3721網站網路安全

① 3721上網助手類的是流氓軟體嗎為什麼

軟體介紹：3721上網助手是一個常見的瀏覽器插件，它可以保護我們的電腦不受惡意網站的侵害，並有一定的系統和IE修復能力，在很多時候還是可以幫上我們不少忙的。不過有的朋友是在無意中安裝3721的，一旦3721進入了你的電腦之後，就很難將它完全從系統中卸載干凈，而且3721也沒有提供一個完全的反安裝程序，對此不少網路用戶頗有微詞.

一、下載UPIEA(IE插件屏蔽)IE插件管理專家Upiea 1.49 Pro

點擊瀏覽該文件

二、運行「UPIEA」，選「插件狀態」~~~「本地插件」~~~「上網助手」，旁邊會出現「卸載」，
點擊「卸載」.然後一路確定就好，最後會提示「卸載成功」.

三、關機重啟，進入
C:\Program Files\3721，刪除3721文件夾

四、運行「UPIEA」，選「插件免疫」~~~「國內」~~~把所有有關3721的插件打上勾，進行免疫，最後按「應用」

3721徹底清除方法--推薦
在安全模式下

打開注冊表編輯器。展開注冊表到
HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
在右側窗口中刪除CnsMin鍵。

還是在安全模式下面

展開注冊表到
HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼InternetExplorer＼AdvancedOptions
刪除整個!CNS目錄，這個目錄在「Internet選項-高級」中加入了3721網路實名的選項；

展開注冊表到
HKEY＿LOCAL＿MACHINE＼SOFTWARE＼3721]以及[HKEY＿CURRENT＿USER＼Software＼3721
刪除整個3721目錄；

展開注冊表到
HKEY＿CURRENT＿USER＼Software＼Microsoft＼InternetExplorer＼Main
刪除CNSEnable等幾個以CNS開頭的鍵。

在刪除完注冊表中的項之後，還需要刪除存儲在硬碟中的3721網路實名文件，海豚在這里給樓主介紹一個比較快捷的方法，是：打開「開始」菜單，點擊【查找-文件或文件夾】，分三次在「名稱」中輸入3721、CnsMin、cnsio分別查找，然後把找到的文件全部刪除。
問：但是system32\drivers\cnsminkp.sys刪除不了，刪完一刷新或重新搜索又出來了，怎麼辦？
答：先把windows\system32\drivers目錄復制一份，取名為drivers1,並將其中的CnsMinKP.sys刪除（注意，因為是drivers1中的，所以可以被成功地真正刪除掉）；

重新啟動機器，到安全模式下

用drivers1目錄替代原來的drviers目錄

cd windows\system
ren drivers drivers2
ren drivers1 drivers

之後重新啟動機器，然後進到windows後先把drivers2目錄刪除了，然後慢慢收拾殘余文件和清理注冊表。在這里，海豚提供一個reg文件，方便您盡可能幹凈的刪除注冊表：

Windows Registry Editor Version 5.00（用98的把這行改成regeidt4）

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{
B83FC273-3522-4CC6-92EC-75CC86678DA4 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{
D157330A-9EF3-49F8-9A67-4141AC41ADD4 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{
1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{
A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{
AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
00000000-0000-0001-0001-596BAEDD1289 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
00000000-0000-0001-0001-596BAEDD1289 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
0F7DE07D-BD74-4991-9D5F-ECBB8391875D }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
5D73EE86-05F1-49ed-B850-E423120EC338 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
ECF2E268-F28C-48d2-9AB7-8F69C11CCB71 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
FD00D911-7529-4084-9946-A29F1BDF4FE5 }]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ D157330A-9EF3-49F8-9A67-4141AC41ADD4 }]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]

② 3721是什麼意思

3721是由周鴻禕創立的3721公司提供的中文上網服務———3721「網路實名」，是第三代中文上網方式，用戶無需記憶復雜的域名，直接在瀏覽器地址欄中輸入中文名字，就能直達企業網站或者找到企業、產品信息。

3721的核心產品其實是一種早期形態的搜索：通過下載瀏覽器幫助用戶直接前往目標網站。這家公司的營收來源是針對拉丁字母構成的域名銷售數十萬個中文關鍵詞。

(2)3721網站網路安全擴展閱讀：

「3721」的發展歷程：

1、1998年，「3721」周鴻禕創立3721公司。

2、2003年11月，雅虎宣布以1.2億美元收購3721，這是一家擁有五年發展經驗、將近200名員工的公司，最重要的是它的領導者是一位極具闖勁的本土互聯網企業家周鴻褘。

3、2004年中期，公司因為控制和管理風格上的分歧陷入了運營困境。據悉周鴻褘認為原先雅虎的員工薪水過高，而且作風懶散，而雅虎團隊則感覺自己受到欺 壓，而且認為周鴻褘並沒有專注於雅虎的運營。

4、2009年1月4日，中國雅虎正式放棄3721和雅虎助手的業務發展。

③ 怎麼徹底刪除3721

樓上的辦法還是不徹底,要用到注冊表的

近日接到內網用戶來報，在上到某些站點的時候，會被提示安裝一個叫3721中文實名的插件，部分用戶在不知情的情況下誤點「安裝」選項，導致該病毒駐留於硬碟上難以殺除。天緣雖是網路管理員，但是對Windows操作系統的確使用得不多，從來也沒有用過這個名為3721的插件，但看到用戶們焦急地神情，於是答應盡力而為。經過幾番努力，終於將其斬於馬下。
以下是殺除該病毒得經歷及病毒解決方案。

天緣使用一台windowsxp機器，訪問用戶提供的站點，下載並執行了該插件。該插件為中文，自動安裝後重新啟動機器後生效，並自帶卸載功能。通過安裝/卸載前後的對比觀察，其駐留性、自身保護性及對系統性能的大量損耗，讓天緣確定了該插件確是病毒無疑！

病毒發作現象：
自動將瀏覽器的「搜索」功能重定向到一個叫www.3721.com的網站，該站點為中文站，且無法修改；
強行在用戶ie上添加「情景聊天」、「上網加速」等幾個圖標；
不斷刷新注冊表相關鍵值，以達到成功駐留和大量消耗用戶主機資源的目的；
每次啟機載入，並自帶進程保護功能，在正常地windows啟動下難以殺除；
5. 帶自動升級功能，每次用戶上網使用ie時，該病毒會後台執行升級；

病毒自身特點：
自帶卸載功能；該病毒為達到隱藏自身目的，麻痹下載插件用戶的目的，提供了卸載程序。但根據天緣的使用情況發現，在卸載後，該病毒程序依然駐留，啟動時仍然載入，依然監視、改寫注冊表；
採用網路升級方式；該病毒為了防止用戶以及殺毒軟體的殺除，採取定期網上升級的方式，這點與近期的其他Windows主流病毒類似，但值得一提的是該病毒建有公開的病毒升級站點www.3721.com，且站點風格酷似門戶、服務類站點，具有極大的欺騙性；
以驅動模式載入；該特性可說是近段時期以來病毒編寫的一次技術飛躍，採用驅動模式載入配合掛接hook的方式，在windows下極難查殺（詳細技術討論見後）；
提供在瀏覽器地址欄中輸入中文後轉到其站點進行關鍵字查詢的搜索服務。前段時間的沖擊波剋星病毒也曾在感染用戶機器後自動連接用戶的機器到update.Microsoft.com下載補丁，看來新的病毒越來越多地喜歡提供一些另類功能了；
被動方式傳播：利用一些站點來進行傳播，而不是主動感染其他機器，這點與當前熱門的「美女圖片」病毒的方式相近。從主動轉向被動，可說是今年一些病毒的新特點；

病毒詳細分析：
當用戶訪問站點的時候，彈出一個控制項下載窗口提示用戶下載安裝，表面上稱自己是提供中文實名服務，引誘用戶安裝；
在安裝過程中多處修改用戶文件及注冊表；
添加文件：

在Documents and Settings\All Users\「開始」菜單\程序\網路實名\ 目錄下添加
了解網路實名詳細信息.url 86 位元組
清理上網記錄.url 100 位元組
上網助手.url 99 位元組
卸載網路實名.lnk 1,373 位元組
修復瀏覽器.url 103 位元組

在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 位元組
cns02.dat 1,652 位元組
CnsHook.dll 56,320 位元組
CnsMin.cab 116,520 位元組
CnsMin.dll 179,712 位元組
CnsMin.inf 378 位元組
sms.ico" 6,526 位元組
yahoomsg.ico 5,734 位元組

