3721网站网络安全

① 3721上网助手类的是流氓软件吗为什么

软件介绍：3721上网助手是一个常见的浏览器插件，它可以保护我们的电脑不受恶意网站的侵害，并有一定的系统和IE修复能力，在很多时候还是可以帮上我们不少忙的。不过有的朋友是在无意中安装3721的，一旦3721进入了你的电脑之后，就很难将它完全从系统中卸载干净，而且3721也没有提供一个完全的反安装程序，对此不少网络用户颇有微词.

一、下载UPIEA(IE插件屏蔽)IE插件管理专家Upiea 1.49 Pro

点击浏览该文件

二、运行“UPIEA”，选“插件状态”~~~“本地插件”~~~“上网助手”，旁边会出现“卸载”，
点击“卸载”.然后一路确定就好，最后会提示“卸载成功”.

三、关机重启，进入
C:\Program Files\3721，删除3721文件夹

四、运行“UPIEA”，选“插件免疫”~~~“国内”~~~把所有有关3721的插件打上勾，进行免疫，最后按“应用”

3721彻底清除方法--推荐
在安全模式下

打开注册表编辑器。展开注册表到
HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run
在右侧窗口中删除CnsMin键。

还是在安全模式下面

展开注册表到
HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼InternetExplorer＼AdvancedOptions
删除整个!CNS目录，这个目录在“Internet选项-高级”中加入了3721网络实名的选项；

展开注册表到
HKEY＿LOCAL＿MACHINE＼SOFTWARE＼3721]以及[HKEY＿CURRENT＿USER＼Software＼3721
删除整个3721目录；

展开注册表到
HKEY＿CURRENT＿USER＼Software＼Microsoft＼InternetExplorer＼Main
删除CNSEnable等几个以CNS开头的键。

在删除完注册表中的项之后，还需要删除存储在硬盘中的3721网络实名文件，海豚在这里给楼主介绍一个比较快捷的方法，是：打开“开始”菜单，点击【查找-文件或文件夹】，分三次在“名称”中输入3721、CnsMin、cnsio分别查找，然后把找到的文件全部删除。
问：但是system32\drivers\cnsminkp.sys删除不了，删完一刷新或重新搜索又出来了，怎么办？
答：先把windows\system32\drivers目录复制一份，取名为drivers1,并将其中的CnsMinKP.sys删除（注意，因为是drivers1中的，所以可以被成功地真正删除掉）；

重新启动机器，到安全模式下

用drivers1目录替代原来的drviers目录

cd windows\system
ren drivers drivers2
ren drivers1 drivers

之后重新启动机器，然后进到windows后先把drivers2目录删除了，然后慢慢收拾残余文件和清理注册表。在这里，海豚提供一个reg文件，方便您尽可能干净的删除注册表：

Windows Registry Editor Version 5.00（用98的把这行改成regeidt4）

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{
B83FC273-3522-4CC6-92EC-75CC86678DA4 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{
D157330A-9EF3-49F8-9A67-4141AC41ADD4 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{
1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{
A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{
AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
00000000-0000-0001-0001-596BAEDD1289 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
00000000-0000-0001-0001-596BAEDD1289 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
0F7DE07D-BD74-4991-9D5F-ECBB8391875D }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
5D73EE86-05F1-49ed-B850-E423120EC338 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
ECF2E268-F28C-48d2-9AB7-8F69C11CCB71 }]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{
FD00D911-7529-4084-9946-A29F1BDF4FE5 }]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{ D157330A-9EF3-49F8-9A67-4141AC41ADD4 }]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]

② 3721是什么意思

3721是由周鸿祎创立的3721公司提供的中文上网服务———3721“网络实名”，是第三代中文上网方式，用户无需记忆复杂的域名，直接在浏览器地址栏中输入中文名字，就能直达企业网站或者找到企业、产品信息。

3721的核心产品其实是一种早期形态的搜索：通过下载浏览器帮助用户直接前往目标网站。这家公司的营收来源是针对拉丁字母构成的域名销售数十万个中文关键词。

(2)3721网站网络安全扩展阅读：

“3721”的发展历程：

1、1998年，“3721”周鸿祎创立3721公司。

2、2003年11月，雅虎宣布以1.2亿美元收购3721，这是一家拥有五年发展经验、将近200名员工的公司，最重要的是它的领导者是一位极具闯劲的本土互联网企业家周鸿袆。

3、2004年中期，公司因为控制和管理风格上的分歧陷入了运营困境。据悉周鸿袆认为原先雅虎的员工薪水过高，而且作风懒散，而雅虎团队则感觉自己受到欺 压，而且认为周鸿袆并没有专注于雅虎的运营。

4、2009年1月4日，中国雅虎正式放弃3721和雅虎助手的业务发展。

③ 怎么彻底删除3721

楼上的办法还是不彻底,要用到注册表的

近日接到内网用户来报，在上到某些站点的时候，会被提示安装一个叫3721中文实名的插件，部分用户在不知情的情况下误点“安装”选项，导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员，但是对Windows操作系统的确使用得不多，从来也没有用过这个名为3721的插件，但看到用户们焦急地神情，于是答应尽力而为。经过几番努力，终于将其斩于马下。
以下是杀除该病毒得经历及病毒解决方案。

天缘使用一台windowsxp机器，访问用户提供的站点，下载并执行了该插件。该插件为中文，自动安装后重新启动机器后生效，并自带卸载功能。通过安装/卸载前后的对比观察，其驻留性、自身保护性及对系统性能的大量损耗，让天缘确定了该插件确是病毒无疑！

病毒发作现象：
自动将浏览器的“搜索”功能重定向到一个叫www.3721.com的网站，该站点为中文站，且无法修改；
强行在用户ie上添加“情景聊天”、“上网加速”等几个图标；
不断刷新注册表相关键值，以达到成功驻留和大量消耗用户主机资源的目的；
每次启机加载，并自带进程保护功能，在正常地windows启动下难以杀除；
5. 带自动升级功能，每次用户上网使用ie时，该病毒会后台执行升级；

病毒自身特点：
自带卸载功能；该病毒为达到隐藏自身目的，麻痹下载插件用户的目的，提供了卸载程序。但根据天缘的使用情况发现，在卸载后，该病毒程序依然驻留，启动时仍然加载，依然监视、改写注册表；
采用网络升级方式；该病毒为了防止用户以及杀毒软件的杀除，采取定期网上升级的方式，这点与近期的其他Windows主流病毒类似，但值得一提的是该病毒建有公开的病毒升级站点www.3721.com，且站点风格酷似门户、服务类站点，具有极大的欺骗性；
以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载配合挂接hook的方式，在windows下极难查杀（详细技术讨论见后）；
提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁，看来新的病毒越来越多地喜欢提供一些另类功能了；
被动方式传播：利用一些站点来进行传播，而不是主动感染其他机器，这点与当前热门的“美女图片”病毒的方式相近。从主动转向被动，可说是今年一些病毒的新特点；

病毒详细分析：
当用户访问站点的时候，弹出一个控件下载窗口提示用户下载安装，表面上称自己是提供中文实名服务，引诱用户安装；
在安装过程中多处修改用户文件及注册表；
添加文件：

在Documents and Settings\All Users\“开始”菜单\程序\网络实名\ 目录下添加
了解网络实名详细信息.url 86 字节
清理上网记录.url 100 字节
上网助手.url 99 字节
卸载网络实名.lnk 1,373 字节
修复浏览器.url 103 字节

在WINDOWS\Downloaded Program Files\ 下添加
assis.ico 5,734 字节
cns02.dat 1,652 字节
CnsHook.dll 56,320 字节
CnsMin.cab 116,520 字节
CnsMin.dll 179,712 字节
CnsMin.inf 378 字节
sms.ico" 6,526 字节
yahoomsg.ico 5,734 字节

