深山红叶启动光盘（WinPE＆PE Builder）讨论专帖[另开主题一律删除]

emca

下面引用由xubo1971在 2005/06/06 08:32pm 发表的内容：
现在网上有些网站真是歹毒，故意修改浏览客户的系统使其一打开IE就到XX网站。不同的是以前主要是修改IE，现在有很多不是修改IE，用IE修复软件根本没有用，估计是木马，很难清理掉。大家有什么好方法没有？如果有 ...

针对这位兄弟所说的情况，物特意在深山红叶PE中放入了“系统监视狗”Winpatrol。有了这个东西，基本上可以保证恶意程序的侵入可以被随时发现并清除。建议安装到系统中作为杀毒软件的补充！我经常不启动杀毒监控，但这个东西是万万不能少的，针对目前垃圾插件、木马等其作用比马后炮的杀毒软件好多了！
另外，3721是极其讨厌的！我是新装好系统后就立即免疫，并且采用了极其严格的安全措施，但今天不想在IE工具菜单中居然发现了“设置网络实名”的命令！！真操3721所有家伙的祖宗十八代！！！（全世界人骂我没修养都罢了）。我现在发誓要做一款专门彻底清除并真正免疫3721的工具，放在光盘中，然后在QQ中请讨厌3721的兄弟传播！！珍惜生命，远离3721！

epo

下面引用由emca在 2005/06/06 09:40pm 发表的内容：
我现在发誓要做一款专门彻底清除并真正免疫3721的工具，放在光盘中，然后在QQ中请讨厌3721的兄弟传播！！珍惜生命，远离3721！

严重支持!!!

clwx

下面引用由emca在 2005/06/06 09:40pm 发表的内容：
针对这位兄弟所说的情况，物特意在深山红叶PE中放入了“系统监视狗”Winpatrol。有了这个东西，基本上可以保证恶意程序的侵入可以被随时发现并清除。建议安装到系统中作为杀毒软件的补充！我经常不启动杀毒监控　...

大大这么精细的人也被3721这么恶劣的垃圾住进了系统....哦就更不用说了......前天一下子中了三大垃圾..一搜...3721..还有划词搜索.....哦也免疫了系统....还是不知道怎么中的.555555  清楚实在是一件麻烦的事情..后来就直接GHost原来的纯净系统了.....真希望有完全杜绝这种垃圾的方法....还有就是中招后很难清理干净.........太麻烦了.

wang6071

下面引用由emca在 2005/06/06 09:40pm 发表的内容：
另外，3721是极其讨厌的！我是新装好系统后就立即免疫，并且采用了极其严格的安全措施，但今天不想在IE工具菜单中居然发现了“设置网络实名”的命令！！真操3721所有家伙的祖宗十八代！！！（全世界人骂我没修养都罢了）。我现在发誓要做一款专门彻底清除并真正免疫3721的工具，放在光盘中，然后在QQ中请讨厌3721的兄弟传播！！珍惜生命，远离3721！

其实对3721还是有工具对付的（kv2005可以监视注册表中新增的键值) ，如果嫌kv2005太大，偶以前也发过偶写的工具：变化监视(可以自动清除软件在注册表启动项中添加键值),对3721之类无赖有一定效果，不妨试试。
工作原理：
    软件每次设为随系统启动(当然也可手动启动),启动后则将当前注册表中运行项目作一保存。然后随时对照，一旦发现有程序往启动项中加键值则立马删除。(也就是说除非你退出我的程序来安装3721,它才加得进去)
    同时，针对某些恶意网页启动的恶意程序，也可方便在软件的进程管理中删除。（一般这样的程序都加在我的进程监视的进程之后，非常好认，不易误操作)
    启动菜单的第一页可代直接删除注册表中的启动项。
    还有一个功能是左键光驱开关，右键调出菜单。
     
下载：http://wangsea.ys168.com/
这个软件偶没有压缩过，用Aspack压缩一下也就100多K,纯绿色软件。

jlzzf

现在有一类木马，是一个DLL文件，怎么都清除不了，用KillBox都删不下去，总之这个文件就赖在系统中不走了，我只好重新恢复系统了。不知道有没有更好的文件删除工具？

clwx

下面引用由jlzzf在 2005/06/07 07:04am 发表的内容：
现在有一类木马，是一个DLL文件，怎么都清除不了，用KillBox都删不下去，总之这个文件就赖在系统中不走了，我只好重新恢复系统了。不知道有没有更好的文件删除工具？

进入保护模式就可以清楚这些dll文件.不要忘记删除相应注册表里面的垃圾...

zepcsxf

下面引用由emca在 2005/06/06 09:40pm 发表的内容：
针对这位兄弟所说的情况，物特意在深山红叶PE中放入了“系统监视狗”Winpatrol。有了这个东西，基本上可以保证恶意程序的侵入可以被随时发现并清除。建议安装到系统中作为杀毒软件的补充！我经常不启动杀毒监控　...

