3721上網助手防護淺析

反饋一：3721上網助手防護淺析

瀏覽器插件是增強瀏覽器功能的應用軟件，如常用的Flash插件用來瀏覽網頁動畫。3721上網助手也是一種瀏覽器插件，不過在國內IT界和網絡用戶中對它褒貶不一，甚至被稱之為「無賴插件」、「垃圾插件」。單純從技術角度分析，有幾個特點：

1. 安裝方式防不勝防：網絡用戶在瀏覽網站，包括很多國內知名的網站，都會自動彈出安裝窗口，如果不安裝會反覆提示；還有一些漢化軟件（這裏不點名，可以在網絡中搜索）捆綁了3721軟件，你選擇不安裝漢化軟件，也會強制安裝3721。

2. 3721插件對其他插件有排他性，就是安裝3721後可能其他如視頻和語音的插件不能正常使用。

3. 無法卸載。3721安裝後會「永久」停留在系統內部。使用3721自己的卸載、windows的卸載和工具軟件的卸載功能都無法完全卸載。除非用戶重新安裝系統。3721本質上採用了木馬和病毒的有關技術，它在設備驅動層加了防護殼，不斷掃描系統，發現用戶刪除文件就重新生成。

4. 3721可能存在後門。通過這些後門，可以輕而易舉的屏蔽用戶上網網站，也可以非法獲取用戶隱私和重要信息。

這種「強盜」行徑的軟件能「橫行」網絡而無所顧忌，恐怕只有在中國大陸這種地方才存在。我們不在常人領域去分析它的背景和內幕，從正法修煉的角度來觀察它，無非就是邪惡用來鉗制和操縱網絡的工具。

筆者提出幾點安全防護的意見，供大家參考：

1.上網瀏覽器選用MYIE，但要是MYIE第一版的，版本3.2，可以到宇明網上下載，這是很純淨的版本，至於後續的版本就不好評價了；或者選擇用FireFox（火狐），也是一種安全的瀏覽器。

2.系統安裝後做ghost備份，便於恢復並且安裝3721免疫軟件，如Anti ActiveX ，安裝後可以防止3721和其他插件的安裝，可以到網絡上搜索下載；也可以手動設置免疫，主要是修改註冊表的ActiveX控件的值，這一點可以上網參考有關說明，不是很麻煩。

如果已經安裝了怎麼卸載呢？有以下幾個步驟：

1.首先用windows控制面板的「添加/刪除程序」把3721卸載掉，當然這樣是卸載不乾淨的，IE中工具欄可能少了一些東西，但網絡實名還存在。

2.到https://www.webroot.com下載 Spy Weeper軟件，這是國外專業級的安全防護軟件，體積小而功能強大，能有效的清除木馬等黑客軟件。安裝後自動運行，有關操作可以參考網上使用資料，這裏不做詳細說明。軟件開始就掃描winnt有關目錄，為節省時間，如果掃描到CnsMin就停止不掃描，因為掃描完要花很長時間，我們主要是針對3721清除。掃描到就選擇清除CnsMin。

不要用國內的防黑軟件，是清除不掉的，具體原因不說也知道了。

3. 然後刪除C：\Program Files\3721目錄，一定要清除乾淨。如果有些文件刪除不了，那用Spy Weeper反覆清除。還要刪除
C:\WINNT\system32\drivers\cnsminkp.sys 。

4. 刪除完畢重新打開IE，應該上網助手和網絡實名都沒有了，再安裝前面介紹的3721免疫軟件。

以上只是自己的理解和意見，希望同修批評和指正。

反饋二：防範和刪除「3721上網助手」

安了「3721上網助手」後確實會屏蔽咱們網站的網頁，安了不用/取消彈出它的彈出窗口攔截功能就可以訪問咱的網頁了，不過建議還是卸載它，因為不知道它到底做了甚麼事情。

以前的低版本的「3721上網助手」及「網絡實名」的確不好卸載，卸載不乾淨，老是起作用，需要借助專門的卸載軟件。很多人都很討厭3721這個軟件/ActiveX插件，把它視為病毒，現在的版本可以用它自帶的卸載程序卸載了去，至少表面上看是如此，至少程序組沒有了，嵌入IE的工具按鈕沒有了。