在WINDOWS\System32\Drivers\ 目录下添加
CnsminKP.sys

添加注册表键值：

增加HKEY_LOCAL_MACHINE\SOFTWARE\3721 主键，下设多子键及属性值；
在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID 主键下增加
{B83FC273-3522-4CC6-92EC-75CC86678DA4}
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
两个子键
3．在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\主键下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1
四个子键
4. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\主键下增加
{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}子键
5. 在HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\主键下增加
{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}
{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\主键下增加
!CNS子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ 主键下增加
{00000000-0000-0001-0001-596BAEDD1289}
{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}
{5D73EE86-05F1-49ed-B850-E423120EC338}
{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}
{FD00D911-7529-4084-9946-A29F1BDF4FE5} 五个子键
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\主键下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四个子键
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\主键下增加
{D157330A-9EF3-49F8-9A67-4141AC41ADD4}子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\下增加
CnsMin子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\下增加
EK_Entry 子键 （提示，这个键将在下次启动机器的时候生效，产生最令人头疼的部分，后文会叙述）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\下增加
CnsMin 子键
HKEY_CURRENT_USER\Software\下增加
3721子键
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset
在重新启动计算机后，上面提到的RunOnce下的EK_Entry生效，在注册表中多处生成最为邪恶的CnsMinKP键值，同时在系统盘的windows/system32/drivers目录下生成CnsMinKP.sys文件，噩梦由此开始。
由于win2k/xp在启动的时候（包括安全模式）默认会自动运行windows/system32/drivers下面的所有驱动程序，于是CnsMinKP.sys被加载，而这个驱动的作用之一，就是保证windows/ Downloaded Program Files目录下的Cnshook.dll和CnsMin.dll以及其自身不被删除；Cnshook.dll的作用则是提供中文实名功能，CnsMin.dll作用在于使其驻留在ie进程内的时候。CnsMin为了保证自己的优先级最高，用了一个定时器函数反复安装钩子，因此造成系统性能下降，在天缘测试的那台机器上，使得性能大概下降了20%左右。而且由于hook强行挂接的原因，当用户使用断点调试程序的时候将会导致频繁出错，这一点与早期版本的cih导致winzip操作和无法关机类似（关于详细的技术细节，可参看题目为《[转载]3721驻留机制简单研究》一文，地址为 http://www.nsfocus.net/index.php?act=sec_doc&do=view&doc_id=894 原作者Quaful@水木清华）
防删除特性：
该病毒虽然自带一个所谓的“卸载程序”，但事实上核心部分的程序/注册表键值依然没有删除。而且该病毒更是利用各种技术手段，具有极其强大的反删除特性。
windows系统启机（包括安全模式下）便会加载windows/system32/drivers下的CnsMinKP.sys，该驱动该驱动程序过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。

技术亮点：
天缘不得不承认，3721这个病毒插件可称我作为网管以来面对的最难清除的病毒。近几年来病毒有几次质的突破：cih感染可升级的bios、红色代码打开windows的共享扩大战果、meliza让我们见识了什么是看得到源程序的病毒、mssqlserver蠕虫让我们留意到计算机病毒能攻击的不光是节点还有网络设备、冲击波病毒让我们认识到大量使用同一种操作系统时在出现安全漏洞时的可怕、美女图片病毒让我们知道了将欺骗艺术与软件漏洞结合的威力、而这次3721病毒首次展现了病毒强大的反删除特性，可说是在windows环境下无法杀除的病毒。虽然这是个良性病毒，对系统并没有破坏特性，但依据病毒的发展史，可以预见，这种几近完美的反删除技术将很快被其他病毒所利用，很快将被其他病毒所利用。届时结合网络传播，局网感染带强大反删除功能的病毒或许会让目前windows平台下的杀毒软件遭遇到最大的考验。而这次经历，也让我意识到微软的windows操作系统在人性化、美观化、傻瓜化的背后的危机。作为it同行，我个人对3721病毒作者所使用的种种技术表示钦佩，但新型病毒的潘多拉魔盒，已经被他们打开：

在目前已知的病毒历史上，之前只有几种病毒利用过windows nt下的system32/drivers 下的程序会被自动加载的特性来进行传播，但那些病毒本身编写地不够完善，会导致windows nt系统频繁蓝屏死机，象3721插件病毒这样完美地加载、驻留其他进程，只消耗主机资源，监测注册表及关键文件不导致系统出错的病毒，国内外尚属首次，在技术上比以前那些病毒更为成熟；

如同天缘和大家曾经探讨过的没打sp2以上patch的win2k如何上网下载sp4再安装补丁这样的连环套问题一样。由于drivers目录下的CnsMinKP.sys启机必定加载，而欲不加载它，只有在windows启动后，进注册表改写相应的CnsMinKP键值或者删除该文件，但由于CnsMinKP.sys过滤了对其自身及相关重要文件和注册表的删除操作。每当试图删除3721的关键文件和注册表项时，直接返回一个TRUE，使Windows认为删除已经成功，但文件和注册表实际上还是在那里。使得注册表无法修改/文件无法被删除，让我们传统的杀除病毒和木马的对策无法进行。
驻留ie进程，并自动升级，保证了该病毒有极强大的生命力，想来新的杀除方法一出现，该病毒就会立即升级。Windows上虽然还有mozilla等其他浏览器，但由于微软的捆绑策略和兼容性上的考虑，绝大多数用户一般只安装有ie。上网查资料用ie，寻找杀除3721资料的时候也用ie，如此一来，3721抢在用户前面将自身升级到最新版本以防止被杀除的可能性大大增加，更加增添了杀除该病毒的难度。或许在本文发出后，病毒将会在最短时间内进行一次升级。
附带其他“实用”功能。天缘记得早年在dos下的时候曾遇到一些病毒，在发作的时候会自动运行一个可爱的屏幕保护，或者是自动替用户清理临时文件夹等有趣的功能；后来在windows平台上也曾见过在病毒发作时自动提醒“今天是xx节，xx年前的今天发生了xx历史典故”这样的带知识教育意义的病毒；而3721病毒则是提供了一个所谓的中文域名与英文域名的翻译功能。随着病毒的发展，这样带隐蔽性、趣味性和欺骗性的病毒将越来越多。例如最近的邮件病毒以微软的名义发信，或以re开始的回信格式发信，病毒编写的发展从原来的感染传播、漏洞传播、后门传播逐步向欺骗传播过渡，越来越多的病毒编写者意识到社会工程学的重要性。或许在不久的将来，就会出现以简单的网络游戏/p2p软件为掩饰的病毒/木马。
极具欺骗性：该插件在win98下也能使用，但使用其自带的卸载程序则可比较完美地卸载，而在win2k/xp平台下卸载程序则几乎没用。由此可以看出病毒编写者对社会工程学极其精通：当一个人有一只表时他知道时间；而当他有两只表时则无从判断时间。当在论坛/bbs上win2k/xp的用户提到此病毒无法删除的时候，其他win2k/xp用户会表示赞同，而win98用户则会表示其不存在任何问题属于正常程序的反对意见。两方意见的对立，影响了旁观者的判断。

商业行为的参与。据传该病毒是由某公司编写的，为的是进一步推销其产品，增加其访问量和申请用户。这点上与某些色情站点要求用户下载xx插件，之后不断利用该插件弹出窗口进行宣传的方式很象。天缘不由得想起一个典故。话说当年某公司公司工作人员（当然也有可能是不法者冒充该公司的工作人员）经常打电话恐吓大型的企业单位，无外乎说其中文域名已被xx公司抢注，如不交钱将会导致xx后果云云。兄弟学校中似乎也有受到此公司骚扰的经历：该公司员工打电话到某高校网络中心，起初是建议其申请中文域名，其主任很感兴趣但因价格原因未果。第二次打来的时候，就由劝说变成了恐吓，说该校中文名字已经被xx私人学校注册，如果该校不交钱申请就会有种种可怕后果云云。谁想该校网络中心主任吃软不吃硬，回话：“你既然打电话到此，想来你也知道在中国，xx大学就我们一所是国家承认的，而你们公司在没有任何官方证明的情况下就替申请我校中文域名的私人学校开通，就这点上就可见你们的不规范性，那么如果我私人交钱申请xxx国家领导的名字做个人站点是不是贵公司也受理？遇到类似冒用我校名义行骗及协助其行骗的公司，我们一贯的做法是寻找法律途径解决！”回答甚妙，当然此事后果是不了了之。从相关报道中不难看到，计算机犯罪逐步开始面向经济领域。侵犯私人隐私，破坏私人电脑的病毒与商业结合，是病毒编写由个人行为到商业行为的一次转变，病毒发展的历史由此翻开了新的一章。