强烈支持!
我不喜欢在我不知道的时候被偷偷地安装上这些乱七八糟的东西,偶尔在安装一些软件时上过当(有些软件在安装时根本就不告诉你会自动安装那些乱七八糟的东西).

emca

紧急通知：
    为杜绝网络垃圾插件对系统资源的消耗和对我们正常上网的干扰，这里特征集感染各种垃圾插件（如 3721、网络猪、Dudu等）后系统中新添加的目录名和（或）文件名，如果知道注册表中创建的键值也请顺便告知。以便我制作一个专门免疫它们的脚本。由于本人采取了一定安全措施，因此不一定保证目前的所有垃圾插件都能够成功感染到，因此只好向大家求援！
    目前，网络上通行的做法是在注册表中对垃圾插件的 ActivX 控件进行免疫，但对于那些捆绑在各种所谓工具中的、汉化包中的垃圾，则根本无法对付；指望杀毒软件也不行，因为这些垃圾也算是一个半恶意的工具，不好定性的；制作专门的后台监视工具更不好，因为其本身也要消耗系统资源。
    因此，综合上述原因，较有效的办法是利用 NTFS 文件系统的特性，预先在硬盘上生成垃圾插件的目录和文件（可以生成0字节的同名文件；如果已经存在垃圾目录和文件则先破坏它并把其内容清零，以减少空间占用！），设置为隐藏属性，再将它们的访问权限设置为 Everyone 都拒绝访问。
    另外，对于其注册表中的键值，也可采取上述的同样做法：清空键项下所有内容后锁定它！
    从本人尝试的结果来看，上述做法的磁盘空间占用、系统资源消耗都等于 0！但效果可以达到 100%！
    这样，我们的工具光盘又有一个极其实用的工具了！
    我们甚至可以考虑采取一种开放式接口，在程序中允许用户自己添加要免疫的目录或文件名！
    请大家发表意见，积极提供垃圾插件的相关信息！谢谢支持和帮助！
    注意：为避免大量水贴，请注意一下您想检举的垃圾信息在前面是否有兄弟已经提供过。

z11843730

3721是不道德，是极其讨厌的，安装也不问一声。
我是最讨厌这样的，坚决打掉。
整个是一个拉级！！！

clwx

下面引用由lxhyhl在 2005/06/07 08:34am 发表的内容：
你的问题用深山红叶中的"杀毒助手"就立马解决.   用它结束所有非系统进程.然后开启杀毒软件 升级-----查毒. 我用它解决了N多能结束杀毒软件的病毒.杀毒软件也查不到的就在DOS下删.

有些极为垃圾难缠的垃圾进程哦不到安全模式根本就干不掉~~~

emca

今天发现，要寻找垃圾插件，只需到湖南衡阳水晶工作室随意下载一个它的“免费”软件，然后你什么“好东西”全都有了！什么百度搜霸、CNNIC中文上网……
最讨厌的是CNNIC中文上网！这个比 3721 还要恶劣！即使你封闭所有可能找到的入口，它仍然阴魂不散，看来是感染了系统文件，并利用了线程插入技术！我甚至使用各种可以查看进程列表中组件模块的工具都找不到它的加载痕迹！正在进一步查找中！目前找到它在系统不同位置植入了24个文件，注册表中添加的垃圾更是不计其数！看来不在安全模式或者不使用PE是无法解决的了！目前的所有工具都没有办法干掉它，包括文件强行删除、注册表清理…………能用的工具都用了！

yy01

请教：我用深山红叶V20启动WINPE，然后运行网络配置，为什么显示：“Failed to install network adapter - check WINBOM”，无法使用网络，我的网卡是RT8139,光盘上好象有驱动，但无法使用，请指点。

clwx

[这个贴子最后由clwx在 2005/06/07 12:35pm 第 2 次编辑]

下面引用由emca在 2005/06/07 11:26am 发表的内容：
今天发现，要寻找垃圾插件，只需到湖南衡阳水晶工作室随意下载一个它的“免费”软件，然后你什么“好东西”全都有了！什么百度搜霸、CNNIC中文上网……
最讨厌的是CNNIC中文上网！这个比 3721 还要恶劣！即使你　...

