瑞星卡卡安全论坛

安装一游戏，同时用汉化包汉化了一下，再打一IE的时候，发现中招了，汉化包里面带上了万恶的中文网址。虽然以前一直耳闻，它的抗删除能力超过了删除系统，但是一直没有碰到过，今天“有幸”碰到了一次，一定要和它斗一斗！我决不允许我的系统里面装上一丝垃圾。
因为没有找到它的文件：卸载程序，可执行文件……看来它就是要让大家找不到，就没有办法删。但是即然要启动，应该会在自启动项或是服务里面添加上了。最后服务列表里面没有，自启动上面有一个Capp.exe勾掉，再打开msconfig发现那个勾又被勾上了。应该在内存里面的副本自动检测了项，发现被勾掉了自己勾回上去。再搜索了一下硬盘，根本就找不到这个文件。再用中文域名搜了一下注册表，在IE扩展的项里面找到了它是一个：cdnIEhlp.dll在系统目录下面，呵呵，多么有欺骗性的名字，可是到那里一找也找不到，只好删注册表，可是删除出错，应该也是被监视了，只要删除就重建，让系统误以为没有删除成功，再搜索这个文件，也没有找到，为什么它会保护这些根本就不可能再加载到的文件呢？我的猜想是这几个文件加载完成后就自动删除了，等系统关机后再自己保存回到硬盘上。发现我的2003打了SP1后，IE上多了一个加载项管理，进入发现了它的加载项，把它禁用，只可惜MS不提供一个删除的功能。删除工作感觉失败了。
只好到网上搜索一下，因为很久以前都知道有专杀了，可是就是不知道是什么名字。找了一会儿后，就找到了：《3721、CNNIC、Alibaba 卸载程序 3in1 2004.10.6(蓝色网际) 2004》。运行，出来了中文域名的卸载界面，按步骤卸载。重启后，再运行还是有它。看来这个也无能为力。不过它找到了它的那几个在硬盘上的文件。到指定的位置上去看，那几个文件果然在，真是柳暗花明又一村呀。于是尝试删除，不成功，被提示被锁定，呵呵，肯定是被这个病毒进程锁定了。用procexpnt搜一下系统的进程，发现在主svchost.dll的进程里面，作为一项服务启动了，可是在服务列表里面看不到。把这个服务停掉，再删除那几个文件，这时候可以删除了。发现有一个文件竟然放到了windows\system32\drivers目录下面：ahook.sys。我想一般的用户都不敢动这里面的文件。在删除的过程中发现这些文件的名字都是乱起的，上面没有任何的版本，版权信息。如果作为一个正当的程序，谁不想让别人知道这是它作的呢？还不是怕别人找出来被人删除，真是用心险恶。怕正常关机又会被内存的病毒重新激活，所以只好选择暴力重启（直接按reset键）重启后，原来无法删除的注册表项可以删除了，世界终于又恢复了和平：）
感觉写这些东西的人的水平绝对比写病毒的人的水平高多了。可是这些人聪明才智总是不用在正当的路上，为了经济利益用这种手段，还对外号称是大公司呢。只可惜这是在中国，不然就凭这个，估计会被人告得公司会赔得破产。得到的教训是以后宁可看英文的软件界面，也不要打汉化包，特别是汉化新世纪的，其它的软件在装的时候，还会提示是否安装这个垃圾，它提示都没有就直接装了。
其实只要大家都不用这个垃圾，那么已经买了中文域名的人都会退货，那时候这个公司不倒才怪呢。



=========================
# re: 决战中文域名
说了那么多，事实上最主要的几个过程是：
１．3721、CNNIC、Alibaba 卸载程序 3in1 2004.10.6(蓝色网际) 2004下载这个程序，它会帮你找出来哪些文件要删除．这个版本有点老了，所以无法帮你删除，只能你手工删，
２．因为这些文件已经在运行中，所以你在删的过程中会被提示删除失败，你可以用procexpnt来找到这些文件句柄．并关掉它．这时候你就可以删除文件了．重复，直到把文件删除干净为止．
３．暴力重启．再用第一步的软件帮你把注册表项删除掉．
这时候应该就清除干净了