CnsMin.dll 不是病毒,是3721的软件!
网上前一段时间传的3721写进了驱动层无法彻底删除等等一些事后,3721调整了自己的软件。经笔者试用后发现,3721的卸载程序已经能够比较彻底的卸载该程序。尽管如此。我们在还是谈谈卸载的一些问题,
讲到3721的卸载,这里就得讲到3721的安装,讲到安装3721后软件的添加的文件。
安装过程中有一些temp文件写入。并会在%WINDOWS%\Downloaded Program Files目录中建立 cnsmin.dll、cnsminv.inf、cns02.dat等等文件。最后,你能在这个文件里看见的只有3721的active控件。在系统的program files 里也象征性的有3721的文件夹以及一个名为3721的子文件夹。在驱动的文件夹里(%windows%/system32/drivers/)会有一个叫CnsMinKP.sys的文件。
然后是注册表项:软件除了正常的类注册以及相应的clsid,还有卸载程序的项。由于是activex控件的原因,程序还会建立所以有相应的于ie的activex项。启动加载是在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加项使自己加载,加载方式是用rundll32注册了cnsmin.dll(Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32),尽管上面的文件并不太多,可是这些东西自我保护的很厉害比如cnsminkp.sys、cnsmin.dll是无法删除以或是改名的(你可以试试哟。相当好玩的)。所用的机制是:如果你删除或改名3721的话,3721在系统的程序驻留会给系统返回一个删除成功的消息。实际上该文件还在哪里。(这个有别于dllcatch的保护机制,类似于病毒,更占资源),同样的是你也无法对使其加载的注册表项改动。一切都是徒劳的。另外。由于3721已经写进了驱动层(文件CnsMinKP.sys),也就是说即使在安全模式下3721也会加载的。由于这些保护机制的存在,系统大概使用5m左右的内存。这一点也是大家对3721有所诟病原因。
经过上面的分析可以看出,如果你想手工卸掉3721的话,必须早在系统加载驱动前。而这个难度是不小的。但你可以在另外的一个系统下作手术,比如DOS另一个xp,linux。把驱动的文件CnsMinKP.sys以及%WINDOWS%\Downloaded Program Files目录active控件删除。然后删除注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的3721的加载项,以及用关键词3721和cns来搜索到的项目全删除即可。如果没有删除相应的加载的注册表项,进入系统会弹出警告框。说找不到某某模块。
其实也大可不必这么费心,朋友的一些努力使得3721已经完善了他们的卸载程序,早期的卸载程序中会询问你是否保留控件过滤功能,以及保留上网助手的功能。现在的卸载程序只会询问你是否保留那些上网助手的按钮。经过确认。卸载的完整程度相当高。经过卸载以后,软件也没有产生卸不掉的现象。(卸载方法。进入控制面板,添加卸载程序里找到中文实名。然后点击卸载,重启。3721就正常卸载了)
楼主做一下系统还原吧!保险起见,在安全模式下杀杀毒!楼主好运吧!
3721中文域名的软件,卸载了就行了.这个软件挺赖的,以前几乎是网站就提示安装,现在好象收敛多了