在WINDOWS\System32\Drivers\ 目錄下添加
CnsminKP.sys

添加註冊表鍵值：

增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主鍵，下設多子鍵及屬性值；
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主鍵下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
兩個子鍵
3．在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主鍵下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四個子鍵
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主鍵下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子鍵
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主鍵下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主鍵下增加
!CNS子鍵
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主鍵下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五個子鍵
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主鍵下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四個子鍵
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主鍵下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子鍵
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子鍵 （提示，這個鍵將在下次啟動機器的時候生效，產生最令人頭疼的部分，後文會敘述）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子鍵
HKEY_CURRENT_USER\Software\下增加
3721子鍵
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新啟動計算機後，上面提到的RunOnce下的EK_Entry生效，在注冊表中多處生成最為邪惡的CnsMinKP鍵值，同時在系統盤的windows/system32/drivers目錄下生成CnsMinKP.sys文件，噩夢由此開始。
由於win2k/xp在啟動的時候（包括安全模式）默認會自動運行windows/system32/drivers下面的所有驅動程序，於是CnsMinKP.sys被載入，而這個驅動的作用之一，就是保證windows/ Downloaded Program Files目錄下的Cnshook.dll和CnsMin.dll以及其自身不被刪除；Cnshook.dll的作用則是提供中文實名功能，CnsMin.dll作用在於使其駐留在ie進程內的時候。CnsMin為了保證自己的優先順序最高，用了一個定時器函數反復安裝鉤子，因此造成系統性能下降，在天緣測試的那台機器上，使得性能大概下降了20%左右。而且由於hook強行掛接的原因，當用戶使用斷點調試程序的時候將會導致頻繁出錯，這一點與早期版本的cih導致winzip操作和無法關機類似（關於詳細的技術細節，可參看題目為《[轉載]3721駐留機制簡單研究》一文，地址為 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清華）
防刪除特性：
該病毒雖然自帶一個所謂的「卸載程序」，但事實上核心部分的程序/注冊表鍵值依然沒有刪除。而且該病毒更是利用各種技術手段，具有極其強大的反刪除特性。
windows系統啟機（包括安全模式下）便會載入windows/system32/drivers下的CnsMinKP.sys，該驅動該驅動程序過濾了對其自身及相關重要文件和注冊表的刪除操作。每當試圖刪除3721的關鍵文件和注冊表項時，直接返回一個TRUE，使Windows認為刪除已經成功，但文件和注冊表實際上還是在那裡。

技術亮點：
天緣不得不承認，3721這個病毒插件可稱我作為網管以來面對的最難清除的病毒。近幾年來病毒有幾次質的突破：cih感染可升級的bios、紅色代碼打開windows的共享擴大戰果、meliza讓我們見識了什麼是看得到源程序的病毒、mssqlserver蠕蟲讓我們留意到計算機病毒能攻擊的不光是節點還有網路設備、沖擊波病毒讓我們認識到大量使用同一種操作系統時在出現安全漏洞時的可怕、美女圖片病毒讓我們知道了將欺騙藝術與軟體漏洞結合的威力、而這次3721病毒首次展現了病毒強大的反刪除特性，可說是在windows環境下無法殺除的病毒。雖然這是個良性病毒，對系統並沒有破壞特性，但依據病毒的發展史，可以預見，這種幾近完美的反刪除技術將很快被其他病毒所利用，很快將被其他病毒所利用。屆時結合網路傳播，局網感染帶強大反刪除功能的病毒或許會讓目前windows平台下的殺毒軟體遭遇到最大的考驗。而這次經歷，也讓我意識到微軟的windows操作系統在人性化、美觀化、傻瓜化的背後的危機。作為it同行，我個人對3721病毒作者所使用的種種技術表示欽佩，但新型病毒的潘多拉魔盒，已經被他們打開：

在目前已知的病毒歷史上，之前只有幾種病毒利用過windows nt下的system32/drivers 下的程序會被自動載入的特性來進行傳播，但那些病毒本身編寫地不夠完善，會導致windows nt系統頻繁藍屏死機，象3721插件病毒這樣完美地載入、駐留其他進程，只消耗主機資源，監測注冊表及關鍵文件不導致系統出錯的病毒，國內外尚屬首次，在技術上比以前那些病毒更為成熟；

如同天緣和大家曾經探討過的沒打sp2以上patch的win2k如何上網下載sp4再安裝補丁這樣的連環套問題一樣。由於drivers目錄下的CnsMinKP.sys啟機必定載入，而欲不載入它，只有在windows啟動後，進注冊表改寫相應的CnsMinKP鍵值或者刪除該文件，但由於CnsMinKP.sys過濾了對其自身及相關重要文件和注冊表的刪除操作。每當試圖刪除3721的關鍵文件和注冊表項時，直接返回一個TRUE，使Windows認為刪除已經成功，但文件和注冊表實際上還是在那裡。使得注冊表無法修改/文件無法被刪除，讓我們傳統的殺除病毒和木馬的對策無法進行。
駐留ie進程，並自動升級，保證了該病毒有極強大的生命力，想來新的殺除方法一出現，該病毒就會立即升級。Windows上雖然還有mozilla等其他瀏覽器，但由於微軟的捆綁策略和兼容性上的考慮，絕大多數用戶一般只安裝有ie。上網查資料用ie，尋找殺除3721資料的時候也用ie，如此一來，3721搶在用戶前面將自身升級到最新版本以防止被殺除的可能性大大增加，更加增添了殺除該病毒的難度。或許在本文發出後，病毒將會在最短時間內進行一次升級。
附帶其他「實用」功能。天緣記得早年在dos下的時候曾遇到一些病毒，在發作的時候會自動運行一個可愛的屏幕保護，或者是自動替用戶清理臨時文件夾等有趣的功能；後來在windows平台上也曾見過在病毒發作時自動提醒「今天是xx節，xx年前的今天發生了xx歷史典故」這樣的帶知識教育意義的病毒；而3721病毒則是提供了一個所謂的中文域名與英文域名的翻譯功能。隨著病毒的發展，這樣帶隱蔽性、趣味性和欺騙性的病毒將越來越多。例如最近的郵件病毒以微軟的名義發信，或以re開始的回信格式發信，病毒編寫的發展從原來的感染傳播、漏洞傳播、後門傳播逐步向欺騙傳播過渡，越來越多的病毒編寫者意識到社會工程學的重要性。或許在不久的將來，就會出現以簡單的網路游戲/p2p軟體為掩飾的病毒/木馬。
極具欺騙性：該插件在win98下也能使用，但使用其自帶的卸載程序則可比較完美地卸載，而在win2k/xp平台下卸載程序則幾乎沒用。由此可以看出病毒編寫者對社會工程學極其精通：當一個人有一隻表時他知道時間；而當他有兩只表時則無從判斷時間。當在論壇/bbs上win2k/xp的用戶提到此病毒無法刪除的時候，其他win2k/xp用戶會表示贊同，而win98用戶則會表示其不存在任何問題屬於正常程序的反對意見。兩方意見的對立，影響了旁觀者的判斷。

商業行為的參與。據傳該病毒是由某公司編寫的，為的是進一步推銷其產品，增加其訪問量和申請用戶。這點上與某些色情站點要求用戶下載xx插件，之後不斷利用該插件彈出窗口進行宣傳的方式很象。天緣不由得想起一個典故。話說當年某公司公司工作人員（當然也有可能是不法者冒充該公司的工作人員）經常打電話恐嚇大型的企業單位，無外乎說其中文域名已被xx公司搶注，如不交錢將會導致xx後果雲雲。兄弟學校中似乎也有受到此公司騷擾的經歷：該公司員工打電話到某高校網路中心，起初是建議其申請中文域名，其主任很感興趣但因價格原因未果。第二次打來的時候，就由勸說變成了恐嚇，說該校中文名字已經被xx私人學校注冊，如果該校不交錢申請就會有種種可怕後果雲雲。誰想該校網路中心主任吃軟不吃硬，回話：「你既然打電話到此，想來你也知道在中國，xx大學就我們一所是國家承認的，而你們公司在沒有任何官方證明的情況下就替申請我校中文域名的私人學校開通，就這點上就可見你們的不規范性，那麼如果我私人交錢申請xxx國家領導的名字做個人站點是不是貴公司也受理？遇到類似冒用我校名義行騙及協助其行騙的公司，我們一貫的做法是尋找法律途徑解決！」回答甚妙，當然此事後果是不了了之。從相關報道中不難看到，計算機犯罪逐步開始面向經濟領域。侵犯私人隱私，破壞私人電腦的病毒與商業結合，是病毒編寫由個人行為到商業行為的一次轉變，病毒發展的歷史由此翻開了新的一章。

病毒查殺方案：

由於網管專題的欄目作用主要是「授人與漁」，天緣把病毒查殺過程經歷一並寫下，大家共同探討。

第一回合：
當初見此病毒的時候，感覺不過如此，普通木馬而已。依照老規矩，先把注冊表裡相關鍵值刪除，再把病毒文件一刪，然後重新啟動機器，等待萬事ok。啟機一看，注冊表完全沒改過來，該刪除的文件也都在。
結局：病毒勝，天緣敗

第二回合：
換了一台機器，下了個卸載幫助工具，以方便監視注冊表/文件的改變。我下的是Ashampoo UnInstaller Suite這個軟體，能監視注冊表/文件/重要配置文件。Ok，再次安裝3721插件，把對注冊表的改變/文件的改變都記錄下來。（值得注意，因為注冊表run和runonce的鍵是下次啟動的時候生效的，因此在重新啟動後，還要對比一下文件/注冊表的改變才能得到確切結果）。然後對比記錄，把3721添加的鍵全部記下來，添加的文件也記錄下來。之後我計劃是用安全模式啟動，刪除文件和注冊表，所以寫了一個save.reg文件來刪除注冊表裡的相關鍵值（寫reg文件在網管筆記之小兵逞英雄那講有介紹，等一下在文末我提供那個reg文件給大家參考），寫了一個save.bat來刪除相關文件，放到c盤根目錄下。重新啟動機器，進入安全模式下，我先用regedit /s save.reg 導入注冊表，然後用save.bat刪除相關文件。重新啟動機器，卻發現文件依然存在，注冊表也沒有修改成功。通常對付木馬/病毒的方式全然無效，令我產生如臨大敵之感。
結局：病毒勝，天緣敗