病毒查杀方案：

由于网管专题的栏目作用主要是“授人与渔”，天缘把病毒查杀过程经历一并写下，大家共同探讨。

第一回合：
当初见此病毒的时候，感觉不过如此，普通木马而已。依照老规矩，先把注册表里相关键值删除，再把病毒文件一删，然后重新启动机器，等待万事ok。启机一看，注册表完全没改过来，该删除的文件也都在。
结局：病毒胜，天缘败

第二回合：
换了一台机器，下了个卸载帮助工具，以方便监视注册表/文件的改变。我下的是Ashampoo UnInstaller Suite这个软件，能监视注册表/文件/重要配置文件。Ok，再次安装3721插件，把对注册表的改变/文件的改变都记录下来。（值得注意，因为注册表run和runonce的键是下次启动的时候生效的，因此在重新启动后，还要对比一下文件/注册表的改变才能得到确切结果）。然后对比记录，把3721添加的键全部记下来，添加的文件也记录下来。之后我计划是用安全模式启动，删除文件和注册表，所以写了一个save.reg文件来删除注册表里的相关键值（写reg文件在网管笔记之小兵逞英雄那讲有介绍，等一下在文末我提供那个reg文件给大家参考），写了一个save.bat来删除相关文件，放到c盘根目录下。重新启动机器，进入安全模式下，我先用regedit /s save.reg 导入注册表，然后用save.bat删除相关文件。重新启动机器，却发现文件依然存在，注册表也没有修改成功。通常对付木马/病毒的方式全然无效，令我产生如临大敌之感。
结局：病毒胜，天缘败

第三回合：
重新启动机器，这次我采用手工的方式删除文件。发现了问题——对system32/drivers目录下的CnsMinKP.sys，WINDOWS\Downloaded Program Files 目录下的Cnshook.dll和CnsMin.dll都“无法删除”。这样说可能有点不妥当，准确地说法是——删除之后没有任何错误报告，但文件依然存在。于是上网用google找找线索——在绿盟科技找到了一则文章（名字及url见前文），于是明白了这一切都是CnsMinKP.sys这东西搞得鬼。那么，只要能开机不加载它不就行了？？但试了一下2k和xp的安全方式下都是要加载system32/drivers下的驱动，而如果想要取消加载，则需要修改注册表，但由于在加载了CnsMinKP.sys后修改注册表相关值无效，导致无法遏制CnsMinKP.sys这个程序的加载。当然，有软驱的朋友可以利用软盘启动的方式来删除该文件，但如果跟天缘一样用的是软驱坏掉的机器怎么办呢？记得绿盟上的文章所说的是——“目前无法破解”。在这一步上，天缘也尝试了各种方法。
我尝试着改这几个文件的文件名，结果没成功；
我尝试着用重定向来取代该文件，如dir * > CnsMinKP.sys ，结果不成功；
我尝试着用 con <文件名> 的方式来覆盖这几个文件，结果发现三个文件中Cnshook.dll可以用这样的方法覆盖成功，但是在覆盖CnsMinKP.sys和CnsMin.dll的时候，居然提示“文件未找到”！？熟悉 con用法的朋友都该了解，无论是文件是否存在，都应该是可以创建/提示覆盖的，但居然出来这么一个提示，看来CnsMinKP.sys着实把系统都骗过了，强！！跟它拼到这里的时候，回想到了在dos下用debug直接写磁盘的时代了，或许用它才能搞定吧？
仔细一想，win2k/xp下似乎没有了debug程序了，而或许问题解决起来也不是那么复杂。再又尝试了几种方法后，终于得到了启示：既然文件不允许操作，那么我操作目录如何？
我先把windows\system32\drivers目录复制一份，取名为drivers1,并将其中的CnsMinKP.sys删除（注意，因为是drivers1中的，所以可以被成功地真正删除掉）；
重新启动机器，到安全模式下；
用drivers1目录替代原来的drviers目录
cd windows\system
ren drivers drivers2
ren drivers1 drivers
之后重新启动机器，然后进到windows后先把drivers2目录删除了，然后慢慢收拾残余文件和清理注册表吧。在这里天缘提供一个reg文件，方便各位删除注册表：
Windows Registry Editor Version 5.00（用98的把这行改成regeidt4）

[-HKEY_LOCAL_MACHINE\SOFTWARE\3721]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsHelper.CH.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1BB0ABBE-2D95-4847-B9D8-6F90DE3714C1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A5ADEAE7-A8B4-4F94-9128-BF8D8DB5E927}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AAB6BCE3-1DF6-4930-9B14-9CA79DC8C267}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\!CNS]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{00000000-0000-0001-0001-596BAEDD1289}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7DE07D-BD74-4991-9D5F-ECBB8391875D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}]

[-HKEY_CURRENT_USER\Software\3721]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OCustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\OSearchAssistant]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CnsMin]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\EK_Entry]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSAutoUpdate]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSEnable]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSHint]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSList]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSMenu]
[-HKEY_USERS\S-1-5-21-789336058-764733703-1343024091-1003\Software\Microsoft\Internet Explorer\Main\CNSReset]
结局：病毒败，天缘胜
（虽然是成功地删除了它，但是感觉赢得好险，如果该病毒加一个禁止上级文件改名的功能那么就真的没折了，为了预防类似的情形，最后还是找到了彻底一点的办法，见下）

第四回合：
聪明的读者大概已经想到，既然没有办法在硬盘启动对于c盘是fat32格式的机器，想到这里已经找到了解决办法——用win98启机软盘启动机器，然后到c盘下删除相关文件，然后启动到安全模式下用save.reg把注册表搞定就行了。问题是——大多数win2k/xp都使用的是新的ntfs格式，win98启机软盘是不支持的！怎么办？有软驱的机器可以做支持NTFS分区操作的软盘，用ntfsdos这个软件就能做到（详情请见http://www.yesky.com/20020711/1620049.shtml一文）。而跟天缘一样没有软驱的朋友，别忘记了win2k/xp开始加入的boot，不光是能够选择操作系统而已，而是跟linux下的lilo和grub一样，是一个操作系统引导管理器——换句话说，如果我们能在硬盘上做一个能读写NTFS的操作系统，再用boot进行引导，那么不是就可以在无软驱的情形下实现操作c盘的目的了么？在网络上找到vFloppy.exe 这个软件，它自带一个支持读写ntfs的镜象文件，并且使用简单，非常傻瓜化（详情见http://www.yesky.com/SoftChannel/72350068425883648/20040226/1771849.shtml 一文，顺便一提新版本的yFloppy已经自带支持ntfs读写的img文件了）。然后删除3721的相关文件，重新启动后清理注册表和删除相关文件就行了。

到此，我们终于把3721这个阴魂不散地幽灵彻底赶出了我们的硬盘！！

由于不少网站基于各种原因，在显示页面的时候都会弹出3721的下载窗口，很容易误点。在ie中就能屏蔽掉该站以及其他恶意的任何下载。具体方法可见（http://www.yesky.com/20030416/1663721.shtml 一文）。

截止发稿为止，天缘所知不少同行网管已经在网关上做了对该地址的屏蔽，防止不知情的用户无辜受害。网络安全任重道远，还要靠大家的努力才能把一些害群之马斩草除根。

④ 3721是什么网站

3721是由周鸿祎创立的3721公司提供的中文上网服务――3721“网络实名”，是第三代中文上网方式，3721的名字由“三七二十一”而来。

3721是第三代中文上网方式，用户无需记忆复杂的域名，直接在浏览器地址栏中输入中文名字，就能直达企业网站或者找到企业、产品信息。

(4)3721网站网络安全扩展阅读

1998年10月，现在的奇虎360董事长周鸿祎创立3721公司，推出“3721网络实名”，开创中文上网服务。

用户在浏览器的导航条直接输入中文，就能直接到达相关网站。这对于不熟悉英文的中国人来说，确实是个实惠功能。

3721初创，用浏览器的地址栏插件这种方式来推广。当用户打开某个网页或安装某软件时，这一款“可以帮助网民上网更方便”的3721插件，就自动安装进用户的电脑。此后，当用户在浏览器导航条里输入中文，就能直接到达相关网站。

2001年，3721公司宣布盈利，这也是国内第一家盈利的搜索公司，

2003年底，3721作价1.2亿美元卖给雅虎，周鸿祎并出任雅虎中国总裁。2005年7月，周鸿祎离职，3721又被雅虎转手倒卖给阿里巴巴。

周鸿祎（zhōu hóng yī），1970年10月4日生于湖北省黄冈市蕲春县 ，360公司创始人、董事长兼CEO、奇酷CEO、九三学社中央委员 、九三学社中央科技专门委员会副主任、和知名天使投资人。