3721 作為一個插件程序（spyware），在國內許多用戶都已深受其害。當使用IE瀏覽國內的許多網站時，會彈出3721的廣告並自動下載3721程序安裝。為此，許多防病毒軟件都曾將其列為電腦病毒。

防範方法：

1. 3721 會攻擊 IE 用戶，所以如果使用非IE瀏覽器，如 Firefox 等，則可避免。
2. 如果電腦裝了Zonealarm Pro， 可以在firewall 裏， 將 3721.net 和 3721.com 都設為blocked。
3. 如果使用了硬件的防火牆，如router等（DLink或Linksys等），可以將3721.net 和 3721.com 都屏蔽掉。

這樣一來，網頁就無法從3721的網站上下載程序，也就無法安裝3721。

刪除方法
1） 上網download一個軟件，名稱叫NoAdware
2） 然後在網上找到破解，安裝該軟件
3） 先在計算機上利用正常刪除程序。
4） 用NoAdware刪除3721所有的後門程序。

現在除了NoAdware外，其他很多著名軟件公司都不能徹底刪除3721，如McAFee，Norton等。3721在電腦中隱藏的很深，你要想刪除，過去只能靠從新安裝系統。另外，儘量不要裝自己不熟悉的程序，很多隱藏有3721。例如netants（網絡螞蟻），3721就一定隱藏在你的後門程序中。你用NoAdware查，刪除乾淨後，netants就不能用的。但你只要再次裝netants，再用NoAdware查，3721就又出現了。

反饋三：刪除「3721上網助手」

一、拒絕安裝：

到www.3721.com網站，會出現提示安裝3721的軟件，不要慌，點擊「查看證書」，再把證書安裝到「不信任的域」，以後就再也不會出現提示安裝3721的窗口了。

二、清除3721：

以下內容為轉載：

3721清除方法詳解
2005年 01月06日

近日接到內網用戶來報，在上到某些站點的時候，會被提示安裝一個叫3721中文實名的插件，部份用戶在不知情的情況下誤點「安裝」選項，導致該病毒駐留於硬盤上難以殺除。天緣雖是網絡管理員，但是對Windows操作系統的確使用得不多，從來也沒有用過這個名為3721的插件，但看到用戶們焦急的神情，於是答應盡力而為。經過幾番努力，終於將其斬於馬下。以下是殺除該病毒的經歷及病毒解決方案……

天緣使用一台windows XP機器，訪問用戶提供的站點，下載並執行了該插件。該插件為中文，自動安裝後重新啟動機器後生效，並自帶卸載功能。通過安裝/卸載前後的對比觀察，其駐留性、自身保護性及對系統性能的大量損耗，讓天緣確定了該插件確是病毒無疑！

病毒發作現象：

自動將瀏覽器的「搜索」功能重定向到一個叫www.3721.com的網站，該站點為中文站，且無法修改；
強行在用戶ie上添加「情景聊天」、「上網加速」等幾個圖標；
不斷刷新註冊表相關鍵值，以達到成功駐留和大量消耗用戶主機資源的目的；
每次啟機加載，並自帶進程保護功能，在正常的windows啟動下難以殺除；
帶自動升級功能，每次用戶上網使用ie時，該病毒會後台執行升級；

病毒自身特點：

自帶卸載功能；該病毒為達到隱藏自身目的，麻痺下載插件用戶的目的，提供了卸載程序。但根據天緣的使用情況發現，在卸載後，該病毒程序依然駐留，啟動時仍然加載，依然監視、改寫註冊表；

採用網絡升級方式；該病毒為了防止用戶以及殺毒軟件的殺除，採取定期網上升級的方式，這點與近期的其他Windows主流病毒類似，但值得一提的是該病毒建有公開的病毒升級站點www.3721.com，且站點風格酷似門戶、服務類站點，具有極大的欺騙性；

以驅動模式加載；該特性可說是近段時期以來病毒編寫的一次技術飛躍，採用驅動模式加載配合掛接hook的方式，在windows下極難查殺（詳細技術討論見後）；

提供在瀏覽器地址欄中輸入中文後轉到其站點進行關鍵字查詢的搜索服務。前段時間的衝擊波剋星病毒也曾在感染用戶機器後自動連接用戶的機器到update.Microsoft.com下載補丁，看來新的病毒越來越多地喜歡提供一些另類功能了；

