染雾cnsmin.dll的原理与清除方法病毒防治 -电脑资料 篇一
cnsmin.dll是一种恶意软件,它会以动态链接库的形式加载到系统中,对用户的电脑造成严重的危害。它的主要功能是帮助黑客入侵用户电脑,窃取用户的个人信息,并可能对用户的电脑进行远程控制。本文将介绍cnsmin.dll的原理以及如何清除该病毒,保护用户的电脑安全。
cnsmin.dll的原理是通过劫持系统的进程或者在系统启动时自动加载到内存中,然后在用户使用电脑的过程中,监控用户的操作,并将用户的个人信息上传到黑客的服务器上。cnsmin.dll会在用户电脑上创建一些隐藏的文件夹或者注册表项,以确保自身的存活性,并且会不断更新自身的版本,以逃避杀毒软件的检测。
为了清除cnsmin.dll病毒,我们可以采取以下几个步骤:
1.升级杀毒软件:首先,确保你的杀毒软件是最新版本,并且已经完成了最新的病毒库更新。有些杀毒软件可能无法及时检测到新出现的病毒,所以确保你的杀毒软件是最新的非常重要。
2.全盘扫描电脑:使用杀毒软件进行全盘扫描,以便发现并清除系统中的所有病毒。在扫描过程中,杀毒软件会检测到cnsmin.dll病毒,并将其标记为恶意软件,然后进行清除。
3.清理注册表项和隐藏文件夹:cnsmin.dll会在系统中创建一些注册表项和隐藏文件夹,以确保自身的存在。在清除病毒后,我们还需要手动删除这些残留的注册表项和隐藏文件夹。通过运行regedit命令打开注册表编辑器,然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run这两个注册表项中查找并删除与cnsmin.dll相关的条目。另外,在文件资源管理器中显示隐藏文件和文件夹,并删除任何与cnsmin.dll相关的文件夹。
4.加强电脑安全意识:除了清除病毒外,我们还应该加强自身的电脑安全意识。避免下载不明来源的软件和文件,不随意点击来自陌生人的链接,定期备份重要的文件等,这些都是保护电脑安全的重要措施。
总之,cnsmin.dll是一种具有严重威胁的恶意软件,但只要我们采取适当的措施,就可以清除它,并保护好自己的电脑安全。及时升级杀毒软件,全盘扫描电脑,清理注册表项和隐藏文件夹,以及加强电脑安全意识,这些都是保护电脑免受cnsmin.dll病毒侵害的有效方法。
cnsmin.dll的原理与清除方法病毒防治 -电脑资料 篇二
cnsmin.dll是一种常见的恶意软件,它会给用户的电脑带来很大的危害。本文将介绍cnsmin.dll的原理以及如何清除该病毒,从而保护用户的电脑安全。
cnsmin.dll是一种动态链接库文件,它会在用户的电脑中加载,并在后台运行。它的主要功能是帮助黑客获取用户的个人信息,并可能对用户的电脑进行远程控制。cnsmin.dll通常会通过劫持系统的进程或者在系统启动时自动加载到内存中,以确保自身的存在。一旦cnsmin.dll成功加载到系统中,它就会开始监控用户的操作,并将用户的个人信息上传到黑客的服务器上。
为了清除cnsmin.dll病毒,我们可以采取以下几个步骤:
1.使用可靠的杀毒软件:首先,确保你的电脑上安装了可靠的杀毒软件,并且杀毒软件的病毒库已经更新到最新版本。杀毒软件可以帮助我们检测并清除系统中的病毒,包括cnsmin.dll。运行杀毒软件进行全盘扫描,并按照软件的提示进行操作。
2.清理注册表项和隐藏文件夹:cnsmin.dll通常会在系统中创建一些注册表项和隐藏文件夹,以确保自身的存在。在清除病毒后,我们还需要手动删除这些残留的注册表项和隐藏文件夹。通过运行regedit命令打开注册表编辑器,然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run这两个注册表项中查找并删除与cnsmin.dll相关的条目。另外,在文件资源管理器中显示隐藏文件和文件夹,并删除任何与cnsmin.dll相关的文件夹。
3.加强电脑安全意识:除了清除病毒外,我们还应该加强自身的电脑安全意识。避免下载不明来源的软件和文件,不随意点击来自陌生人的链接,定期备份重要的文件等,这些都是保护电脑安全的重要措施。
总之,cnsmin.dll是一种具有严重威胁的恶意软件,但只要我们采取适当的措施,就可以清除它,并保护好自己的电脑安全。使用可靠的杀毒软件进行全盘扫描,清理注册表项和隐藏文件夹,以及加强电脑安全意识,这些都是保护电脑免受cnsmin.dll病毒侵害的有效方法。记住,保持杀毒软件的更新,并定期进行全盘扫描,以确保电脑的安全。
cnsmin.dll的原理与清除方法病毒防治 -电脑资料 篇三
简单研究了一下3721的机制,写在这里,作为心得笔记吧,
cnsmin.dll的原理与清除方法病毒防治
。大部分收获都来自softice + 反汇编,不一定适用于某些版本。1. cnsmin.dll的驻留方式
3721的核心文件:cnsmin.dll
通常存在于