1992年，大学本科毕业于西安交通大学电信学院计算机系，获学士学位，因成绩优异被保送西安交通大学读管理学院系统工程系研究生，并于1995年研究生毕业，获硕士学位。

1995年始，周鸿祎就职于方正。2004年3月，周鸿祎就任雅虎中国总裁。2006年8月，周鸿祎投资奇虎360科技有限公司，出任奇虎360董事长。

2011年3月30日，周鸿祎带领奇虎360在美国纽交所上市。 2015年周鸿祎客串出演《三体》饰演军方智囊团专家 。

2016胡润IT富豪榜，周鸿祎以150亿元排名第23。政协第十三届全国委员会经济委员会委员。2018年10月，周鸿祎以420亿元人民币财富位居2018年胡润百富榜第50位。

当时在网络上3721被称为“我国第一个并且是最大的流氓软件之一”，现已停止运营。

企业将自己的公司名、产品名注册为3721网络实名，客户输入自己的名字就可以直达自己的网站，为企业带来更多的商业机会。

同时，3721网络实名统一企业网上网下名称，把企业品牌、字号等网下的知名度和影响力扩大到网上，在保护品牌资源的同时，成为企业的网上招牌。

2008年，已经有超过30万家的企事业单位注册了3721网络实名，注册3721网络实名已经成为企业上网的第一步。

2001年10月，3721公司率先在中国互联网企业中宣布盈利。

2003年，雅虎斥资1.2亿美元收购了3721公司。

2008年，3721公司在华东、华南、华中、西北、西南设有分支机构，业务遍及中国内地所有县级以上城市，及中国香港、中国台湾、中国澳门，拥有近4000家的渠道合作伙伴。

2009年1月4日，中国雅虎正式放弃3721和雅虎助手的业务发展。

⑤ 为什么会称3721（雅虎助手）为流氓软件

“流氓软件”就是欺骗你们这些纯洁好少年啊！它的坏处巨多且不为人知！

“流氓软件”是介于病毒和正规软件之间的软件。

计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制。

正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。

“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。

流氓软件的分类

根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：

1、广告软件（Adware）

定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。

危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。

例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。

2、间谍软件(Spyware)

定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。

危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。

例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。

3、浏览器劫持

定义：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。

危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。

例如：一些不良站点会频繁弹出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术（此技术通常被病毒使用）来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。

4、行为记录软件（Track Ware）

定义：行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。

危害：危及用户隐私，可能被黑客利用来进行网络诈骗。

例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。

5、恶意共享软件(malicious shareware)

定义：恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。

危害：使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。
例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。
又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失的数据。

6、其它
随着网络的发展，“流氓软件”的分类也越来越细，一些新种类的流氓软件在不断出现，分类标准必然会随之调整。

⑥ 3721是什么本人刚接触电脑不太久，一直用360杀毒，今天无意在网站看到一些360负面新闻，什么黑公关

3721是360的前身。。。最早时。。自已做毒。让你们电脑中毒了。。又第一时间免费提供杀毒。。。。给网友一个错觉。360真的可以杀毒。。。。现在苹果把360的产品全部下架。。懂一般电脑的人都不会用360..一用360.他就自动上传东西。。。说是安全检杳。。实际上传你的隐私。。。不要用为好。。

⑦ 3721是什么

您好！
天下最无耻的软件3721之大揭密
学会上网之后，原本以为到达了一个更加便利的世界，然而，这个自由便利的世界却早被3721统治。

5年时间，疯狂掠夺统治资本

3721从1998年成立至今一直在利用微软的浏览器做着自己的梦，试图打造中国人的网络标准。用了5年时间，3721通过各种渠道、利用各种手段，让他的网络实名插件遍布90％的中文上网用户，而这，就是3721用5年时间积累起的统治中国互联网的雄厚资本，3721插件，表面上是中文上网工具，实际上，背后利用简单的病毒原理控制着网民的电脑，玩弄着中国互联网和对技术不甚了解的7000万网民，5年时间，积累起了足以对抗7000万网民和的雄厚资本。

用简单的技术愚弄着中国网民

这样一个打着“简单上网”旗号的3721，在程序员眼里，甚至成为了“垃圾”的代名词。

到任何程序员聚集的站点，查看一下涉及到3721新闻的评论 90％以上都是对3721的攻击，甚至是辱骂，更有程序员还在个人网站中标注：“如果你是3721的支持者，不要安装本程序，本人不欢迎并拒绝其支持者使用本程序!”

首先，程序员对3721的技术一直没有持肯定态度。在程序员看来，通过客户端软件将域名和中文单词对应起来，实在没有什么技术可言。

最初，3721的软件是客户端的形式，主要通过和网站合作进行免费发放，但这种方式容易被用户拒绝或者删除。不久，3721采用了微软公开的activex技术标准，将客户端转变为了浏览器插件。应该说，许多软件均采用activex技术开发，例如flash动画播放插件、microsoft media player插件等，这种方式也无可厚非，但3721在推行这种方式时，并没有尊重用户的意愿，而是防不胜防的在各种网站上弹出骚扰对话框，强迫安装。有程序员表示：“不管软件写的怎样，有一点是肯定的，开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户，有多少是自愿安装的呢？又有多少是踩中地雷的呢。”同时，在早期的某些版本中，的确有造成用户死机的案例出现并被广泛的传播。

因此，3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除，软件中采用各种技术手段。有程序员说：“现在3721的插件越做越霸道。不止是修改注册表，而是一直在你的系统里运行，并把自己伪装起来，我曾经把cmin*.dll删除后，用winhex查还有，是改名运行的！而且如果用softice 调程序，3721的dll总会捣乱！” 3721在煞费苦心的加入各种技巧，有的技巧与木马病毒的原理一模一样，所有3721的软件在你的计算机上都开着后门，而这个后门，正是3721走进你计算机深处的通途，3721在偷窥你的时候，你，却并不知情。

用程序员群体的眼光看，用砑??⒌哪承┘记衫此凳裁从没У囊庵荆?舛?721是自辱，对中国互联网是侮辱！

但是，3721为了保证其利润来源和一个无耻的梦想，他还是选择侮辱中国互联网，侮辱中国网民。

黑社会手段抢夺地盘

然而3721在圆自己的美梦时却毁掉了众多网民的基本的使用权。众多不知情的网民在无意下载3721插件后却一直在被3721的梦想所左右。3721的插件也已经开始在90％的中文上网用户打开电脑开始上网时被监控。

有懂技术的网民在论坛上发表言论时写道：这两天上某些网站不是很顺利，开始我以为是网络的问题，可是其它网站上的去很正常，因此我排除了网络原因。排除了病毒原因之后，我反编译了其电脑里唯一和浏览器相关的程序——3721网络实名插件。当看到3721程序代码的时候，他说：“当时吓出了一身冷汗。原来这个程序有个后门，所有的人都不知道存在的这个后门。而3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码，这就是屏蔽那些网站的代码，在这个代码后面，有着一长串我们熟悉的网站，有的屏蔽是生效的，有的屏蔽还没有启用。这段代码就像一个机器人一样，在这段代码后边，如果加上http://www.sina.com.cn 那么新浪网将被屏蔽而无法访问。

3721为了保住他的网络实名业务，不得不保住他插件的推广量，而3721用这种手段，在威胁并强迫着许多网站为他弹插件。而许多网站却敢怒不敢言。***网站是受害者之一，而除他之外，还后一长串名单。

3271就像中国互联网的黑社会，他知道你电脑里的所有信息，他占据着本属于网民的中国互联网，把他划为属于自己的地盘，牢牢控制，即便是sina、sohu、netease、qq这样的门户大腕，慑于3721的**威，在3721面前也是敢怒不敢言，因为就连都无可奈何。

谁来管管3721？

遍查互联网的法律，也没有任何一条对3721这种做法进行管理的规定，甚至没有任何一级管理部门和法律制定者意识到这个问题。3721在利用着自己制定的法律为所欲为，制定着属于他的游戏规则，所有人都必须俯首称臣，上贡交钱。

一方面偷偷摸摸给网民安装，一方面穷凶极恶逼迫其他网站为他弹插件，否则就“封掉”不合作的网站，毕竟，他已经有了90％的占有率，一方面，堂堂正正的大卖网络实名赚钱，甚至威胁北京大学，如果不买这个词，就把这个词卖给别人。

用三条计谋堂而皇之的赚钱，大大方方的管理中国互联网。原本互联网所倡导的平等、自由、公开的原则，在3721的公司利益面前荡然无存。原本上上下下部署严密的部门对他也无可奈何，甚至毫不知情。

中国互联网，被3721继续统治着……，谁来管管？无人来管，无人敢管.