第三回合：
重新啟動機器，這次我採用手工的方式刪除文件。發現了問題——對system32/drivers目錄下的CnsMinKP.sys，WINDOWS\Downloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都「無法刪除」。這樣說可能有點不妥當，准確地說法是——刪除之後沒有任何錯誤報告，但文件依然存在。於是上網用google找找線索——在綠盟科技找到了一則文章（名字及url見前文），於是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那麼，只要能開機不載入它不就行了？？但試了一下2k和xp的安全方式下都是要載入system32/drivers下的驅動，而如果想要取消載入，則需要修改注冊表，但由於在載入了CnsMinKP.sys後修改注冊表相關值無效，導致無法遏制CnsMinKP.sys這個程序的載入。當然，有軟碟機的朋友可以利用軟盤啟動的方式來刪除該文件，但如果跟天緣一樣用的是軟碟機壞掉的機器怎麼辦呢？記得綠盟上的文章所說的是——「目前無法破解」。在這一步上，天緣也嘗試了各種方法。
我嘗試著改這幾個文件的文件名，結果沒成功；
我嘗試著用重定向來取代該文件，如dir * > CnsMinKP.sys ，結果不成功；
我嘗試著用 con <文件名> 的方式來覆蓋這幾個文件，結果發現三個文件中Cnshook.dll可以用這樣的方法覆蓋成功，但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候，居然提示「文件未找到」！？熟悉 con用法的朋友都該了解，無論是文件是否存在，都應該是可以創建/提示覆蓋的，但居然出來這么一個提示，看來CnsMinKP.sys著實把系統都騙過了，強！！跟它拼到這里的時候，回想到了在dos下用debug直接寫磁碟的時代了，或許用它才能搞定吧？
仔細一想，win2k/xp下似乎沒有了debug程序了，而或許問題解決起來也不是那麼復雜。再又嘗試了幾種方法後，終於得到了啟示：既然文件不允許操作，那麼我操作目錄如何？
我先把windows\system32\drivers目錄復制一份，取名為drivers1,並將其中的CnsMinKP.sys刪除（注意，因為是drivers1中的，所以可以被成功地真正刪除掉）；
重新啟動機器，到安全模式下；
用drivers1目錄替代原來的drviers目錄
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之後重新啟動機器，然後進到windows後先把drivers2目錄刪除了，然後慢慢收拾殘余文件和清理注冊表吧。在這里天緣提供一個reg文件，方便各位刪除注冊表：
Windows Registry Editor Version 5.00（用98的把這行改成regeidt4）

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
結局：病毒敗，天緣勝
（雖然是成功地刪除了它，但是感覺贏得好險，如果該病毒加一個禁止上級文件改名的功能那麼就真的沒折了，為了預防類似的情形，最後還是找到了徹底一點的辦法，見下）

第四回合：
聰明的讀者大概已經想到，既然沒有辦法在硬碟啟動對於c盤是fat32格式的機器，想到這里已經找到了解決辦法——用win98啟機軟盤啟動機器，然後到c盤下刪除相關文件，然後啟動到安全模式下用save.reg把注冊表搞定就行了。問題是——大多數win2k/xp都使用的是新的ntfs格式，win98啟機軟盤是不支持的！怎麼辦？有軟碟機的機器可以做支持NTFS分區操作的軟盤，用ntfsdos這個軟體就能做到（詳情請見http://www.yesky.com/20020711/1620049.shtml一文）。而跟天緣一樣沒有軟碟機的朋友，別忘記了win2k/xp開始加入的boot，不光是能夠選擇操作系統而已，而是跟linux下的lilo和grub一樣，是一個操作系統引導管理器——換句話說，如果我們能在硬碟上做一個能讀寫NTFS的操作系統，再用boot進行引導，那麼不是就可以在無軟碟機的情形下實現操作c盤的目的了么？在網路上找到vFloppy.exe 這個軟體，它自帶一個支持讀寫ntfs的鏡象文件，並且使用簡單，非常傻瓜化（詳情見http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文，順便一提新版本的yFloppy已經自帶支持ntfs讀寫的img文件了）。然後刪除3721的相關文件，重新啟動後清理注冊表和刪除相關文件就行了。

到此，我們終於把3721這個陰魂不散地幽靈徹底趕出了我們的硬碟！！

由於不少網站基於各種原因，在顯示頁面的時候都會彈出3721的下載窗口，很容易誤點。在ie中就能屏蔽掉該站以及其他惡意的任何下載。具體方法可見（http://www.yesky.com/20030416/1663721.shtml 一文）。

截止發稿為止，天緣所知不少同行網管已經在網關上做了對該地址的屏蔽，防止不知情的用戶無辜受害。網路安全任重道遠，還要靠大家的努力才能把一些害群之馬斬草除根。

④ 3721是什麼網站

3721是由周鴻禕創立的3721公司提供的中文上網服務――3721「網路實名」，是第三代中文上網方式，3721的名字由「三七二十一」而來。

3721是第三代中文上網方式，用戶無需記憶復雜的域名，直接在瀏覽器地址欄中輸入中文名字，就能直達企業網站或者找到企業、產品信息。

(4)3721網站網路安全擴展閱讀

1998年10月，現在的奇虎360董事長周鴻禕創立3721公司，推出「3721網路實名」，開創中文上網服務。

用戶在瀏覽器的導航條直接輸入中文，就能直接到達相關網站。這對於不熟悉英文的中國人來說，確實是個實惠功能。

3721初創，用瀏覽器的地址欄插件這種方式來推廣。當用戶打開某個網頁或安裝某軟體時，這一款「可以幫助網民上網更方便」的3721插件，就自動安裝進用戶的電腦。此後，當用戶在瀏覽器導航條里輸入中文，就能直接到達相關網站。

2001年，3721公司宣布盈利，這也是國內第一家盈利的搜索公司，

2003年底，3721作價1.2億美元賣給雅虎，周鴻禕並出任雅虎中國總裁。2005年7月，周鴻禕離職，3721又被雅虎轉手倒賣給阿里巴巴。

周鴻禕（zhōu hóng yī），1970年10月4日生於湖北省黃岡市蘄春縣 ，360公司創始人、董事長兼CEO、奇酷CEO、九三學社中央委員 、九三學社中央科技專門委員會副主任、和知名天使投資人。

1992年，大學本科畢業於西安交通大學電信學院計算機系，獲學士學位，因成績優異被保送西安交通大學讀管理學院系統工程系研究生，並於1995年研究生畢業，獲碩士學位。

1995年始，周鴻禕就職於方正。2004年3月，周鴻禕就任雅虎中國總裁。2006年8月，周鴻禕投資奇虎360科技有限公司，出任奇虎360董事長。

2011年3月30日，周鴻禕帶領奇虎360在美國紐交所上市。 2015年周鴻禕客串出演《三體》飾演軍方智囊團專家 。

2016胡潤IT富豪榜，周鴻禕以150億元排名第23。政協第十三屆全國委員會經濟委員會委員。2018年10月，周鴻禕以420億元人民幣財富位居2018年胡潤百富榜第50位。

當時在網路上3721被稱為「我國第一個並且是最大的流氓軟體之一」，現已停止運營。

企業將自己的公司名、產品名注冊為3721網路實名，客戶輸入自己的名字就可以直達自己的網站，為企業帶來更多的商業機會。

同時，3721網路實名統一企業網上網下名稱，把企業品牌、字型大小等網下的知名度和影響力擴大到網上，在保護品牌資源的同時，成為企業的網上招牌。

2008年，已經有超過30萬家的企事業單位注冊了3721網路實名，注冊3721網路實名已經成為企業上網的第一步。

2001年10月，3721公司率先在中國互聯網企業中宣布盈利。

2003年，雅虎斥資1.2億美元收購了3721公司。

2008年，3721公司在華東、華南、華中、西北、西南設有分支機構，業務遍及中國內地所有縣級以上城市，及中國香港、中國台灣、中國澳門，擁有近4000家的渠道合作夥伴。

2009年1月4日，中國雅虎正式放棄3721和雅虎助手的業務發展。

⑤ 為什麼會稱3721（雅虎助手）為流氓軟體

「流氓軟體」就是欺騙你們這些純潔好少年啊！它的壞處巨多且不為人知！

「流氓軟體」是介於病毒和正規軟體之間的軟體。

計算機病毒指的是：自身具有、或使其它程序具有破壞系統功能、危害用戶數據或其它惡意行為的一類程序。這類程序往往影響計算機使用，並能夠自我復制。

正規軟體指的是：為方便用戶使用計算機工作、娛樂而開發，面向社會公開發布的軟體。

「流氓軟體」介於兩者之間，同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開後門），給用戶帶來實質危害。

流氓軟體的分類

根據不同的特徵和危害，困擾廣大計算機用戶的流氓軟體主要有如下幾類：

1、廣告軟體（Adware）

定義：廣告軟體是指未經用戶允許，下載並安裝在用戶電腦上；或與其他軟體捆綁，通過彈出式廣告等形式牟取商業利益的程序。

危害：此類軟體往往會強制安裝並無法卸載；在後台收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統資源，使其運行變慢等。

例如：用戶安裝了某下載軟體後，會一直彈出帶有廣告內容的窗口，干擾正常使用。還有一些軟體安裝後，會在IE瀏覽器的工具欄位置添加與其功能不相乾的廣告圖標，普通用戶很難清除。