通过注册表run键值加载:rundll32
cnsmin.dll提供了一个函数rundll32供rundll32.exe调用
但这个函数只是调用一个真正的驻留函数rundll32main()。
rundll32main()伪代码:
void rundll32main()
{
hmutex = createmutex("cnsminmutex");
if(error_already_exists)
{
closehandle(hmutex);
exit;
}
if(iswindowsnt()) {
setprocesssecurityinfo();
}
else {
registerprocessasservice();
}
checkversion();
// cnsminkp.sys/vxd 内核驱动程序,保护3721关键文件和注册表项不被删除
contactwithcnsminkpdriver();
// 关键的hook,负责将cnsmin.dll注入其他进程空间
installcbthook();
// 关键的hook,负
关 键 字:病毒防治
相关文章:
McAfee杀毒软件高级设置技巧五招
吃透木马运行原理把它扼杀
学习从系统中删除病毒
360安全卫士推出集三重防护理念
隐藏文件看不到?中毒了!
责将cnsmin.dll注入其他进程空间
installcallwndprochook();
// cnsminio.dll 负责ie地址栏下方的提示
initcnsminio();
// 一些注册表信息
initregistry();
// 保护cnsmin.dll的钩子不被卸载或抢先
installguardtimer();
createmsgwindow();
// message loop
while (true)
{
getmessage(&msg);
translatemessage(&msg);
dispatchmessage(&msg);
}
}
cns 要是通过wh_cbt和wh_callwndproc两个全局钩子注入ie进程空间的,
电脑资料
《cnsmin.dll的原理与清除方法病毒防治》()。注入ie后,又安装了wh_keyboard,wh_debug等钩子。其中对3721实现其"实名转换" 有用的是wh_keyboard。这是一个本地钩子。cnsmin为了保证自己的优先级最高,用了一个定时器函数反复安装钩子,无疑会造成系统性能的下降。
我曾经尝试过自己安装一个wh_debug钩子阻止3721钩子的调用,确实起到了效果,立即可以使3721失效。但这种方法3721仍然驻留ie进程内,属于指标不治本的方法。
强制结束rundll32进程,可以暂时卸载3721的驻留代码。但cnsmin.dll通过com注册已经嵌入ie组件中,重新启动ie后,该进程又会重新启动。
2. 3721的防删除手段
文件系统驱动:cnsminkp*.sys 针对nt/2000/xp有不同版本(98下面是cnsminkp.vxd)
通常存在于
驱动程序,由windows启动时加载。
该驱动程序过滤了对文件和注册表的删除操
关 键 字:病毒防治
相关文章:
McAfee杀毒软件高级设置技巧五招
吃透木马运行原理把它扼杀
学习从系统中删除病毒
360安全卫士推出集三重防护理念
隐藏文件看不到?中毒了!
作。试图删除3721的关键文件和注册表项时,直接返回一个true,使windows认为删除已经成功,但文件和注册表实际上还是在那里。
该驱动程序还有一个黑名单(保存在某个外部文件中),阻止windows读取其他3721的竞争对手的插件文件。
目前还没有找到停止该驱动的方法。
删除方法:在windows启动前(例如,98下面退出到dos)删除cnsminkp*.sys文件。
注意:3721具有自恢复能力。某些关键文件被删除后,其它模块会试图从3721网站重新
下载。所以彻底删除前需要断开网络连接。
3. 针对目前版本的删除步骤:
a) 运行3721自己提供的删除程序。可以删掉大部分的文件。
b) 从dos启动,删除残存文件,如cnsmin.dll,cnsminkp*.*等
可能的目录:downloaded program files目录,program files\3721目录,drivers目录
c) 启动windows,进入桌面时windows会报告一些模块找不到的错误,不用理会,删除
注册表中3721的值。
可能的位置:hkey_current_user: software\3721
hkey_local_machine: windows\currentversion\run
system\currentcontrolset
另外还零散的藏了一些,用关键字查找。
关 键 字:病毒防治
相关文章:
McAfee杀毒软件
吃透木马运行原理把它扼杀
学习从系统中删除病毒
360安全卫士推出集三重防护理念
隐藏文件看不到?中毒了!