老大厉害啊...这样"好的免费"软件都能找到~~~~
有个方法给老大参考.看看有没有帮助..一种rip软件的方法. 以前在绿色软件站看到过的.
1.首先需要一个纯净的系统..使用RegSnap 3.0作注册表备份...!Uninstall Manager4.2系统快照.
2.安装这个"免费"的垃圾软件...
3.再用regSnap3.0作一次安装后的注册表快照..比较前后注册表变化,可以得到一个完整的reg文件变化情况.
4.再用Uninstall manager作系统快照.比较前后系统文件的变化可以准确的找到所有安装文件的变化.
5.下面就是对症下药了...
绿色软件站他们一般rip软件都是采用这个方法找注册表和软件安装的位置. 这两个软件也是以前在那里下载的..如果此法有帮助的话,那最好不过了...
注意:一定要做好一个纯净系统的ghost或其他备份...如果操作有误可以立即恢复从来.
上面提到的两个软件可以到这里下载到
http://www.breaktime.ys168.com/

xiamenatc

CNNIC
file: C:\WINNT\system32\CdnAux.dll
file: C:\WINNT\system32\CodeLib.dll
file: C:\WINNT\system32\Cdnficfg.dat
file: C:\WINNT\system32\IdnMail.exe
file: C:\WINNT\system32\IdnAcc.dll
file: C:\WINNT\system32\Idnmail.ini
file: C:\WINNT\system32\idnoe.dll
file: C:\WINNT\system32\nsp.dll
file: C:\WINNT\system32\capp.exe
file: C:\WINNT\system32\zver.dat
file: C:\WINNT\system32\zunins.exe
file: C:\WINNT\system32\CdnHint.dat
file: C:\WINNT\system32\zconfig.dat
file: C:\WINNT\system32\character.dat
file: C:\WINNT\system32\CdnProt.dll
file: C:\WINNT\system32\drivers\ahook.sys
RegDLL: C:\WINNT\system32\cdn.dll
RegDLL: C:\WINNT\system32\CdnIEHlp.dll
RegDLL: C:\WINNT\system32\idnol.dll
RegKey: HKCU "Software\Local AppWizard-Generated Applications\Idnmail"
RegKey: HKLM "SOFTWARE\CdnAssist"
RegKey: HKLM "SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CDN"
RegKey: HKLM "SYSTEM\CurrentControlSet\Services\AHOOK"
RegKey: HKCR "CLSID\{9A578C98-3C2F-4630-890B-FC04196EF420}"
RegKey: HKCR "CLSID\{35980F6E-A137-4E50-953D-813BB8556899}"
RegKey: HKCR "CLSID\{D449EB58-55AF-4695-B216-895D546AED89}"
RegKey: HKCR "CLSID\{461A86F7-A29D-460A-80D5-52979AA6C46D}"
RegKey: HKLM "SOFTWARE\Microsoft\Internet Explorer\Extensions\{35980F6E-A137-4E50-953D-813BB8556899}"
RegValue: HKLM "SOFTWARE\Microsoft\Windows\CurrentVersion\Run" CApp
最好用卸载程序直接卸载了。

huangwen

楼上的介绍办法不错,对不太了解的程序安装我都是用类似的方法,RegSnap5.0 + WinTools.net Professional 5.61(推荐使用其Clean Un功能) 同用,程序安装后的所有改动都一目了然.可以随意取舍不想要的"垃圾".

yuehong1016

鄙视３７２１，支持大大

czw

运行C:\WINNT\system32\zunins.exe卸载

czw

下面引用由emca在 2005/06/07 11:26am 发表的内容：
今天发现，要寻找垃圾插件，只需到湖南衡阳水晶工作室随意下载一个它的“免费”软件，然后你什么“好东西”全都有了！什么百度搜霸、CNNIC中文上网……
最讨厌的是CNNIC中文上网！这个比 3721 还要恶劣！即使你　...

老大一定要留住这个好东西，以后测试用得上！

xiawan

有段时间没上网了
变化可真大啊！
支持 支持

yy01

已经搞定，不用麻烦了。

luxp

下面引用由clwx在 2005/06/06 11:43pm 发表的内容：
大大这么精细的人也被3721这么恶劣的垃圾住进了系统....哦就更不用说了......前天一下子中了三大垃圾..一搜...3721..还有划词搜索.....哦也免疫了系统....还是不知道怎么中的.555555  清楚实在是一件麻烦的事情. ...