3721公司已经一次次的挑战网民的忍耐力和承受能力。不断在技术上进行改进，以达到使网民无法屏蔽该公司网络实名客户端的目的。面对网民愤怒的谴责和自发的屏蔽行动，3721公司显然是准备不惜一切代价与这些在其眼里是”刁民“的网友战斗到底。

近日，我们再次发现，3721公司进一步改进了他们的”反“屏蔽技术。通过该方法，网络实名的客户端将”永久“的驻留在用户的计算机系统中，即使用户选择了卸载该客户端。除非，用户重新安装其计算机系统，否则，无法手动清除该程序。

在用户浏览网页时，弹出的安装窗口，既没有使用协议，也没有明示程序的发布公司，存在严重的欺诈行为。同时，该程序并不会在用户的计算机中建立”合法“的程序安装目录，而且用户通过一般手段，无法在自己的计算机系统中找到被安装的程序，这无疑严重危害了用户的计算机安全。

对于，3721这样的行为，一些法律也专家认为，3721公司已经严重违反了中华人民共和国国务院于 1997 年颁布实施的《计算机信息网络国际联网安全保护管理办法》中的相关条款，以及《中华人民共和国消费者保护法》的相关内容。

在此，我们仅代表那些深受3721网络实名”病毒“之苦的用户，谴责3721公司这种毫无商业道德的行为。并且，希望国家有关部门，认真对待该事件，规范市场秩序，创造良好的市场环境。

有网友认为觉得3721客户端软件已经具有部分病毒的性质了。

1 在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于 x:\Windows\system32\drivers\cnsminkp.sys。

2 cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。

3 这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保 run 里有cnsmin.dll。

4 这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。

cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的x:\Windows\system32\drivers下有cnsminkp.sys ,肯定中招了
望采纳

⑧ 3721为什么是流氓软件拜托了各位 谢谢

看完下文你就知道了 有人在网卡撰文说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗？请看—— 1、“完全删除”和“完全卸载”的卸载承诺 无论3721网络实名还是上网助手，在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。 2、完全卸载不完全 网络实名卸载成功并重启后，在资源管理器中无法看到Windows\Downloaded Program Files文件夹中有任何文件（即使你将资源管理器设置为显示所有文件、显示系统文件）。但使用着名的Total Commander文件管理器，却发现有一个zsmod.dll的隐藏文件！如果是卸载上网助手，卸载成功并重启后，上述目录居然隐藏有30个文件1个文件夹 以zsmod.dll为关键字在注册表编辑器中搜索，可以发现这个文件并非是一个被“遗忘”的死文件，而是有相应的注册表键值 卸载上网助手成功并重启后，检测BHO（浏览器帮助对象），发现系统中仍然保留有 YDT.DLL和CnsHook.dll这两个BHO对象 卸载上网助手成功并重启后，检测自动加载项目，发现仍然存在helper.dll、 YDTMain.exe、CnsMin三个自动加载的程序项目再检测系统已经加载的内核模块，发现以驱动形式加载的CnsMinKP.sys仍然被成功加载！以CnsMinKP.sys在注册表编辑器中搜索，卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值，使得卸载操作完全是一个骗局，其基本功能根本没有受到影响，至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了！当然，系统Drivers目录中的CnsMinKP.sys文件依然完好，没有受到任何破坏！ 看看系统进程如何。YDTMain.exe、相互守护的Rundll32.exe共3个进程仍然静静地在那儿！ 由此可见，上述就是所谓的“把上网助手从电脑中完全删除”的真相！ 真的想把它们彻底清除吗？可以，手工在添加删除程序列表中把另外未被告知的两个3721强行安装的程序一一卸载（卸载时注意看清楚相关选项！否则可能又相互修复），此时绝大多数文件和注册表被清除。但Windows\Downloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除！ 3721卸载重启后资源管理器无法看到的隐藏文件 上网助手卸载重启后系统目录中隐藏的大量文件（Windows资源管理器无法以任何方式查看到，Total Commander可显示） 3、额外安装的两个模块必须另行卸载 就是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。 额外安装的两个模块必须手工卸载 4、卸载过程中仍然试图交叉修复 卸载这些额外程序模块的过程中，存在默认被选中的以“卸载”二字开头的一个选项： “卸载上网助手-地址栏搜索后保留上网助手等按钮” 如果你操作中只看了前面半句，以为是选择了“卸载”它们，那你就错了！ 由此可见3721的对用户的心理和电脑使用习惯研究得非常透彻，能够利用的都充分利用了！ 卸载过程中仍然试图交叉修复 五、3721综合行为的法律、道德剖析 1、3721及上网助手的道德层面剖析 什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等亵渎了广大网民的情趣品味；对青少年进行了极其不良的误导引诱；污染了网络环境。 未经明确告知，强行植入其他程序模块。 通过系统驱动的方式加载，安全模式亦无法避免。就连Windows都将带网络连接的安全模式作为一个单独的项目提供给用户，而3721则是青红皂白，不管用户是否使用网络，一律加载没商量！ 2、3721及上网助手的法律层面剖析 额外安装程序侵犯知情权； 强行植入的少儿不宜的URL链接无视青少年权限保护； 宣传黄毒； 介绍黄毒； 卸载卸载过程中以欺骗的手段保留未经用户许可的模块，而且相互交叉修复； 自动感染、自动繁植、隐藏自身、占用系统资源、干扰用户上网活动、直接或间接向系统中带入不良数据、清除极其困难、通过多种途径自动加载……已经具有完整的病毒特征； 提供不良内容下载…… 3、3721及上网助手对国家安全及文化导向的影响 由艰苦奋斗勤俭建国转向靡靡之音声色犬马的和平演变，只需借助3721； 瓦解民众斗志，只需3721； 占领中国的宣传阵地，只需利用3721； 主导中国的网络安全命脉，只需掌握3721； 转变中国网民的文化导向，只需借助3721； 对中国发动网络瘫痪战，只需通过3721！ 2009年1月4日下午消息，中国雅虎旗下的3721网络实名（又名“雅虎助手”）页面近日已无法访问。中国雅虎方面承认，这是将放弃该业务的信号。 以前，点击3721.com域名会跳转至中国雅虎的相关页面，但今日显示“找不到相关页面”，并在几秒钟后跳转至中国雅虎首页（cn.yahoo.com）。 2009年1月4日下午，中国雅虎相关负责人告诉记者，该公司未来业务重点是生活服务，非核心的业务将逐步淡化与下线。他指出，雅虎助手页面以后将直接跳转至中国雅虎首页。在2008年12月份，中国雅虎还曾压缩了内容资讯业务。 3721网络实名插件由奇虎公司现任董事长周鸿祎一手创办，它通过地址栏实现中文搜索。2003年11月，雅虎1.2亿美元收购3721公司，该软件更名雅虎助手。2005年10月，阿里巴巴宣布完成对雅虎中国全部资产收购，3721业务随之并入马云手中。 2006年，互联网业内掀起“反恶意软件”的热潮，周鸿祎率领360安全卫士成为反恶意软件先锋，曾经由他一手创办的3721软件（雅虎助手）则成了他“围剿”的重点目标之一。当年9月，阿里巴巴宣布投资1亿元继续开发与推广雅虎助手，但随后并未看到有实质的市场举动。 实际上，3721业务就如中国雅虎的网站业务一样，在当年“雅巴合并案”后，成为阿里巴巴集团董事局主席马云手中一块摇摆不定的“鸡肋”业务。马云曾于2006年9月对外自评整合雅虎中国，称3721已成为累赘。 “如果按照我的想法，我根本就不准备发展3721，但因为之前签很多的合同，有些是长期的，我必须要继续完成这个服务。现在3721对雅虎中国已经不是收入，而是成本”。马云曾这样表示。

满意请采纳

⑨ 一上网就弹各种网页`3721下了`拦不住!