2、間諜軟體(Spyware)

定義：間諜軟體是一種能夠在用戶不知情的情況下，在其電腦上安裝後門、收集用戶信息的軟體。

危害：用戶的隱私數據和重要信息會被「後門程序」捕獲，並被發送給黑客、商業公司等。這些「後門程序」甚至能使用戶的電腦被遠程操縱，組成龐大的「僵屍網路」，這是目前網路安全的重要隱患之一。

例如：某些軟體會獲取用戶的軟硬體配置，並發送出去用於商業目的。

3、瀏覽器劫持

定義：瀏覽器劫持是一種惡意程序，通過瀏覽器插件、BHO（瀏覽器輔助對象）、Winsock LSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業網站。

危害：用戶在瀏覽網站時會被強行安裝此類插件，普通用戶根本無法將其卸載，被劫持後，用戶只要上網就會被強行引導到其指定的網站，嚴重影響正常上網瀏覽。

例如：一些不良站點會頻繁彈出安裝窗口，迫使用戶安裝某瀏覽器插件，甚至根本不徵求用戶意見，利用系統漏洞在後台強制安裝到用戶電腦中。這種插件還採用了不規范的軟體編寫技術（此技術通常被病毒使用）來逃避用戶卸載，往往會造成瀏覽器錯誤、系統異常重啟等。

4、行為記錄軟體（Track Ware）

定義：行為記錄軟體是指未經用戶許可，竊取並分析用戶隱私數據，記錄用戶電腦使用習慣、網路瀏覽習慣等個人行為的軟體。

危害：危及用戶隱私，可能被黑客利用來進行網路詐騙。

例如：一些軟體會在後台記錄用戶訪問過的網站並加以分析，有的甚至會發送給專門的商業公司或機構，此類機構會據此窺測用戶的愛好，並進行相應的廣告推廣或商業活動。

5、惡意共享軟體(malicious shareware)

定義：惡意共享軟體是指某些共享軟體為了獲取利益，採用誘騙手段、試用陷阱等方式強迫用戶注冊，或在軟體體內捆綁各類惡意插件，未經允許即將其安裝到用戶機器里。

危害：使用「試用陷阱」強迫用戶進行注冊，否則可能會丟失個人資料等數據。軟體集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。
例如：用戶安裝某款媒體播放軟體後，會被強迫安裝與播放功能毫不相乾的軟體（搜索插件、下載軟體）而不給出明確提示；並且用戶卸載播放器軟體時不會自動卸載這些附加安裝的軟體。
又比如某加密軟體，試用期過後所有被加密的資料都會丟失，只有交費購買該軟體才能找回丟失的數據。

6、其它
隨著網路的發展，「流氓軟體」的分類也越來越細，一些新種類的流氓軟體在不斷出現，分類標准必然會隨之調整。

⑥ 3721是什麼本人剛接觸電腦不太久，一直用360殺毒，今天無意在網站看到一些360負面新聞，什麼黑公關

3721是360的前身。。。最早時。。自已做毒。讓你們電腦中毒了。。又第一時間免費提供殺毒。。。。給網友一個錯覺。360真的可以殺毒。。。。現在蘋果把360的產品全部下架。。懂一般電腦的人都不會用360..一用360.他就自動上傳東西。。。說是安全檢杳。。實際上傳你的隱私。。。不要用為好。。

⑦ 3721是什麼

您好！
天下最無恥的軟體3721之大揭密
學會上網之後，原本以為到達了一個更加便利的世界，然而，這個自由便利的世界卻早被3721統治。

5年時間，瘋狂掠奪統治資本

3721從1998年成立至今一直在利用微軟的瀏覽器做著自己的夢，試圖打造中國人的網路標准。用了5年時間，3721通過各種渠道、利用各種手段，讓他的網路實名插件遍布90％的中文上網用戶，而這，就是3721用5年時間積累起的統治中國互聯網的雄厚資本，3721插件，表面上是中文上網工具，實際上，背後利用簡單的病毒原理控制著網民的電腦，玩弄著中國互聯網和對技術不甚了解的7000萬網民，5年時間，積累起了足以對抗7000萬網民和的雄厚資本。

用簡單的技術愚弄著中國網民

這樣一個打著「簡單上網」旗號的3721，在程序員眼裡，甚至成為了「垃圾」的代名詞。

到任何程序員聚集的站點，查看一下涉及到3721新聞的評論 90％以上都是對3721的攻擊，甚至是辱罵，更有程序員還在個人網站中標註：「如果你是3721的支持者，不要安裝本程序，本人不歡迎並拒絕其支持者使用本程序!」

首先，程序員對3721的技術一直沒有持肯定態度。在程序員看來，通過客戶端軟體將域名和中文單詞對應起來，實在沒有什麼技術可言。

最初，3721的軟體是客戶端的形式，主要通過和網站合作進行免費發放，但這種方式容易被用戶拒絕或者刪除。不久，3721採用了微軟公開的activex技術標准，將客戶端轉變為了瀏覽器插件。應該說，許多軟體均採用activex技術開發，例如flash動畫播放插件、microsoft media player插件等，這種方式也無可厚非，但3721在推行這種方式時，並沒有尊重用戶的意願，而是防不勝防的在各種網站上彈出騷擾對話框，強迫安裝。有程序員表示：「不管軟體寫的怎樣，有一點是肯定的，開發者和策略制訂者缺乏起碼的職業道德。現在所謂2000萬用戶，有多少是自願安裝的呢？又有多少是踩中地雷的呢。」同時，在早期的某些版本中，的確有造成用戶死機的案例出現並被廣泛的傳播。

因此，3721接下來就好像故意要同程序員做一些對抗的工作。為了防止卸載刪除，軟體中採用各種技術手段。有程序員說：「現在3721的插件越做越霸道。不止是修改注冊表，而是一直在你的系統里運行，並把自己偽裝起來，我曾經把cmin*.dll刪除後，用winhex查還有，是改名運行的！而且如果用softice 調程序，3721的dll總會搗亂！」 3721在煞費苦心的加入各種技巧，有的技巧與木馬病毒的原理一模一樣，所有3721的軟體在你的計算機上都開著後門，而這個後門，正是3721走進你計算機深處的通途，3721在偷窺你的時候，你，卻並不知情。

用程序員群體的眼光看，用砑??⒌哪承┘記衫此凳裁從沒У囊庵荊?舛?721是自辱，對中國互聯網是侮辱！

但是，3721為了保證其利潤來源和一個無恥的夢想，他還是選擇侮辱中國互聯網，侮辱中國網民。

黑社會手段搶奪地盤

然而3721在圓自己的美夢時卻毀掉了眾多網民的基本的使用權。眾多不知情的網民在無意下載3721插件後卻一直在被3721的夢想所左右。3721的插件也已經開始在90％的中文上網用戶打開電腦開始上網時被監控。

有懂技術的網民在論壇上發表言論時寫道：這兩天上某些網站不是很順利，開始我以為是網路的問題，可是其它網站上的去很正常，因此我排除了網路原因。排除了病毒原因之後，我反編譯了其電腦里唯一和瀏覽器相關的程序——3721網路實名插件。當看到3721程序代碼的時候，他說：「當時嚇出了一身冷汗。原來這個程序有個後門，所有的人都不知道存在的這個後門。而3721的其他程序就通過這個後門進進出出。在這個程序中我發現了一段代碼，這就是屏蔽那些網站的代碼，在這個代碼後面，有著一長串我們熟悉的網站，有的屏蔽是生效的，有的屏蔽還沒有啟用。這段代碼就像一個機器人一樣，在這段代碼後邊，如果加上http://www.sina.com.cn 那麼新浪網將被屏蔽而無法訪問。

3721為了保住他的網路實名業務，不得不保住他插件的推廣量，而3721用這種手段，在威脅並強迫著許多網站為他彈插件。而許多網站卻敢怒不敢言。***網站是受害者之一，而除他之外，還後一長串名單。

3271就像中國互聯網的黑社會，他知道你電腦里的所有信息，他占據著本屬於網民的中國互聯網，把他劃為屬於自己的地盤，牢牢控制，即便是sina、sohu、netease、qq這樣的門戶大腕，懾於3721的**威，在3721面前也是敢怒不敢言，因為就連都無可奈何。

誰來管管3721？

遍查互聯網的法律，也沒有任何一條對3721這種做法進行管理的規定，甚至沒有任何一級管理部門和法律制定者意識到這個問題。3721在利用著自己制定的法律為所欲為，制定著屬於他的游戲規則，所有人都必須俯首稱臣，上貢交錢。

一方面偷偷摸摸給網民安裝，一方面窮凶極惡逼迫其他網站為他彈插件，否則就「封掉」不合作的網站，畢竟，他已經有了90％的佔有率，一方面，堂堂正正的大賣網路實名賺錢，甚至威脅北京大學，如果不買這個詞，就把這個詞賣給別人。

用三條計謀堂而皇之的賺錢，大大方方的管理中國互聯網。原本互聯網所倡導的平等、自由、公開的原則，在3721的公司利益面前盪然無存。原本上上下下部署嚴密的部門對他也無可奈何，甚至毫不知情。

中國互聯網，被3721繼續統治著……，誰來管管？無人來管，無人敢管.