被動方式傳播：利用一些站點來進行傳播，而不是主動感染其他機器，這點與當前熱門的「美女圖片」病毒的方式相近。從主動轉向被動，可說是今年一些病毒的新特點。

病毒詳細分析：

當用戶訪問站點的時候，彈出一個控件下載窗口提示用戶下載安裝，表面上稱自己是提供中文實名服務，引誘用戶安裝；
在安裝過程中多處修改用戶文件及註冊表；

添加文件：
在Documents and SettingsAll Users「開始」菜單程序網絡實名 目錄下添加：

了解網絡實名詳細信息。url 86 字節
清理上網記錄。url 100 字節
上網助手。url 99 字節
卸載網絡實名。lnk 1，373 字節
修復瀏覽器。url 103 字節

在WINDOWSDownloaded Program Files 下添加：
assis.ico 5，734 字節
cns02.dat 1，652 字節
CnsHook.dll 56，320 字節
CnsMin.cab 116，520 字節
CnsMin.dll 179，712 字節
CnsMin.inf 378 字節
sms.ico「 6，526 字節
yahoomsg.ico 5，734 字節

在WINDOWSSystem32Drivers 目錄下添加：
CnsminKP.sys

添加註冊表鍵值：
增加HKEY_LOCAL_MACHINESOFTWARE3721 主鍵，下設多子鍵及屬性值；
在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主鍵下增加兩個子鍵
在HKEY_LOCAL_MACHINESOFTWAREClasses主鍵下增加
CnsHelper.CH
CnsHelper.CH.1
CnsMinHK.CnsHook
CnsMinHK.CnsHook.1四個子鍵
在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主鍵下增加子鍵
在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主鍵下增加
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主鍵下增加！CNS子鍵
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主鍵下增加五個子鍵
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主鍵下增加
CustomizeSearch
OcustomizeSearch
SearchAssistant
OsearchAssistant 四個子鍵
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主鍵下增加子鍵
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子鍵
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子鍵 （提示，這個鍵將在下次啟動機器的時候生效，產生最令人頭疼的部份，後文會敘述）
在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子鍵
在HKEY_CURRENT_USERSoftware下增加3721子鍵
在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加
CNSAutoUpdate
CNSEnable
CNSHint
CNSList
CNSMenu
CNSReset

在重新啟動計算機後，上面提到的RunOnce下的EK_Entry生效，在註冊表中多處生成最為邪惡的CnsMinKP鍵值，同時在系統盤的windows/system32/drivers目錄下生成CnsMinKP.sys文件，噩夢由此開始。

由於win2k/xp在啟動的時候（包括安全模式）默認會自動運行windows/system32/drivers下面的所有驅動程序，於是CnsMinKP.sys被加載，而這個驅動的作用之一，就是保證windows/ Downloaded Program Files目錄下的Cnshook.dll和CnsMin.dll以及其自身不被刪除；Cnshook.dll的作用則是提供中文實名功能，CnsMin.dll作用在於使其駐留在ie進程內的時候。CnsMin為了保證自己的優先級最高，用了一個定時器函數反覆安裝鉤子，因此造成系統性能下降，在天緣測試的那台機器上，使得性能大概下降了20%左右。而且由於hook強行掛接的原因，當用戶使用斷點調試程序的時候將會導致頻繁出錯，這一點與早期版本的cih導致winzip操作和無法關機類似（關於詳細的技術細節，可參看題目為《[轉載]3721駐留機制簡單研究》一文，原作者Quaful@水木清華）

防刪除特性：
該病毒雖然自帶一個所謂的」卸載程序「，但事實上核心部份的程序/註冊表鍵值依然沒有刪除。而且該病毒更是利用各種技術手段，具有極其強大的反刪除特性。
windows系統啟機（包括安全模式下）便會加載windows/system32/drivers下的CnsMinKP.sys，該驅動該驅動程序過濾了對其自身及相關重要文件和註冊表的刪除操作。每當試圖刪除3721的關鍵文件和註冊表項時，直接返回一個TRUE，使Windows認為刪除已經成功，但文件和註冊表實際上還是在那裏。