1.用中文版ewido查杀,自动免费升级.
最新的木马查杀软件ewido-setup_4.0.0.172c中文!自动更新!不返弹![原创]
下载安装地址：
东东的藏宝阁：http://hi..com/zhaodx/blog/item/bdc08810b7e53001213f2e42.html

或者
2.多种方法彻底阻止弹出窗口

作者：陈登云
近期许多朋友打电话咨询，有关IE自动弹出窗口的问题，为此本站根据大家需要，紧急整理本文，希望解决大家的问题，现在有很多网站都会莫名弹出一些广告窗口，可恶之极，为此丁香鱼网络（www.luckfish.net.cn）教大家一个技巧，利用winxp sp2功能来阻止弹窗程序。
本文向您讲述如何在运行 Windows XP Service Pack 2 的计算机上配置弹出窗口阻止程序。弹出窗口阻止程序是 Internet Explorer 中的一项新功能。此功能会阻止大多数不需要的弹出窗口出现。默认情况下，弹出窗口阻止程序是打开的，在打开弹出窗口阻止程序时，自动弹出窗口和后台弹出窗口会被阻止，但由用户打开的弹出窗口仍然以正常方式打开，以下介绍三种方法，供您选择，如有问题，可以随时到本站留言，本站每天24小时值守留言板，保证每天第一时间回复您的问题。
方法一：如何打开弹出窗口阻止程序
注意：默认情况下，弹出窗口阻止程序是打开的。只有在其被关闭时才必须将其打开。
1. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。
2. 在“工具”菜单上，指向“弹出窗口阻止程序”，然后单击“启用弹出窗口阻止程序”以打开弹出窗口阻止程序，或者单击“关闭弹出窗口阻止程序”以关闭弹出窗口阻止程序。
一、从“Internet 选项”
要从“Internet 选项”配置弹出窗口阻止程序，请按照下列步骤操作：
1. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。
2. 在“工具”菜单上，单击“Internet 选项”。
3. 单击“隐私”选项卡，然后选中“阻止弹出窗口”复选框以打开弹出窗口阻止程序，或者清除“阻止弹出窗口”复选框以关闭弹出窗口阻止程序。
4. 单击“应用”，然后单击“确定”。
二、如何配置弹出窗口阻止程序设置
可以配置以下弹出窗口阻止程序设置：
允许网站列表
可以通过将某个网站添加到“允许的站点”列表中，从而允许在该网站中打开弹出窗口。为此，请按照下列步骤操作：
1. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。
2. 在“工具”菜单上，指向“弹出窗口阻止程序”，然后单击“弹出窗口阻止程序设置”。
3. 在“要允许的网站地址”框中，键入网站的地址，然后单击“添加”。
4. 单击“关闭”。
三、阻止所有弹出窗口
要阻止所有弹出窗口（包括由用户打开的弹出窗口），请按照下列步骤操作：
1. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。
2. 在“工具”菜单上，指向“弹出窗口阻止程序”，然后单击“弹出窗口阻止程序设置”。
3. 在“筛选级别”列表中，选择“高:阻止所有弹出窗口(使用 Ctrl 替代)”，然后单击“关闭”。
四、替代键
要在已经将筛选级别设置为“高:阻止所有弹出窗口(使用 Ctrl 替代)”时自己打开一个弹出窗口，可按住 Ctrl 键，然后打开弹出窗口。
五、配置声音
要在弹出窗口被阻止时播放声音，请按照下列步骤操作：
1. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。
2. 在“工具”菜单上，指向“弹出窗口阻止程序”，然后单击“弹出窗口阻止程序设置”。
3. 选中“阻止弹出窗口时播放声音”复选框，然后单“关闭”。
六、如何为被视为安全的区域配置弹出窗口阻止程序
因为“受信任的站点”和“本地 Intranet”Web 内容区域被视为安全的，所以决不会阻止其弹出窗口。要为这些区域配置弹出窗口阻止程序，请按照下列步骤操作：
1. 单击“开始”，指向“所有程序”，然后单击“Internet Explorer”。
2. 在“工具”菜单上，单击“Internet 选项”。
3. 单击“安全”选项卡，并在“请为不同区域的 Web 内容指定安全设置”框，单击“本地 Intranet”。
4. 单击“自定义级别”，在“使用弹出窗口阻止程序”下，单击“启用”以打开弹出窗口阻止程序，或者单击“禁用”以关闭弹出窗口阻止程序。
5. 单击“确定”两次。
6. 重复执行步骤 1 至 2。
7. 单击“安全”选项卡，并在“请为不同区域的 Web 内容指定安全设置”框内单击“受信任的站点”。
8. 单击“自定义级别”，在“使用弹出窗口阻止程序”下，单击“启用”以打开弹出窗口阻止程序，或者单击“禁用”以关闭弹出窗口
阻止程序。
9. 单击“确定”两次。
方法二：如何使用注册表项配置弹出窗口阻止程序
配置整个弹出窗口阻止程序
1. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
2. 找到并单击下面的注册表子项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WEBOC_POPUPMANAGEMENT
3. 双击“Iexplore.exe”
4. 要关闭整个弹出窗口阻止程序，请在“数值数据”框中，键入 0，然后单击“确定”。或者，要打开整个弹出窗口阻止程序，请在“数值数据”框中，键入 1，然后单击“确定”。
为每个区域配置弹出窗口阻止程序
下面任一注册表子项下的每个数字分别代表一个不同的区域：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
对于每个区域下的 1809，数据值 3 表示禁用弹出窗口阻止程序。数据值 0 表示启用弹出窗口阻止程序。
方法三：如何使用组策略配置弹出窗口阻止程序
配置整个弹出窗口阻止程序
1. 单击“开始”，单击“运行”，键入 gpedit.msc，然后单击“确定”。
2. 依次展开“用户配置”、“管理模板”、“Windows 组件”和“Internet Explorer”。
3. 根据所需设置来设置“关闭弹出窗口管理”，必须更新策略或重新启动计算机，才能应用更改。
为每个区域配置弹出窗口阻止程序
1. 单击“开始”，单击“运行”，键入 gpedit.msc，然后单击“确定”。
2. 依次展开“用户配置”、“管理模板”、“Windows 组件”、“Internet Explorer”、“Internet 控制面板”和“安全页”，然后选择所需区域。
3. 根据所需设置来设置“用户弹出窗口阻止程序”。必须更新策略或重新启动计算机，才能应用更改。
方法四：最简单的方法，重新注册IE组件（9月2日凌晨01：16更新）
1、IE莫名跳窗应该是恶意广告程序作怪，可以按以下方法修复：
重新注册IE项，修复IE注册。从开始->运行
输入命令 regsvr32 actxprxy.dll 确定
输入命令 regsvr32 shdocvw.dll 确定
2、跳窗网页可能保留在HOSTS，一经上网就先触发该网址为默认，就会自动打开，检查HOSTS：
用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS
在里面检查有没有网址，有则删除。
或在前面加127.0.0.1 保存后屏蔽掉。 （方法四经测试有效）

参考资料：http://www.luckfish.net.cn/Windows.htm

⑩ 3721是个什么性质的网站

以下是我看得一篇文章,你看一下,然后自己做出判断吧...