3721公司已經一次次的挑戰網民的忍耐力和承受能力。不斷在技術上進行改進，以達到使網民無法屏蔽該公司網路實名客戶端的目的。面對網民憤怒的譴責和自發的屏蔽行動，3721公司顯然是准備不惜一切代價與這些在其眼裡是」刁民「的網友戰斗到底。

近日，我們再次發現，3721公司進一步改進了他們的」反「屏蔽技術。通過該方法，網路實名的客戶端將」永久「的駐留在用戶的計算機系統中，即使用戶選擇了卸載該客戶端。除非，用戶重新安裝其計算機系統，否則，無法手動清除該程序。

在用戶瀏覽網頁時，彈出的安裝窗口，既沒有使用協議，也沒有明示程序的發布公司，存在嚴重的欺詐行為。同時，該程序並不會在用戶的計算機中建立」合法「的程序安裝目錄，而且用戶通過一般手段，無法在自己的計算機系統中找到被安裝的程序，這無疑嚴重危害了用戶的計算機安全。

對於，3721這樣的行為，一些法律也專家認為，3721公司已經嚴重違反了中華人民共和國國務院於 1997 年頒布實施的《計算機信息網路國際聯網安全保護管理辦法》中的相關條款，以及《中華人民共和國消費者保護法》的相關內容。

在此，我們僅代表那些深受3721網路實名」病毒「之苦的用戶，譴責3721公司這種毫無商業道德的行為。並且，希望國家有關部門，認真對待該事件，規范市場秩序，創造良好的市場環境。

有網友認為覺得3721客戶端軟體已經具有部分病毒的性質了。

1 在設備驅動層加了保護，而且是boot時立即啟動，即使在安全模式時也會啟動。這個設備的名字叫做 cnsminkp,驅動程序位於 x:\Windows\system32\drivers\cnsminkp.sys。

2 cnsminkp.sys 一旦載入，無法用命令方式卸載這個驅動程序，即 net stop cnsminkp 是無法停止這個驅動的。 cnsminkp.sys 的文件日期是2004-02-15, 是前幾天才release出來的。

3 這個驅動不停地檢測cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即會重建這兩個文件，並且不停檢測service 和software 下面的注冊表，確保cnsminkp這個服務的參數保持和它設置的一致，如果被改動，立即會恢復成原來的樣子。另外，還確保 run 里有cnsmin.dll。

4 這種死皮賴臉的方式，是決心要在內存和硬碟上駐留cnsminkp.sys 和cnsmin.dll,使系統性能迅速下降。

cnsminkp.sys 是否表示 cnsmin keep 還是cnsmin kill protect ? 只要你的x:\Windows\system32\drivers下有cnsminkp.sys ,肯定中招了
望採納

⑧ 3721為什麼是流氓軟體拜託了各位 謝謝

看完下文你就知道了 有人在網卡撰文說3721現在可以通過其卸載程序干凈地卸載了。事實情況真的是這樣嗎？請看—— 1、「完全刪除」和「完全卸載」的卸載承諾 無論3721網路實名還是上網助手，在卸載程序中都承諾「把上網助手從電腦中完全刪除」和「完全卸載實名插件並關閉實名功能」。 2、完全卸載不完全 網路實名卸載成功並重啟後，在資源管理器中無法看到Windows\Downloaded Program Files文件夾中有任何文件（即使你將資源管理器設置為顯示所有文件、顯示系統文件）。但使用著名的Total Commander文件管理器，卻發現有一個zsmod.dll的隱藏文件！如果是卸載上網助手，卸載成功並重啟後，上述目錄居然隱藏有30個文件1個文件夾 以zsmod.dll為關鍵字在注冊表編輯器中搜索，可以發現這個文件並非是一個被「遺忘」的死文件，而是有相應的注冊表鍵值 卸載上網助手成功並重啟後，檢測BHO（瀏覽器幫助對象），發現系統中仍然保留有 YDT.DLL和CnsHook.dll這兩個BHO對象 卸載上網助手成功並重啟後，檢測自動載入項目，發現仍然存在helper.dll、 YDTMain.exe、CnsMin三個自動載入的程序項目再檢測系統已經載入的內核模塊，發現以驅動形式載入的CnsMinKP.sys仍然被成功載入！以CnsMinKP.sys在注冊表編輯器中搜索，卸載成功並重啟後注冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值，使得卸載操作完全是一個騙局，其基本功能根本沒有受到影響，至多是那個一般情況下顯示在系統托盤的可以向用戶提供「服務」的小圖標不見了！當然，系統Drivers目錄中的CnsMinKP.sys文件依然完好，沒有受到任何破壞！ 看看系統進程如何。YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒！ 由此可見，上述就是所謂的「把上網助手從電腦中完全刪除」的真相！ 真的想把它們徹底清除嗎？可以，手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載（卸載時注意看清楚相關選項！否則可能又相互修復），此時絕大多數文件和注冊表被清除。但Windows\Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的注冊表鍵值卻永遠不會被清除！ 3721卸載重啟後資源管理器無法看到的隱藏文件 上網助手卸載重啟後系統目錄中隱藏的大量文件（Windows資源管理器無法以任何方式查看到，Total Commander可顯示） 3、額外安裝的兩個模塊必須另行卸載 就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。 額外安裝的兩個模塊必須手工卸載 4、卸載過程中仍然試圖交叉修復 卸載這些額外程序模塊的過程中，存在默認被選中的以「卸載」二字開頭的一個選項： 「卸載上網助手-地址欄搜索後保留上網助手等按鈕」 如果你操作中只看了前面半句，以為是選擇了「卸載」它們，那你就錯了！ 由此可見3721的對用戶的心理和電腦使用習慣研究得非常透徹，能夠利用的都充分利用了！ 卸載過程中仍然試圖交叉修復 五、3721綜合行為的法律、道德剖析 1、3721及上網助手的道德層面剖析 什麼「裸體」、「自拍」、「三級明星電影」、「誘惑放盪的少婦」、「賓館偷房」、「無限激情」……等褻瀆了廣大網民的情趣品味；對青少年進行了極其不良的誤導引誘；污染了網路環境。 未經明確告知，強行植入其他程序模塊。 通過系統驅動的方式載入，安全模式亦無法避免。就連Windows都將帶網路連接的安全模式作為一個單獨的項目提供給用戶，而3721則是青紅皂白，不管用戶是否使用網路，一律載入沒商量！ 2、3721及上網助手的法律層面剖析 額外安裝程序侵犯知情權； 強行植入的少兒不宜的URL鏈接無視青少年許可權保護； 宣傳黃毒； 介紹黃毒； 卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊，而且相互交叉修復； 自動感染、自動繁植、隱藏自身、佔用系統資源、干擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動載入……已經具有完整的病毒特徵； 提供不良內容下載…… 3、3721及上網助手對國家安全及文化導向的影響 由艱苦奮斗勤儉建國轉向靡靡之音聲色犬馬的和平演變，只需藉助3721； 瓦解民眾鬥志，只需3721； 佔領中國的宣傳陣地，只需利用3721； 主導中國的網路安全命脈，只需掌握3721； 轉變中國網民的文化導向，只需藉助3721； 對中國發動網路癱瘓戰，只需通過3721！ 2009年1月4日下午消息，中國雅虎旗下的3721網路實名（又名「雅虎助手」）頁面近日已無法訪問。中國雅虎方面承認，這是將放棄該業務的信號。 以前，點擊3721.com域名會跳轉至中國雅虎的相關頁面，但今日顯示「找不到相關頁面」，並在幾秒鍾後跳轉至中國雅虎首頁（cn.yahoo.com）。 2009年1月4日下午，中國雅虎相關負責人告訴記者，該公司未來業務重點是生活服務，非核心的業務將逐步淡化與下線。他指出，雅虎助手頁面以後將直接跳轉至中國雅虎首頁。在2008年12月份，中國雅虎還曾壓縮了內容資訊業務。 3721網路實名插件由奇虎公司現任董事長周鴻禕一手創辦，它通過地址欄實現中文搜索。2003年11月，雅虎1.2億美元收購3721公司，該軟體更名雅虎助手。2005年10月，阿里巴巴宣布完成對雅虎中國全部資產收購，3721業務隨之並入馬雲手中。 2006年，互聯網業內掀起「反惡意軟體」的熱潮，周鴻禕率領360安全衛士成為反惡意軟體先鋒，曾經由他一手創辦的3721軟體（雅虎助手）則成了他「圍剿」的重點目標之一。當年9月，阿里巴巴宣布投資1億元繼續開發與推廣雅虎助手，但隨後並未看到有實質的市場舉動。 實際上，3721業務就如中國雅虎的網站業務一樣，在當年「雅巴合並案」後，成為阿里巴巴集團董事局主席馬雲手中一塊搖擺不定的「雞肋」業務。馬雲曾於2006年9月對外自評整合雅虎中國，稱3721已成為累贅。 「如果按照我的想法，我根本就不準備發展3721，但因為之前簽很多的合同，有些是長期的，我必須要繼續完成這個服務。現在3721對雅虎中國已經不是收入，而是成本」。馬雲曾這樣表示。

滿意請採納

⑨ 一上網就彈各種網頁`3721下了`攔不住!