技術亮點：
天緣不得不承認，3721這個病毒插件可稱我作為網管以來面對的最難清除的病毒。近幾年來病毒有幾次質的突破：cih感染可升級的bios、紅色代碼打開windows的共享擴大戰果、meliza讓我們見識了甚麼是看得到源程序的病毒、mssqlserver蠕蟲讓我們留意到計算機病毒能攻擊的不光是節點還有網絡設備、衝擊波病毒讓我們認識到大量使用同一種操作系統時在出現安全漏洞時的可怕、美女圖片病毒讓我們知道了將欺騙藝術與軟件漏洞結合的威力、而這次3721病毒首次展現了病毒強大的反刪除特性，可說是在windows環境下無法殺除的病毒。雖然這是個良性病毒，對系統並沒有破壞特性，但依據病毒的發展史，可以預見，這種幾近完美的反刪除技術將很快被其他病毒所利用，很快將被其他病毒所利用。屆時結合網絡傳播，局網感染帶強大反刪除功能的病毒或許會讓目前windows平台下的殺毒軟件遭遇到最大的考驗。而這次經歷，也讓我意識到微軟的windows操作系統在人性化、美觀化、傻瓜化的背後的危機。作為IT同行，我個人對3721病毒作者所使用的種種技術表示欽佩，但新型病毒的潘多拉魔盒，已經被他們打開。

在目前已知的病毒歷史上，之前只有幾種病毒利用過windows nt下的system32/drivers 下的程序會被自動加載的特性來進行傳播，但那些病毒本身編寫的不夠完善，會導致windows nt系統頻繁藍屏死機，像3721插件病毒這樣完美地加載、駐留其它進程，只消耗主機資源，監測註冊表及關鍵文件不導致系統出錯的病毒，國內外尚屬首次，在技術上比以前那些病毒更為成熟；

如同天緣和大家曾經探討過的沒打sp2以上patch的win2k如何上網下載sp4再安裝補丁這樣的連環套問題一樣。由於drivers目錄下的CnsMinKP.sys啟機必定加載，而欲不加載它，只有在windows啟動後，進註冊表改寫相應的CnsMinKP鍵值或者刪除該文件，但由於CnsMinKP.sys過濾了對其自身及相關重要文件和註冊表的刪除操作。每當試圖刪除3721的關鍵文件和註冊表項時，直接返回一個TRUE，使Windows認為刪除已經成功，但文件和註冊表實際上還是在那裏。使得註冊表無法修改/文件無法被刪除，讓我們傳統的殺除病毒和木馬的對策無法進行。

駐留ie進程，並自動升級，保證了該病毒有極強大的生命力，想來新的殺除方法一出現，該病毒就會立即升級。Windows上雖然還有mozilla等其他瀏覽器，但由於微軟的捆綁策略和兼容性上的考慮，絕大多數用戶一般只安裝有ie。上網查資料用ie，尋找殺除3721資料的時候也用ie，如此一來，3721搶在用戶前面將自身升級到最新版本以防止被殺除的可能性大大增加，更加增添了殺除該病毒的難度。或許在本文發出後，病毒將會在最短時間內進行一次升級。

附帶其他」實用「功能。天緣記得早年在dos下的時候曾遇到一些病毒，在發作的時候會自動運行一個可愛的屏幕保護，或者是自動替用戶清理臨時文件夾等有趣的功能；後來在windows平台上也曾見過在病毒發作時自動提醒」今天是××節，××年前的今天發生了××歷史典故「這樣的帶知識教育意義的病毒；而3721病毒則是提供了一個所謂的中文域名與英文域名的翻譯功能。隨著病毒的發展，這樣帶隱蔽性、趣味性和欺騙性的病毒將越來越多。例如最近的郵件病毒以微軟的名義發信，或以re開始的回信格式發信，病毒編寫的發展從原來的感染傳播、漏洞傳播、後門傳播逐步向欺騙傳播過渡，越來越多的病毒編寫者意識到社會工程學的重要性。或許在不久的將來，就會出現以簡單的網絡遊戲/p2p軟件為掩飾的病毒/木馬。