全面剖析3721及上网助手
作者：合肥工业大学 imxk 发文时间：2005.06.27

3721真的能够卸载干净吗？
3721真的仅仅是一个中文上网这么简单吗？
3721对网络甚至对国家安全的危害仅仅是您目前所认识到的吗？
3721自称的“详细技术情况”真的给您知情权了吗？
3721上网助手真的是您的什么“助手”吗？

全面揭露 触目惊心！

3721作为一种可自动安装的、普及率极广的一种网络程序，近年来对之的争议颇多。本文试图从安装、卸载、服务、系统影响等各个方面列举系列客观事实，有关观点仅代表笔者个人意见，拿出来与大方之家商榷，相信大家见仁见智各有自己的结论，同时也希望以此引起有关部门的注意。

测试环境：VMWare虚拟机，共享主机连接，以独立的公网IP 地址上网；操作系统为Windows XP Pro SP2，默认安装，仅以直接复制的方式拷贝了测试所必须的文件管理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法，未安装其他任何软件。另外，部分图片为节省篇幅采用了以重叠的方式显示多幅图片内容。

一、3721安装剖析

1、安装推广由“反复提示”式为主为转向捆绑为主

自从Windows XP SP2推出加强的安全特性后，以前频繁出现的3721安装提示被进行了有效抑制（图1），因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外，又开拓了在某些共享软件和免费软件中捆绑的方式进行安装（图2）。新的捆绑安装方式，虽然有安装选项，但对于习惯了“一路回车法”安装软件的用户，被顺手装入系统的可能性极大！

图 1 Windows XP SP2的安全机制给3721的安装带来不便

图 2 通过免费或共享软件的捆绑并默认安装

2、“一拖三”的安装方式，偷偷植入另外模块

如果被安装上上网助手，则实际上同时被植入系统的并非上网助手一个程序，而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序（图3）。

卸载上网助手时，额外植入的两套程序不会被卸载；卸载每一套程序时，卸载对话框中都添加保留另外模块的选项，以实现非刻意卸载情况下的自我交叉修复。

图 3

3、完善的自我保护机制

从安装、保护、卸载、修复几个环节来看，各个环节环环相扣（图4），任何一环没有正确处理，则就无法实现表面的干净卸载（真正彻底卸载除非手工清理，否则无法实现完全卸载，，后文详述）。

图 4 各个环节的保护机制环环相扣，清除不易

二、3721及上网助手提供的“贴心”服务提供剖析

号称提供各种贴心服务，其服务项目所标示的功能也非常的人。我们对其中几项进行了简单测试，看看3721到底提供的是一些什么性质、什么质量的“服务”。

1、黄毒横行触目惊心

安装3721中上网助手后，浏览器浏览器地址栏被无告知地植入20多项URL列表，其内容不外乎：性、娱乐、赚钱等几方面有关（图5）。

从其强行植入的地址栏URL列表来看，安装了3721或上网助手的电脑就不折不扣地成了一台“少儿不宜”的电脑！

看看其强行植入的“美女如云——15亿图片心情体验”链接，随意点击几个链接，结果(如图6)，什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等不堪入目的字眼扑面而来！

如果说具体的内容提供与其他合作方有关系，那么看看3721推荐的“美女如云——15亿图片心情体验”的主页面，什么“波霸”、“A片”的类别项目赫然在目（图7）。

再看看3721推荐提供的“极速宽频影院”（图8）。“性的日记”、“姐妹情色”、“村妓”、“偷情家族”等占据了内容目录的绝大部分，您能够从中找到哪怕一丁点健康、积极、向上的内容吗？！

这就是3721和上网助手提供的服务中的内容品味的冰山一角。

图 5 自动植入的浏览器浏览器地址栏URL列表

图 6 自动植入浏览器地址历史中的链接内容之一

图 7 自动植入浏览器地址栏历史链接的部分内容之二

图 8 自动植入浏览器地址栏历史链接的部分内容之三

2、“网络钓鱼”炉火纯青

除了上述明目张胆的色情（公开传播的内容中那些不是色情还有是色情？）宣传推广，其还采用了一种诱惑点击的网络钓鱼方法：以“免费电影”为幌子，播放器上覆盖广告，用户点击播放器时将触发对广告的点击（图9）。

此种诱惑点击的手段仅仅是一种方式。有了这种“先进的”方式，还有什么事情不能做呢？

图 9 自动植入浏览器地址栏历史链接中打开的免费电影（网络钓鱼：以一Flash广告与播放按钮重叠的方式，诱惑用户点击。这里设置不显示Flash以暴露其重叠的框架结构）

3、贴心功能不贴心

不少人看中了上网助手的弹出广告过滤功能。让我们看看真实情况！

用http://www.kephyr.com/popupkillertest的专业测试页面进行弹出窗口过滤测试。为避免干扰干扰，先关闭Windows XP SP2本身的弹出窗口过滤功能（没有人会说上网助手的弹出窗口过滤是依赖Windows XP 的SP2相关功能实现的吧？！）。

测试结果，27项测试中，未能通过的有：第3 项、第6项（1、2）、第8项、第9项、第10项、第11项、第12项、第16项、第17项、第20项、第21项、第22项、第24项、第26项、第27项（1、2、3），共计未通过测试的有15项（18种），过滤失败的项目占整体的55%，失败的种类占整体的66%（图10）。即按百分制评判，上网助手的弹出窗口过滤能力连及格分都没有捞到！

而启用Windows XP SP2的弹出窗口过滤功能，或者使用Maxthon等具有弹出窗口过滤功能的第三方浏览器，同样的项目测试结果就截然不同！具体情况笔者暂不提供，大家可以自己测试对比一下，以便好好体会这位上网“助手”的能力！

图 10 弹出窗口过滤测试中惨不忍睹的过滤结果

4、“清理痕迹”清理了谁的痕迹？

图11是上网助手的“清理痕迹”功能测试。执行清理并得到“当前没有网址记录！”的结果，但打开浏览器的历史侧边栏，结果如何？

图 11 “痕迹清理”清理了谁的痕迹？

5、插件管理专家别有私心

打开上网助手的插件管理专家，其中仅仅“虚心”地把搜索助手列了出来；但打开浏览器的加载项对话框，3721和上网助手植入的十几个加载项却赫然在目（图12）！别家的插件算插件，自己偷偷植入的众多玩艺一律不算插件，这是什么逻辑？！

图 12 “插件管理专家”对自己植入的垃圾插件视而不见

6、把自己的“搜一搜”右键菜单视为系统默认菜单

再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后，报告“没有可清理的菜单！”

但实际上，在浏览器中右击鼠标，“！搜一搜”的3721附加的菜单项已经如同系统默认菜单项那样被保存下来（图13）。令人不解的是，“！搜一搜”这种表达方式不知在中国语言学中算是一种什么手法？

图 13 3721自动添加的右键菜单不算清理对象

7、自欺欺人的“清理IE工具条”
试试“清理IE工具条”的效果如何。清理后，报告“没有可清理的工具条！”，但IE工具栏上被3721自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损（图14）。难道它自己的这些就不属于系统之外的第三方工具条吗？工具栏按钮清理也是如此。

图 14 清理IE工具条结果

8、IE 工具栏“重置”功能不能重置3721植入的工具栏按钮

既然上网助手拒绝给我干活，那么就用IE本身的功能设置来恢复工具栏按钮吧。

打开自定义工具栏对话框，点击“重置”，那些被强行植入的按钮闪动了一下，片刻又立即得到恢复（图15）。

系统的基本功能在3721的作用下已经部分失效！

图 15 “重置”工具栏按钮后的效果

9、对系统稳定性的影响

在虚拟机环境下，直接在浏览器地址栏输入“合工大”进行搜索，前后测试6次，每次都是立即蓝屏（图16）。

虽然虚拟机环境与真实环境可能有一些差异，但虚拟机对内存要求较高，系统资源占用较大，据此我们不能确定在真实系统环境也是如此，但起码可以确定，搜索助手对系统资源的分配肯定存在某种负面影响（或者是存在某种BUG），在对资源需求较大时，会对系统产生不利影响。

图 16 半个工作日的搜索测试中系统蓝屏6次

三、3721对系统的写入情况剖析

根据网络实名网站自称的“详细技术原理”，我们看看真实情况是否如网站上所告知的那样。图17是其对用户告知的内容。在随后的检测项目中，我们看看它“详细”到什么程度，用户和知情权体现在什么地方。

图 17 网络实名的“详细技术原理”

1、向系统植入的文件
除了有专门的程序文件夹，3721还在Windows\Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复；在系统驱动程序目录植入驱动程序文件并保证安全模式（即使你不上网！）也能够被加载并且不能被直接删除（图18、图19）。

①安装3721后的文件植入情况：

● Windows\Downloaded Program Files目录被植入37个文件1个文件夹；

● Windows\System32\Drivers目录植入CnMinPK.sys驱动程序文件。

● Program Files目录植入目录名为3721，共含15个文件和1个文件夹。

共计植入53个文件和2个子文件夹。

②安装上网助手后的文件植入情况：

● Windows\Downloaded Program Files目录被植入30个文件1个文件夹；

● Windows\System32\Drivers目录植入CnMinPK.sys驱动程序文件。

● Program Files目录植入目录名为3721，共含79个文件和7个文件夹。

● Program Files目录植入目录名为YDT，共含4个文件和1个文件夹。

共计植入114个文件和9个子文件夹。

图 18 以驱动方式植入系统，安全模式也能生效

图 19 Windows资源管理器中无法查看的隐藏文件和目录

2、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计，系统注册表被写入的内容大致如下（因浏览网页等操作会导致动态修改，因此可能会有一些误差）：