1.用中文版ewido查殺,自動免費升級.
最新的木馬查殺軟體ewido-setup_4.0.0.172c中文!自動更新!不返彈![原創]
下載安裝地址：
東東的藏寶閣：http://hi..com/zhaodx/blog/item/bdc08810b7e53001213f2e42.html

或者
2.多種方法徹底阻止彈出窗口

作者：陳登雲
近期許多朋友打電話咨詢，有關IE自動彈出窗口的問題，為此本站根據大家需要，緊急整理本文，希望解決大家的問題，現在有很多網站都會莫名彈出一些廣告窗口，可惡之極，為此丁香魚網路（www.luckfish.net.cn）教大家一個技巧，利用winxp sp2功能來阻止彈窗程序。
本文向您講述如何在運行 Windows XP Service Pack 2 的計算機上配置彈出窗口阻止程序。彈出窗口阻止程序是 Internet Explorer 中的一項新功能。此功能會阻止大多數不需要的彈出窗口出現。默認情況下，彈出窗口阻止程序是打開的，在打開彈出窗口阻止程序時，自動彈出窗口和後台彈出窗口會被阻止，但由用戶打開的彈出窗口仍然以正常方式打開，以下介紹三種方法，供您選擇，如有問題，可以隨時到本站留言，本站每天24小時值守留言板，保證每天第一時間回復您的問題。
方法一：如何打開彈出窗口阻止程序
注意：默認情況下，彈出窗口阻止程序是打開的。只有在其被關閉時才必須將其打開。
1. 單擊「開始」，指向「所有程序」，然後單擊「Internet Explorer」。
2. 在「工具」菜單上，指向「彈出窗口阻止程序」，然後單擊「啟用彈出窗口阻止程序」以打開彈出窗口阻止程序，或者單擊「關閉彈出窗口阻止程序」以關閉彈出窗口阻止程序。
一、從「Internet 選項」
要從「Internet 選項」配置彈出窗口阻止程序，請按照下列步驟操作：
1. 單擊「開始」，指向「所有程序」，然後單擊「Internet Explorer」。
2. 在「工具」菜單上，單擊「Internet 選項」。
3. 單擊「隱私」選項卡，然後選中「阻止彈出窗口」復選框以打開彈出窗口阻止程序，或者清除「阻止彈出窗口」復選框以關閉彈出窗口阻止程序。
4. 單擊「應用」，然後單擊「確定」。
二、如何配置彈出窗口阻止程序設置
可以配置以下彈出窗口阻止程序設置：
允許網站列表
可以通過將某個網站添加到「允許的站點」列表中，從而允許在該網站中打開彈出窗口。為此，請按照下列步驟操作：
1. 單擊「開始」，指向「所有程序」，然後單擊「Internet Explorer」。
2. 在「工具」菜單上，指向「彈出窗口阻止程序」，然後單擊「彈出窗口阻止程序設置」。
3. 在「要允許的網站地址」框中，鍵入網站的地址，然後單擊「添加」。
4. 單擊「關閉」。
三、阻止所有彈出窗口
要阻止所有彈出窗口（包括由用戶打開的彈出窗口），請按照下列步驟操作：
1. 單擊「開始」，指向「所有程序」，然後單擊「Internet Explorer」。
2. 在「工具」菜單上，指向「彈出窗口阻止程序」，然後單擊「彈出窗口阻止程序設置」。
3. 在「篩選級別」列表中，選擇「高:阻止所有彈出窗口(使用 Ctrl 替代)」，然後單擊「關閉」。
四、替代鍵
要在已經將篩選級別設置為「高:阻止所有彈出窗口(使用 Ctrl 替代)」時自己打開一個彈出窗口，可按住 Ctrl 鍵，然後打開彈出窗口。
五、配置聲音
要在彈出窗口被阻止時播放聲音，請按照下列步驟操作：
1. 單擊「開始」，指向「所有程序」，然後單擊「Internet Explorer」。
2. 在「工具」菜單上，指向「彈出窗口阻止程序」，然後單擊「彈出窗口阻止程序設置」。
3. 選中「阻止彈出窗口時播放聲音」復選框，然後單「關閉」。
六、如何為被視為安全的區域配置彈出窗口阻止程序
因為「受信任的站點」和「本地 Intranet」Web 內容區域被視為安全的，所以決不會阻止其彈出窗口。要為這些區域配置彈出窗口阻止程序，請按照下列步驟操作：
1. 單擊「開始」，指向「所有程序」，然後單擊「Internet Explorer」。
2. 在「工具」菜單上，單擊「Internet 選項」。
3. 單擊「安全」選項卡，並在「請為不同區域的 Web 內容指定安全設置」框，單擊「本地 Intranet」。
4. 單擊「自定義級別」，在「使用彈出窗口阻止程序」下，單擊「啟用」以打開彈出窗口阻止程序，或者單擊「禁用」以關閉彈出窗口阻止程序。
5. 單擊「確定」兩次。
6. 重復執行步驟 1 至 2。
7. 單擊「安全」選項卡，並在「請為不同區域的 Web 內容指定安全設置」框內單擊「受信任的站點」。
8. 單擊「自定義級別」，在「使用彈出窗口阻止程序」下，單擊「啟用」以打開彈出窗口阻止程序，或者單擊「禁用」以關閉彈出窗口
阻止程序。
9. 單擊「確定」兩次。
方法二：如何使用注冊表項配置彈出窗口阻止程序
配置整個彈出窗口阻止程序
1. 單擊「開始」，單擊「運行」，鍵入 regedit，然後單擊「確定」。
2. 找到並單擊下面的注冊表子項：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WEBOC_POPUPMANAGEMENT
3. 雙擊「Iexplore.exe」
4. 要關閉整個彈出窗口阻止程序，請在「數值數據」框中，鍵入 0，然後單擊「確定」。或者，要打開整個彈出窗口阻止程序，請在「數值數據」框中，鍵入 1，然後單擊「確定」。
為每個區域配置彈出窗口阻止程序
下面任一注冊表子項下的每個數字分別代表一個不同的區域：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
對於每個區域下的 1809，數據值 3 表示禁用彈出窗口阻止程序。數據值 0 表示啟用彈出窗口阻止程序。
方法三：如何使用組策略配置彈出窗口阻止程序
配置整個彈出窗口阻止程序
1. 單擊「開始」，單擊「運行」，鍵入 gpedit.msc，然後單擊「確定」。
2. 依次展開「用戶配置」、「管理模板」、「Windows 組件」和「Internet Explorer」。
3. 根據所需設置來設置「關閉彈出窗口管理」，必須更新策略或重新啟動計算機，才能應用更改。
為每個區域配置彈出窗口阻止程序
1. 單擊「開始」，單擊「運行」，鍵入 gpedit.msc，然後單擊「確定」。
2. 依次展開「用戶配置」、「管理模板」、「Windows 組件」、「Internet Explorer」、「Internet 控制面板」和「安全頁」，然後選擇所需區域。
3. 根據所需設置來設置「用戶彈出窗口阻止程序」。必須更新策略或重新啟動計算機，才能應用更改。
方法四：最簡單的方法，重新注冊IE組件（9月2日凌晨01：16更新）
1、IE莫名跳窗應該是惡意廣告程序作怪，可以按以下方法修復：
重新注冊IE項，修復IE注冊。從開始->運行
輸入命令 regsvr32 actxprxy.dll 確定
輸入命令 regsvr32 shdocvw.dll 確定
2、跳窗網頁可能保留在HOSTS，一經上網就先觸發該網址為默認，就會自動打開，檢查HOSTS：
用記事本在C:\WINDOWS\system32\drivers\etc\目錄下打開HOSTS
在裡面檢查有沒有網址，有則刪除。
或在前面加127.0.0.1 保存後屏蔽掉。 （方法四經測試有效）

參考資料：http://www.luckfish.net.cn/Windows.htm

⑩ 3721是個什麼性質的網站

以下是我看得一篇文章,你看一下,然後自己做出判斷吧...

全面剖析3721及上網助手
作者：合肥工業大學 imxk 發文時間：2005.06.27

3721真的能夠卸載干凈嗎？
3721真的僅僅是一個中文上網這么簡單嗎？
3721對網路甚至對國家安全的危害僅僅是您目前所認識到的嗎？
3721自稱的「詳細技術情況」真的給您知情權了嗎？
3721上網助手真的是您的什麼「助手」嗎？

全面揭露 觸目驚心！

3721作為一種可自動安裝的、普及率極廣的一種網路程序，近年來對之的爭議頗多。本文試圖從安裝、卸載、服務、系統影響等各個方面列舉系列客觀事實，有關觀點僅代表筆者個人意見，拿出來與大方之家商榷，相信大家見仁見智各有自己的結論，同時也希望以此引起有關部門的注意。

測試環境：VMWare虛擬機，共享主機連接，以獨立的公網IP 地址上網；操作系統為Windows XP Pro SP2，默認安裝，僅以直接復制的方式拷貝了測試所必須的文件管理程序Total Commander、注冊表跟蹤工具Advanced Registry Tracer、抓圖工具UltraSnap、打字必須的極點五筆輸入法，未安裝其他任何軟體。另外，部分圖片為節省篇幅採用了以重疊的方式顯示多幅圖片內容。

一、3721安裝剖析

1、安裝推廣由「反復提示」式為主為轉向捆綁為主

自從Windows XP SP2推出加強的安全特性後，以前頻繁出現的3721安裝提示被進行了有效抑制（圖1），因此其推廣安裝方式除傳統的通過瀏覽器植入安裝、直接下載安裝外，又開拓了在某些共享軟體和免費軟體中捆綁的方式進行安裝（圖2）。新的捆綁安裝方式，雖然有安裝選項，但對於習慣了「一路回車法」安裝軟體的用戶，被順手裝入系統的可能性極大！