極具欺騙性：該插件在win98下也能使用，但使用其自帶的卸載程序則可比較完美地卸載，而在win2k/xp平台下卸載程序則幾乎沒用。由此可以看出病毒編寫者對社會工程學極其精通：當一個人有一隻表時他知道時間；而當他有兩隻表時則無從判斷時間。當在論壇/bbs上win2k/xp的用戶提到此病毒無法刪除的時候，其他win2k/xp用戶會表示贊同，而win98用戶則會表示其不存在任何問題屬於正常程序的反對意見。兩方意見的對立，影響了旁觀者的判斷。

商業行為的參與。據傳該病毒是由某公司編寫的，為的是進一步推銷其產品，增加其訪問量和申請用戶。這點上與某些色情站點要求用戶下載××插件，之後不斷利用該插件彈出窗口進行宣傳的方式很像。天緣不由得想起一個典故。話說當年某公司公司工作人員（當然也有可能是不法者冒充該公司的工作人員）經常打電話恐嚇大型的企業單位，無外乎說其中文域名已被××公司搶注，如不交錢將會導致××後果云云。兄弟學校中似乎也有受到此公司騷擾的經歷：該公司員工打電話到某高校網絡中心，起初是建議其申請中文域名，其主任很感興趣但因價格原因未果。第二次打來的時候，就由勸說變成了恐嚇，說該校中文名字已經被××私人學校註冊，如果該校不交錢申請就會有種種可怕後果云云。誰想該校網絡中心主任吃軟不吃硬，回話：」你既然打電話到此，想來你也知道在中國，××大學就我們一所是國家承認的，而你們公司在沒有任何官方證明的情況下就替申請我校中文域名的私人學校開通，就這點上就可見你們的不規範性，那麼如果我私人交錢申請×××國家領導的名字做個人站點是不是貴公司也受理？遇到類似冒用我校名義行騙及協助其行騙的公司，我們一貫的做法是尋找法律途徑解決！「回答甚妙，當然此事後果是不了了之。從相關報導中不難看到，計算機犯罪逐步開始面向經濟領域。侵犯私人隱私，破壞私人電腦的病毒與商業結合，是病毒編寫由個人行為到商業行為的一次轉變，病毒發展的歷史由此翻開了新的一章。

病毒查殺方案：
由於網管專題的欄目作用主要是」授人以漁「，天緣把病毒查殺過程經歷一併寫下，大家共同探討。

第一回合：
當初見此病毒的時候，感覺不過如此，普通木馬而已。依照老規矩，先把註冊表裏相關鍵值刪除，再把病毒文件一刪，然後重新啟動機器，等待萬事ok。啟機一看，註冊表完全沒改過來，該刪除的文件也都在。
結局：病毒勝，天緣敗。

第二回合：
換了一台機器，下了個卸載幫助工具，以方便監視註冊表/文件的改變。我下的是Ashampoo UnInstaller Suite這個軟件，能監視註冊表/文件/重要配置文件。Ok，再次安裝3721插件，把對註冊表的改變/文件的改變都記錄下來。（值得注意，因為註冊表run和runonce的鍵是下次啟動的時候生效的，因此在重新啟動後，還要對比一下文件/註冊表的改變才能得到確切結果）。然後對比記錄，把3721添加的鍵全部記下來，添加的文件也記錄下來。之後我計劃是用安全模式啟動，刪除文件和註冊表，所以寫了一個save.reg文件來刪除註冊表裏的相關鍵值（寫reg文件在網管筆記之小兵逞英雄那講有介紹，等一下在文末我提供那個reg文件給大家參考），寫了一個save.bat來刪除相關文件，放到c盤根目錄下。重新啟動機器，進入安全模式下，我先用regedit /s save.reg 導入註冊表，然後用save.bat刪除相關文件。重新啟動機器，卻發現文件依然存在，註冊表也沒有修改成功。通常對付木馬/病毒的方式全然無效，令我產生如臨大敵之感。
結局：病毒勝，天緣敗。