这些东西确实很讨嫌。

luxp

下面引用由emca在 2005/06/07 08:11am 发表的内容：
紧急通知：
    为杜绝网络垃圾插件对系统资源的消耗和对我们正常上网的干扰，这里特征集感染各种垃圾插件（如 3721、网络猪、Dudu等）后系统中新添加的目录名和（或）文件名，如果知道注册表中创建的键值也请顺 ...

大家行动起来，都来支持红叶兄。

luxp

易趣购物
会在开始菜单和桌面上各增加一个快捷方式图标，指向以下地址：
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-194?cn=song;icon;hp&mpro=http://www.ebay.com.cn

emca

下面引用由xiamenatc在 2005/06/07 01:01pm 发表的内容：
CNNIC
file\WINNT\system32\CdnAux.dll
file\WINNT\system32\CodeLib.dll
file\WINNT\system32\Cdnficfg.dat
...

我今天遇到的由衡阳水晶工作室捆绑的 CNNIC 远远没有那么简单！
兄弟所说的文件、目录、注册表项目我全都处理了，我对所有位置和文件的访问权限都设置为 Everyone 拒绝访问，然后重启！反复多次处理，但 Winpatrol 仍然报告有Run键值被修改，手工进入注册表发现Run中确实有它的调用命令，但根本没有办法删除！所有工具都删除不掉，只要刷新就又回来了！我用文件访问监视工具、注册表访问监视工具，都没有找到是由什么程序在访问和保护这个键值！！我甚至用Winhex对所有系统内存进行搜索，也没有发现可疑踪迹！安全模式也无效！！
万般无奈，仍然只得从PE引导，但仍然没有发现可疑文件；在PE中编辑硬盘注册表，用几个不同关键字狠狠搜索一番，仍然可以找到许多隐藏的键值（Windows环境下由于CNNIC病毒的监视和保护，许多隐藏键值无法被发现。），删除后，再次引导到Windows，终于解决！可以说，这个病毒采用了目前所有最先进的病毒技术：线程插入、注册表监视守护和隐藏、系统文件感染插入病毒代码、在线自动更新和植入……只要你中了招，要彻底根除是非常困难的，远非什么注册表或安装监视程序可以摆平的！必须借助PE，在安装它前后分别从PE环境导出注册表进行比较，并对系统目录的所有系统文件进行校验备案，然后分别比较，才能真正搞明白！
这种东西在国内都能够合法存在，说明国家某些机构已经腐败到根了！
这种变态，说明它有不同的版本。比如我中的这个版本，使用其自带的卸载程序，根本就没有完全卸载（可完全排除卸载方法不当问题）！！

wang6071

以下是搜索来的，各位请试用一下，看效果如果
3721、CNNIC、Alibaba 卸载程序 3in1 2004.10.6(蓝色网际)
http://www.onlinedown.net/soft/31418.htm
IE中屏蔽掉任何ActiveX调用，当然也就可以用来屏蔽3721，CNNIC等恼人插件
REGEDIT5
#B83FC273-3522-4CC6-92EC-75CC86678DA4 /3721
#9A578C98-3C2F-4630-890B-FC04196EF420 /CNNIC
#CF051549-EDE1-40F5-B440-BCD646CF2C25 /POPO
#4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686 /中文邮
#BC207F7D-3E63-4ACA-99B5-FB5F8428200C /Baidu
#9BBC1154-218D-453C-97F6-A06582224D81 /Baidu
#00000566-0000-0010-8000-00AA006D2EA4 /Adodb.Stream 2.7
#4B106874-DD36-11D0-8B44-00A024DD9EFF /Adodb.Stream 2.5

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9A578C98-3C2F-4630-890B-FC04196EF420}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CF051549-EDE1-40F5-B440-BCD646CF2C25}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9BBC1154-218D-453C-97F6-A06582224D81}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4B106874-DD36-11D0-8B44-00A024DD9EFF}]
"Compatibility Flags"=dword:00000400

xlfd6

Cpu-Z v1.29 汉化版已经出来了，建议更新

emca

大家不要幼稚地认为，对注册表几个键值免疫一下就可以逃避那些垃圾插件的骚扰了，那些传统做法对于通过浏览器感染的插件当然有效，但对于以捆绑方式感染的插件病毒就没有任何效果！！

推士机

NND，中国互联网络信息中心（CNNIC）病毒制造技术的确一流！

推士机

WZ狂毛兄说得好：
http://bbs.winzheng.com/viewthread.php?tid=736280&fpage=1&highlight=%BA%E2%D1%F4%2B%CB%AE%BE%A7

鑫森淼焱垚

估计这是监控我们上网的手段。