圖 1 Windows XP SP2的安全機制給3721的安裝帶來不便

圖 2 通過免費或共享軟體的捆綁並默認安裝

2、「一拖三」的安裝方式，偷偷植入另外模塊

如果被安裝上上網助手，則實際上同時被植入系統的並非上網助手一個程序，而是同時另外被靜默地植入了「地址欄搜索」和「搜索助手」這兩套獨立的程序（圖3）。

卸載上網助手時，額外植入的兩套程序不會被卸載；卸載每一套程序時，卸載對話框中都添加保留另外模塊的選項，以實現非刻意卸載情況下的自我交叉修復。

圖 3

3、完善的自我保護機制

從安裝、保護、卸載、修復幾個環節來看，各個環節環環相扣（圖4），任何一環沒有正確處理，則就無法實現表面的干凈卸載（真正徹底卸載除非手工清理，否則無法實現完全卸載，，後文詳述）。

圖 4 各個環節的保護機制環環相扣，清除不易

二、3721及上網助手提供的「貼心」服務提供剖析

號稱提供各種貼心服務，其服務項目所標示的功能也非常的人。我們對其中幾項進行了簡單測試，看看3721到底提供的是一些什麼性質、什麼質量的「服務」。

1、黃毒橫行觸目驚心

安裝3721中上網助手後，瀏覽器瀏覽器地址欄被無告知地植入20多項URL列表，其內容不外乎：性、娛樂、賺錢等幾方面有關（圖5）。

從其強行植入的地址欄URL列表來看，安裝了3721或上網助手的電腦就不折不扣地成了一台「少兒不宜」的電腦！

看看其強行植入的「美女如雲——15億圖片心情體驗」鏈接，隨意點擊幾個鏈接，結果(如圖6)，什麼「裸體」、「自拍」、「三級明星電影」、「誘惑放盪的少婦」、「賓館偷房」、「無限激情」……等不堪入目的字眼撲面而來！

如果說具體的內容提供與其他合作方有關系，那麼看看3721推薦的「美女如雲——15億圖片心情體驗」的主頁面，什麼「波霸」、「A片」的類別項目赫然在目（圖7）。

再看看3721推薦提供的「極速寬頻影院」（圖8）。「性的日記」、「姐妹情色」、「村妓」、「偷情家族」等占據了內容目錄的絕大部分，您能夠從中找到哪怕一丁點健康、積極、向上的內容嗎？！

這就是3721和上網助手提供的服務中的內容品味的冰山一角。

圖 5 自動植入的瀏覽器瀏覽器地址欄URL列表

圖 6 自動植入瀏覽器地址歷史中的鏈接內容之一

圖 7 自動植入瀏覽器地址欄歷史鏈接的部分內容之二

圖 8 自動植入瀏覽器地址欄歷史鏈接的部分內容之三

2、「網路釣魚」爐火純青

除了上述明目張膽的色情（公開傳播的內容中那些不是色情還有是色情？）宣傳推廣，其還採用了一種誘惑點擊的網路釣魚方法：以「免費電影」為幌子，播放器上覆蓋廣告，用戶點擊播放器時將觸發對廣告的點擊（圖9）。

此種誘惑點擊的手段僅僅是一種方式。有了這種「先進的」方式，還有什麼事情不能做呢？

圖 9 自動植入瀏覽器地址欄歷史鏈接中打開的免費電影（網路釣魚：以一Flash廣告與播放按鈕重疊的方式，誘惑用戶點擊。這里設置不顯示Flash以暴露其重疊的框架結構）

3、貼心功能不貼心

不少人看中了上網助手的彈出廣告過濾功能。讓我們看看真實情況！

用http://www.kephyr.com/popupkillertest的專業測試頁面進行彈出窗口過濾測試。為避免干擾干擾，先關閉Windows XP SP2本身的彈出窗口過濾功能（沒有人會說上網助手的彈出窗口過濾是依賴Windows XP 的SP2相關功能實現的吧？！）。

測試結果，27項測試中，未能通過的有：第3 項、第6項（1、2）、第8項、第9項、第10項、第11項、第12項、第16項、第17項、第20項、第21項、第22項、第24項、第26項、第27項（1、2、3），共計未通過測試的有15項（18種），過濾失敗的項目占整體的55%，失敗的種類占整體的66%（圖10）。即按百分制評判，上網助手的彈出窗口過濾能力連及格分都沒有撈到！

而啟用Windows XP SP2的彈出窗口過濾功能，或者使用Maxthon等具有彈出窗口過濾功能的第三方瀏覽器，同樣的項目測試結果就截然不同！具體情況筆者暫不提供，大家可以自己測試對比一下，以便好好體會這位上網「助手」的能力！

圖 10 彈出窗口過濾測試中慘不忍睹的過濾結果

4、「清理痕跡」清理了誰的痕跡？

圖11是上網助手的「清理痕跡」功能測試。執行清理並得到「當前沒有網址記錄！」的結果，但打開瀏覽器的歷史側邊欄，結果如何？

圖 11 「痕跡清理」清理了誰的痕跡？

5、插件管理專家別有私心

打開上網助手的插件管理專家，其中僅僅「虛心」地把搜索助手列了出來；但打開瀏覽器的載入項對話框，3721和上網助手植入的十幾個載入項卻赫然在目（圖12）！別家的插件算插件，自己偷偷植入的眾多玩藝一律不算插件，這是什麼邏輯？！

圖 12 「插件管理專家」對自己植入的垃圾插件視而不見

6、把自己的「搜一搜」右鍵菜單視為系統默認菜單

再看看「恢復IE外觀」中的「清理IE右鍵菜單」功能。清理後，報告「沒有可清理的菜單！」

但實際上，在瀏覽器中右擊滑鼠，「！搜一搜」的3721附加的菜單項已經如同系統默認菜單項那樣被保存下來（圖13）。令人不解的是，「！搜一搜」這種表達方式不知在中國語言學中算是一種什麼手法？

圖 13 3721自動添加的右鍵菜單不算清理對象

7、自欺欺人的「清理IE工具條」
試試「清理IE工具條」的效果如何。清理後，報告「沒有可清理的工具條！」，但IE工具欄上被3721自動植入的那個帶有掃把圖標的工具條和其他幾個按鈕好好的毫發無損（圖14）。難道它自己的這些就不屬於系統之外的第三方工具條嗎？工具欄按鈕清理也是如此。

圖 14 清理IE工具條結果

8、IE 工具欄「重置」功能不能重置3721植入的工具欄按鈕

既然上網助手拒絕給我幹活，那麼就用IE本身的功能設置來恢復工具欄按鈕吧。

打開自定義工具欄對話框，點擊「重置」，那些被強行植入的按鈕閃動了一下，片刻又立即得到恢復（圖15）。

系統的基本功能在3721的作用下已經部分失效！

圖 15 「重置」工具欄按鈕後的效果

9、對系統穩定性的影響

在虛擬機環境下，直接在瀏覽器地址欄輸入「合工大」進行搜索，前後測試6次，每次都是立即藍屏（圖16）。

雖然虛擬機環境與真實環境可能有一些差異，但虛擬機對內存要求較高，系統資源佔用較大，據此我們不能確定在真實系統環境也是如此，但起碼可以確定，搜索助手對系統資源的分配肯定存在某種負面影響（或者是存在某種BUG），在對資源需求較大時，會對系統產生不利影響。

圖 16 半個工作日的搜索測試中系統藍屏6次

三、3721對系統的寫入情況剖析

根據網路實名網站自稱的「詳細技術原理」，我們看看真實情況是否如網站上所告知的那樣。圖17是其對用戶告知的內容。在隨後的檢測項目中，我們看看它「詳細」到什麼程度，用戶和知情權體現在什麼地方。

圖 17 網路實名的「詳細技術原理」

1、向系統植入的文件
除了有專門的程序文件夾，3721還在Windows\Downloaded Program Files目錄以隱藏的方式保存其文件以便快速修復；在系統驅動程序目錄植入驅動程序文件並保證安全模式（即使你不上網！）也能夠被載入並且不能被直接刪除（圖18、圖19）。

