的法西斯手段，強迫安裝網路實名

3721推出了更為殘暴的法西斯手段，強迫安裝網路實名

3721推出了更為殘暴的法西斯手段，強迫安裝網路實名

最近，3721 系統剛剛昇級，手段更為卑劣及霸道。

1 在設備驅動層加了保護，而且是boot時立即啟動，即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程式位於windows\system32\drivers\cnsminkp.sys
2 cnsminkp.sys 一旦載入，無法用指令方式卸載這個驅動程式，即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。
3 這個驅動不停地檢測cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即會重建這兩個文件，並且不停檢測service 和software 下面的註冊表，確保cnsminkp這個服務的參數保持和它設定的一致，如果被改動，立即會恢復成原來的樣子。另外，還確保 run 裡有cnsmin.dll
4 這種死皮賴臉的方式，是決心要在記憶體和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統效能迅速下降。
改了註冊表，沒有用，你一重新整理，馬上還原了。
一刪文件，再dir 一看，又回來了。
因為cnsminkp.sys 的程式碼有自我還原功能。一旦啟動後，就開始不停地掃瞄，有異常便立即還原。這段程式碼將大大降低機器的效能

解決方法。
1 安裝另外一個乾淨的windows 系統
2 從這個乾淨的系統啟動，刪除所有的cnsminpk.sys cnsmin.dll文件
3 從原來的windows系統啟動
4 執行spybot軟體，清除3721,並且加上免疫保護

cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。

今天不少網友發現3721這個老婊子又換了新花樣，由於他們的控件沒有作數字簽名，所以就不會出現控件安裝時候的廠商信息，估計他們是交不起那高昂的數字簽名證書費。

而且現在的3721安裝之後，你會發現，無論你怎麼樣搜尋，都不會在硬碟上找到他們的文件（如果是個君子，幹什麼隱藏文件？）。

不過，我發現一個意外的收穫，如果你曾經安裝過3721，並且卸載過它，他們以後就不會再彈出婊子的安裝對話視窗

操作方法如下：

在下面的註冊表專案中
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

新增一個字串串鍵值
命名為CNSUIN，值為1。

該鍵值表示，用戶曾經卸載過3721。

𨠄w i n d o w s R e g i s t r y E d i t o r V e r s i o n 5 . 0 0

[ H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ I n t e r n e t E x p l o r e r \ M a i n ]

" C N S U I N " = " 1 "

==================================
站控件免疫修正檔BanActiveX_V0.03
增加對新的3721昇級包的遮閉
下面是黑名單，使用方法只需要選即可，解除只要不選
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
1B0E7716-898E-48CC-9690-4E338E8DE1D3$3721上網助手
4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686$3721中文郵
8D898B17-976D-44c1-84E6-AF38842AC9EC$3721昇級包
9BBC1154-218D-453C-97F6-A06582224D81$百度搜霸
BC207F7D-3E63-4ACA-99B5-FB5F8428200C$百度搜尋伴侶
9A578C98-3C2F-4630-890B-FC04196EF420$CNNIC通用域名
CF051549-EDE1-40F5-B440-BCD646CF2C25$網易泡泡
15DDE989-CD45-4561-BF99-D22C0D5C2B74$新浪點點通
98FA5667-513F-4F15-8A15-C171477B8847$新浪IE通
2D0C7226-747E-11D6-83F0-00E04C4A2F90$搜狐視瀕播放器
484FF54A-CC44-467E-9C31-5B89FC753007$搜狐工作列
018B7EC3-EECA-11D3-8E71-0000E82C6C0D$XXXToolbar
E8EDB60C-951E-4130-93DC-FAF1AD25F8E7$Mtree Dialers 1
FC87A650-207D-4392-A6A1-82ADBC56FA64$Mtree Dialers 2

or:
執行BanActiveX.exe
選需要遮閉的ActiveX，關閉程序即可
取消遮閉只需要取消選即可。

增加自訂資料庫，直接請編輯BanActiveX.ini，格式見下面的，幾乎不需要說明

程序開放來源碼

資料庫格式：
B83FC273-3522-4CC6-92EC-75CC86678DA4$3721網路實名
ActiveX id $分隔符名字

原作者：復旦大學Lucian