瞧瞧！瞧瞧咱们的“反间谍专家”！

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛瞧瞧！瞧瞧咱们的“反间谍专家”！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

本主题由版主天月来了于 2009-9-11 7:05:03 执行关闭主题/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-07-05 00:09 \| 只看楼主短消息资料字号：小中大 1楼瞧瞧！瞧瞧咱们的“反间谍专家”！上网助手的厉害已经领教过——很难卸载。试试“反间谍专家”如何？妈呀！一样。安装时监控文件创建，没发现什么特别的。重启之后，KIS2006突然提示——有注册表项添加（指向C:\windows\system32\drivers\目录下的CnsMinKP.sys！）。晕死！刚才监控文件创建时没有这个文件啊！翻到C:\windows\system32\drivers\目录下一看——果然有CnsMinKP.sys！怒！打开IceSword，禁止进程创建，禁止协件功能，结束一切不必要的进程（对付木马的老招）。然后用IceSword删除CnsMinKP.sys；删除3721文件夹。删除注册表中带3721的所有项目。再用TuneUp清理一下注册表垃圾。谢天谢地！总算搞定了这个难缠的“反间谍专家”！！ 2005-07-11 11:28:18
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

Angel784 叱咤花甲狮帖子:4331 注册: 2003-02-28 来自:	发表于： 2005-07-05 01:22 \| 短消息资料字号：小中大 2楼所谓“反间谍专家”，其实本身就是间谍
Angel784 叱咤花甲狮帖子:4331 注册: 2003-02-28 来自:

文扬横据古稀狮帖子:7287 注册: 2004-09-05 来自:天津	发表于： 2005-07-05 06:49 \| 短消息资料字号：小中大 3楼也是3721的 1 在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于 windows\system32\drivers\cnsminkp.sys 2 cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15 3 这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保 run 里有cnsmin.dll 4 这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin. dll,使系统性能迅速下降。
文扬横据古稀狮帖子:7287 注册: 2004-09-05 来自:天津

hellokiddy 锋芒艾服狮帖子:1762 注册: 2005-04-15 来自:	发表于： 2005-07-05 10:29 \| 短消息资料字号：小中大 4楼我卸载反间谍专家后在注册表理HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru＼里找到CnsMinKP.sys和cnsmin.dll... 但是在C:\windows\system32\drivers\目录下却找不到CnsMinKP.sys（隐藏的和受保护的文件我都显示了）. 然后我按斑竹的方法用IceSword删掉注册表里的CnsMinKP.sys和cnsmin.dll....但是我一退出IceSword，在注册表里又发现那两个家伙！无疑是CnsMinKP.sys在捣鬼，，但它在哪呢？我全盘都搜索不到！（别告诉我怎样显示隐藏和受保护的文件．我知道该怎么做）. 请斑竹明示！
hellokiddy 锋芒艾服狮帖子:1762 注册: 2005-04-15 来自:

大版主

发表于： 2005-07-05 11:07 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【hellokiddy的贴子】
无疑是CnsMinKP.sys在捣鬼，，但它在哪呢？我全盘都搜索不到！（别告诉我怎样显示隐藏和受保护的文件．我知道该怎么做）.
请斑竹明示！
...........................

用IceSword可以找到。

海生社区嘉宾帖子:21060 注册: 2003-12-06 来自:元老院	发表于： 2005-07-05 12:04 \| 短消息资料字号：小中大 6楼很多反间谍软件都是这样的，其实真正的间谍战难道不也是如此吗？
海生社区嘉宾帖子:21060 注册: 2003-12-06 来自:元老院

锋芒艾服狮

发表于： 2005-07-05 12:44 | 短消息资料

字号：小中大 7楼

引用:

【baohe的贴子】
用IceSword可以找到。
...........................

找到了，咔嚓了，谢谢！

感觉不对初生襁褓狮帖子:43 注册: 2004-08-19 来自:	发表于： 2005-07-05 16:59 \| 短消息资料字号：小中大 8楼我用了个软件.大家可以试试看阿 Spybot - Search & Destroy 专门清除流氓间谍软件的用起来不错,国外做的.哈哈能清除3721那个CnsMin.就凭这一点就非常不错的.
感觉不对初生襁褓狮帖子:43 注册: 2004-08-19 来自:

萱静丞丞健康舞勺狮帖子:200 注册: 2005-04-23 来自:	发表于： 2005-07-07 14:45 \| 短消息资料字号：小中大 9楼 baohe，IceSwor是什么？如果我删除了3721，有什么软件可以代替？卡卡正在测试中，我暂时不想装，我怕出问题了不会搞。唉，我这个帖子好菜哦！不过我还是要问哦！不耻下问才有进步嘛！
萱静丞丞健康舞勺狮帖子:200 注册: 2005-04-23 来自:

初生襁褓狮

发表于： 2005-07-07 16:05 | 短消息资料

字号：小中大 10楼

引用:

【baohe的贴子】
用IceSword可以找到。
...........................

IceSword是什么软件,在哪儿可以下载?

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-07-05 00:09 \| 只看楼主短消息资料字号：小中大 1楼瞧瞧！瞧瞧咱们的“反间谍专家”！上网助手的厉害已经领教过——很难卸载。试试“反间谍专家”如何？妈呀！一样。安装时监控文件创建，没发现什么特别的。重启之后，KIS2006突然提示——有注册表项添加（指向C:\windows\system32\drivers\目录下的CnsMinKP.sys！）。晕死！刚才监控文件创建时没有这个文件啊！翻到C:\windows\system32\drivers\目录下一看——果然有CnsMinKP.sys！怒！打开IceSword，禁止进程创建，禁止协件功能，结束一切不必要的进程（对付木马的老招）。然后用IceSword删除CnsMinKP.sys；删除3721文件夹。删除注册表中带3721的所有项目。再用TuneUp清理一下注册表垃圾。谢天谢地！总算搞定了这个难缠的“反间谍专家”！！ 2005-07-11 11:28:18
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：