①安裝3721後的文件植入情況：

● Windows\Downloaded Program Files目錄被植入37個文件1個文件夾；

● Windows\System32\Drivers目錄植入CnMinPK.sys驅動程序文件。

● Program Files目錄植入目錄名為3721，共含15個文件和1個文件夾。

共計植入53個文件和2個子文件夾。

②安裝上網助手後的文件植入情況：

● Windows\Downloaded Program Files目錄被植入30個文件1個文件夾；

● Windows\System32\Drivers目錄植入CnMinPK.sys驅動程序文件。

● Program Files目錄植入目錄名為3721，共含79個文件和7個文件夾。

● Program Files目錄植入目錄名為YDT，共含4個文件和1個文件夾。

共計植入114個文件和9個子文件夾。

圖 18 以驅動方式植入系統，安全模式也能生效

圖 19 Windows資源管理器中無法查看的隱藏文件和目錄

2、寫入的注冊表項目
據安裝前後的注冊表導出比較後得出的不完全統計，系統注冊表被寫入的內容大致如下（因瀏覽網頁等操作會導致動態修改，因此可能會有一些誤差）：

安裝3721後，注冊表中被寫入122個鍵項、408個鍵值；

安裝上網助手後，注冊表中被寫入251個鍵項、656個鍵值。

遺憾的是，按正確的方法卸載、重啟後注冊表項目仍然無法全部被清除！

3、多種途徑實現的自動載入項
3721聲明以標准系統介面實現自動載入，而且將這些標准介面利用得淋漓盡致！

⑴上網助手在注冊表HLM下面的Run鍵項中添加helper.dll、YDTMain.exe、CnsMin三個自動載入模塊，而且卸載、重啟後仍然存在（圖20）；

⑵通過驅動程序模式載入CnMinPK.sys模塊，實現進程隱藏，並且通過系統本身的Msconfig無法檢測；

⑶通過其多個模塊之間的相互修復和守護實現，實現交叉安裝、修復、載入；

⑷通過嵌入瀏覽器幫助對象，實現功能的自動載入；

⑸通過各模塊卸載對話框中的修復選項，誘導用戶在卸載某個模塊的同時，修復和自動載入另一些模塊；

⑹通過捆綁到某些第三方安裝程序，在安裝過程中實現自動安裝和自動載入。

圖 20 卸載後仍然自動重啟的模塊

4、自我守護的進程
如圖21，安裝上網助手後，任務列表中會存在三個進程，其中以Rundll32.exe顯示的兩個進程可以實現自動交叉修復，即一個進程是另外一個進程的守護進程。因此，使用Windows任務管理器是無法順利將它們從內存中關閉的，這點相信多數人深有體會！

圖 21 創建多個進程並且可自我守護

5、植入系統的瀏覽器載入項

圖22是上網助手自動植入系統中的8種瀏覽器載入項。用戶的瀏覽器成為幾大公司發財的財源基地。餘下的就差沒有拿著刀子上門直接搶錢了。

圖 22 一口氣自動植入8種瀏覽器載入項

6、自動植入瀏覽器工具欄的多種無關按鈕

呵呵，安裝後，瀏覽器上什麼Yahoo!等亂七八糟的按鈕一股腦兒給你安裝上了，甚至連資源管理器也沒有放過（圖23，夠貼心的吧）。

圖 23 資源管理器中被強行植入的按鈕

7、控制面板添加刪除程序列表中的多餘項目
在未被明確告知的情況下，安裝上網助手後，控制面板的添加刪除程序列表中會額外加入兩個程序項目（圖24）。

圖 24 不知道什麼時候被植入的額外兩個模塊

8、植入系統的系統服務表

使用IceSword這款安全工具檢測系統服務描述表（SSDT），可以發現除Ntoskrnl.exe這個系統內核外，就是3721和上網助手的「CnsMinKP.sys」了。搞編程的人知道這做到了什麼級別，普通網民反正「眼不見為凈」。可見功夫真的下到了家了！

圖 25 通過任務管理器無法查看到的系統服務表

9、自動創建的線程情況

從圖26可以看出，上網助手及其模塊自動創建的線程數之多，在系統總體線程數的比例上是多得令人吃驚的！該圖為未打開任何瀏覽器以及其他相關窗口情況下的線程創建情況（部分需滾動才能查看）。

圖 26 自動創建的線程列表

10、後台運行的消息鉤子

有興趣的人可以看看圖27中的鉤子類型，看看3721利用的大量鉤子函數在幹些什麼。

圖 27 眾多的消息鉤子

11、植入瀏覽器右鍵菜單的「！搜一搜」菜單項
呵呵，瀏覽器右鍵菜單中被植入的「！搜一搜」是不是該倒過來從右向左讀？這個世界的法則是不是也要倒過來解讀（圖28）？

圖 28 瀏覽器右鍵菜單項

12、上網助手Assistse.exe打開本地1028埠
如圖29，上網助手Assistse.exe打開本地UDP 1028埠，作用不明。

圖 29 埠打開情況

13、植入Internet選項設置
圖31是植入到Internet選項的「高級」設置的內容。看看，還有「自動升級」功能呢，有什麼新的手段或主意了，再在您的系統中試試？

圖 31 Internet選項中被植入的內容

四、3721及上網助手卸載情況剖析
有人在網卡撰文說3721現在可以通過其卸載程序干凈地卸載了。事實情況真的是這樣嗎？請看——

1、「完全刪除」和「完全卸載」的卸載承諾
如圖32，無論3721網路實名還是上網助手，在卸載程序中都承諾「把上網助手從電腦中完全刪除」和「完全卸載實名插件並關閉實名功能」。

圖 32 卸載界面的承諾

2、完全卸載不完全

網路實名卸載成功並重啟後，在資源管理器中無法看到Windows\Downloaded Program Files文件夾中有任何文件（即使你將資源管理器設置為顯示所有文件、顯示系統文件）。但使用著名的Total Commander文件管理器，卻發現有一個zsmod.dll的隱藏文件（圖33）！如果是卸載上網助手，卸載成功並重啟後，上述目錄居然隱藏有30個文件1個文件夾（圖34）！

以zsmod.dll為關鍵字在注冊表編輯器中搜索，可以發現這個文件並非是一個被「遺忘」的死文件，而是有相應的注冊表鍵值（圖35）！

卸載上網助手成功並重啟後，檢測BHO（瀏覽器幫助對象），發現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象（圖36）！

卸載上網助手成功並重啟後，檢測自動載入項目，發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動載入的程序項目（圖37）！

再檢測系統已經載入的內核模塊，發現以驅動形式載入的CnsMinKP.sys仍然被成功載入（圖38）！以CnsMinKP.sys在注冊表編輯器中搜索，卸載成功並重啟後注冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值（圖39），使得卸載操作完全是一個騙局，其基本功能根本沒有受到影響，至多是那個一般情況下顯示在系統托盤的可以向用戶提供「服務」的小圖標不見了！當然，系統Drivers目錄中的CnsMinKP.sys文件依然完好，沒有受到任何破壞！

看看系統進程如何。如圖40，YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒！

由此可見，上述就是所謂的「把上網助手從電腦中完全刪除」的真相！

真的想把它們徹底清除嗎？可以，手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載（卸載時注意看清楚相關選項！否則可能又相互修復），此時絕大多數文件和注冊表被清除。但Windows\Downloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的注冊表鍵值卻永遠不會被清除！

圖 33 3721卸載重啟後資源管理器無法看到的隱藏文件

圖 34 上網助手卸載重啟後系統目錄中隱藏的大量文件（Windows資源管理器無法以任何方式查看到，Total Commander可顯示）

圖 35 卸載重啟後注冊表中的保留鍵值

圖 36 卸載重啟後仍然被保留的瀏覽器幫助對象模塊

圖 37 卸載重啟後仍然被保留的自動載入項目

圖 38 卸載重啟後仍然以驅動模式載入的內核模塊

圖 39 卸載重啟後注冊表中仍然保留的3處隱藏服務鍵值

圖 40 上網助手卸載重啟後仍然在運行的後台進程和仍然存在的瀏覽器工具欄按鈕

3、額外安裝的兩個模塊必須另行卸載

圖43就是安裝時未被明確告知就強行安裝的、需要我們手工卸載的垃圾程序。

圖 43 額外安裝的兩個模塊必須手工卸載

4、卸載過程中仍然試圖交叉修復

卸載這些額外程序模塊的過程中，存在默認被選中的以「卸載」二字開頭的一個選項：

「卸載上網助手-地址欄搜索後保留上網助手等按鈕」

如果你操作中只看了前面半句，以為是選擇了「卸載」它們，那你就錯了！

由此可見3721的對用戶的心理和電腦使用習慣研究得非常透徹，能夠利用的都充分利用了！

圖 44 卸載過程中仍然試圖交叉修復

五、3721綜合行為的法律、道德剖析

1、3721及上網助手的道德層面剖析

什麼「裸體」、「自拍」、「三級明星電影」、「誘惑放盪的少婦」、「賓館偷房」、「無限激情」……等褻瀆了廣大網民的情趣品味；對青少年進行了極其不良的誤導引誘；污染了網路環境。

未經明確告知，強行植入其他程序模塊。

通過系統驅動的方式載入，安全模式亦無法避免。就連Windows都將帶網路連接的安全模式作為一個單獨的項目提供給用戶，而3721則是青紅皂白，不管用戶是否使用網路，一律載入沒商量！

2、3721及上網助手的法律層面剖析

額外安裝程序侵犯知情權；

強行植入的少兒不宜的URL鏈接無視青少年許可權保護；

宣傳黃毒；

介紹黃毒；

卸載卸載過程中以欺騙的手段保留未經用戶許可的模塊，而且相互交叉修復；

自動感染、自動繁植、隱藏自身、佔用系統資源、干擾用戶上網活動、直接或間接向系統中帶入不良數據、清除極其困難、通過多種途徑自動載入……已經具有完整的病毒特徵；

提供不良內容下載……

3、3721及上網助手對國家安全及文化導向的影響

由艱苦奮斗勤儉建國轉向靡靡之音聲色犬馬的和平演變，只需藉助3721；

瓦解民眾鬥志，只需3721；

佔領中國的宣傳陣地，只需利用3721；

主導中國的網路安全命脈，只需掌握3721；

轉變中國網民的文化導向，只需藉助3721；

對中國發動網路癱瘓戰，只需通過3721！

…………

所有這些，3721已經在做了，而且做得很好！
參考資料：http://blog.yesky.com/blog/netgc/archive/2005/06/29/170366.html