安装3721后，注册表中被写入122个键项、408个键值；

安装上网助手后，注册表中被写入251个键项、656个键值。

遗憾的是，按正确的方法卸载、重启后注册表项目仍然无法全部被清除！

3、多种途径实现的自动加载项
3721声明以标准系统接口实现自动加载，而且将这些标准接口利用得淋漓尽致！

⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块，而且卸载、重启后仍然存在（图20）；

⑵通过驱动程序模式加载CnMinPK.sys模块，实现进程隐藏，并且通过系统本身的Msconfig无法检测；

⑶通过其多个模块之间的相互修复和守护实现，实现交叉安装、修复、加载；

⑷通过嵌入浏览器帮助对象，实现功能的自动加载；

⑸通过各模块卸载对话框中的修复选项，诱导用户在卸载某个模块的同时，修复和自动加载另一些模块；

⑹通过捆绑到某些第三方安装程序，在安装过程中实现自动安装和自动加载。

图 20 卸载后仍然自动重启的模块

4、自我守护的进程
如图21，安装上网助手后，任务列表中会存在三个进程，其中以Rundll32.exe显示的两个进程可以实现自动交叉修复，即一个进程是另外一个进程的守护进程。因此，使用Windows任务管理器是无法顺利将它们从内存中关闭的，这点相信多数人深有体会！

图 21 创建多个进程并且可自我守护

5、植入系统的浏览器加载项

图22是上网助手自动植入系统中的8种浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了。

图 22 一口气自动植入8种浏览器加载项

6、自动植入浏览器工具栏的多种无关按钮

呵呵，安装后，浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了，甚至连资源管理器也没有放过（图23，够贴心的吧）。

图 23 资源管理器中被强行植入的按钮

7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下，安装上网助手后，控制面板的添加删除程序列表中会额外加入两个程序项目（图24）。

图 24 不知道什么时候被植入的额外两个模块

8、植入系统的系统服务表

使用IceSword这款安全工具检测系统服务描述表（SSDT），可以发现除Ntoskrnl.exe这个系统内核外，就是3721和上网助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别，普通网民反正“眼不见为净”。可见功夫真的下到了家了！

图 25 通过任务管理器无法查看到的系统服务表

9、自动创建的线程情况

从图26可以看出，上网助手及其模块自动创建的线程数之多，在系统总体线程数的比例上是多得令人吃惊的！该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况（部分需滚动才能查看）。

图 26 自动创建的线程列表

10、后台运行的消息钩子

有兴趣的人可以看看图27中的钩子类型，看看3721利用的大量钩子函数在干些什么。

图 27 众多的消息钩子

11、植入浏览器右键菜单的“！搜一搜”菜单项
呵呵，浏览器右键菜单中被植入的“！搜一搜”是不是该倒过来从右向左读？这个世界的法则是不是也要倒过来解读（图28）？

图 28 浏览器右键菜单项

12、上网助手Assistse.exe打开本地1028端口
如图29，上网助手Assistse.exe打开本地UDP 1028端口，作用不明。

图 29 端口打开情况

13、植入Internet选项设置
图31是植入到Internet选项的“高级”设置的内容。看看，还有“自动升级”功能呢，有什么新的手段或主意了，再在您的系统中试试？

图 31 Internet选项中被植入的内容

四、3721及上网助手卸载情况剖析
有人在网卡撰文说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗？请看——

1、“完全删除”和“完全卸载”的卸载承诺
如图32，无论3721网络实名还是上网助手，在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。

图 32 卸载界面的承诺

2、完全卸载不完全

网络实名卸载成功并重启后，在资源管理器中无法看到Windows\Downloaded Program Files文件夹中有任何文件（即使你将资源管理器设置为显示所有文件、显示系统文件）。但使用着名的Total Commander文件管理器，却发现有一个zsmod.dll的隐藏文件（图33）！如果是卸载上网助手，卸载成功并重启后，上述目录居然隐藏有30个文件1个文件夹（图34）！

以zsmod.dll为关键字在注册表编辑器中搜索，可以发现这个文件并非是一个被“遗忘”的死文件，而是有相应的注册表键值（图35）！

卸载上网助手成功并重启后，检测BHO（浏览器帮助对象），发现系统中仍然保留有YDT.DLL和CnsHook.dll这两个BHO对象（图36）！

卸载上网助手成功并重启后，检测自动加载项目，发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目（图37）！

再检测系统已经加载的内核模块，发现以驱动形式加载的CnsMinKP.sys仍然被成功加载（图38）！以CnsMinKP.sys在注册表编辑器中搜索，卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值（图39），使得卸载操作完全是一个骗局，其基本功能根本没有受到影响，至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了！当然，系统Drivers目录中的CnsMinKP.sys文件依然完好，没有受到任何破坏！

看看系统进程如何。如图40，YDTMain.exe、相互守护的Rundll32.exe共3个进程仍然静静地在那儿！

由此可见，上述就是所谓的“把上网助手从电脑中完全删除”的真相！

真的想把它们彻底清除吗？可以，手工在添加删除程序列表中把另外未被告知的两个3721强行安装的程序一一卸载（卸载时注意看清楚相关选项！否则可能又相互修复），此时绝大多数文件和注册表被清除。但Windows\Downloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除！

图 33 3721卸载重启后资源管理器无法看到的隐藏文件

图 34 上网助手卸载重启后系统目录中隐藏的大量文件（Windows资源管理器无法以任何方式查看到，Total Commander可显示）

图 35 卸载重启后注册表中的保留键值

图 36 卸载重启后仍然被保留的浏览器帮助对象模块

图 37 卸载重启后仍然被保留的自动加载项目

图 38 卸载重启后仍然以驱动模式加载的内核模块

图 39 卸载重启后注册表中仍然保留的3处隐藏服务键值

图 40 上网助手卸载重启后仍然在运行的后台进程和仍然存在的浏览器工具栏按钮

3、额外安装的两个模块必须另行卸载

图43就是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。

图 43 额外安装的两个模块必须手工卸载

4、卸载过程中仍然试图交叉修复

卸载这些额外程序模块的过程中，存在默认被选中的以“卸载”二字开头的一个选项：

“卸载上网助手-地址栏搜索后保留上网助手等按钮”

如果你操作中只看了前面半句，以为是选择了“卸载”它们，那你就错了！

由此可见3721的对用户的心理和电脑使用习惯研究得非常透彻，能够利用的都充分利用了！

图 44 卸载过程中仍然试图交叉修复

五、3721综合行为的法律、道德剖析

1、3721及上网助手的道德层面剖析

什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等亵渎了广大网民的情趣品味；对青少年进行了极其不良的误导引诱；污染了网络环境。

未经明确告知，强行植入其他程序模块。

通过系统驱动的方式加载，安全模式亦无法避免。就连Windows都将带网络连接的安全模式作为一个单独的项目提供给用户，而3721则是青红皂白，不管用户是否使用网络，一律加载没商量！

2、3721及上网助手的法律层面剖析

额外安装程序侵犯知情权；

强行植入的少儿不宜的URL链接无视青少年权限保护；

宣传黄毒；

介绍黄毒；

卸载卸载过程中以欺骗的手段保留未经用户许可的模块，而且相互交叉修复；

自动感染、自动繁植、隐藏自身、占用系统资源、干扰用户上网活动、直接或间接向系统中带入不良数据、清除极其困难、通过多种途径自动加载……已经具有完整的病毒特征；

提供不良内容下载……

3、3721及上网助手对国家安全及文化导向的影响

由艰苦奋斗勤俭建国转向靡靡之音声色犬马的和平演变，只需借助3721；

瓦解民众斗志，只需3721；

占领中国的宣传阵地，只需利用3721；

主导中国的网络安全命脉，只需掌握3721；

转变中国网民的文化导向，只需借助3721；

对中国发动网络瘫痪战，只需通过3721！

…………

所有这些，3721已经在做了，而且做得很好！
参考资料：http://blog.yesky.com/blog/netgc/archive/2005/06/29/170366.html