第三回合：
重新啟動機器，這次我採用手工的方式刪除文件。發現了問題──對system32/drivers目錄下的CnsMinKP.sys，WINDOWSDownloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都」無法刪除「。這樣說可能有點不妥當，準確地說法是──刪除之後沒有任何錯誤報告，但文件依然存在。於是上網用google找找線索──在綠盟科技找到了一則文章（名字及url見前文），於是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那麼，只要能開機不加載它不就行了？？但試了一下2k和xp的安全方式下都是要加載system32/drivers下的驅動，而如果想要取消加載，則需要修改註冊表，但由於在加載了CnsMinKP.sys後修改註冊表相關值無效，導致無法遏制CnsMinKP.sys這個程序的加載。當然，有軟驅的朋友可以利用軟盤啟動的方式來刪除該文件，但如果跟天緣一樣用的是軟驅壞掉的機器怎麼辦呢？記得綠盟上的文章所說的是──」目前無法破解「。在這一步上，天緣也嘗試了各種方法。

我嘗試著改這幾個文件的文件名，結果沒成功；

我嘗試著用重定向來取代該文件，如dir * > CnsMinKP.sys ，結果不成功；
我嘗試著用copy con <文件名> 的方式來覆蓋這幾個文件，結果發現三個文件中Cnshook.dll可以用這樣的方法覆蓋成功，但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候，居然提示」文件未找到「！？熟悉copy con用法的朋友都該了解，無論是文件是否存在，都應該是可以創建/提示覆蓋的，但居然出來這麼一個提示，看來CnsMinKP.sys著實把系統都騙過了，強！！跟它拼到這裏的時候，回想到了在dos下用debug直接寫磁盤的時代了，或許用它才能搞定吧？

仔細一想，win2k/xp下似乎沒有了debug程序了，而或許問題解決起來也不是那麼複雜。再又嘗試了幾種方法後，終於得到了啟示：既然文件不允許操作，那麼##作目錄如何？
我先把windowssystem32drivers目錄複製一份，取名為drivers1，並將其中的CnsMinKP.sys刪除（注意，因為是drivers1中的，所以可以被成功地真正刪除掉）；

重新啟動機器，到安全模式下；
用drivers1目錄替代原來的drviers目錄
cd windowssystem
ren drivers drivers2
ren drivers1 drivers
之後重新啟動機器，然後進到windows後先把drivers2目錄刪除了，然後慢慢收拾殘餘文件和清理註冊表吧。在這裏天緣提供一個reg文件，方便各位刪除註冊表：
Windows Registry Editor Version 5.00（用98的把這行改成regeidt4）
[-HKEY_LOCAL_MACHINESOFTWARE3721]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]
[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]
[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions！CNS]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]
[-HKEY_CURRENT_USERSoftware3721]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]
[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]
結局：病毒敗，天緣勝。

（雖然是成功地刪除了它，但是感覺贏得好險，如果該病毒加一個禁止上級文件改的功能那麼就真的沒轍了，為了預防類似的情形，最後還是找到了徹底一點的辦法，見下）

第四回合：

聰明的讀者大概已經想到，既然沒有辦法在硬盤啟動對於c盤是fat32格式的機器，想到這裏已經找到了解決辦法──用win98啟機軟盤啟動機器，然後到c盤下刪除相關文件，然後啟動到安全模式下用save.reg把註冊表搞定就行了。問題是──大多數win2k/xp都使用的是新的ntfs格式，win98啟機軟盤是不支持的！怎麼辦？有軟驅的機器可以做支持NTFS分區操作的軟盤，用ntfsdos這個軟件就能做到。而跟天緣一樣沒有軟驅的朋友，別忘記了win2k/xp開始加入的boot，不光是能夠選擇操作系統而已，而是跟linux下的lilo和grub一樣，是一個操作系統引導管理器──換句話說，如果我們能在硬盤上做一個能讀寫NTFS的操作系統，再用boot進行引導，那麼不是就可以在無軟驅的情形下實現操作c盤的目的了麼？在網絡上找到vFloppy.exe 這個軟件，它自帶一個支持讀寫ntfs的鏡像文件，並且使用簡單，非常傻瓜化。然後刪除3721的相關文件，重新啟動後清理註冊表和刪除相關文件就行了。

到此，我們終於把3721這個陰魂不散的幽靈徹底趕出了我們的硬盤！！

由於不少網站基於各種原因，在顯示頁面的時候都會彈出3721的下載窗口，很容易誤點。在ie中就能屏蔽掉該站以及其它惡意的任何下載。

截止發稿為止，天緣所知不少同行網管已經在網關上做了對該地址的屏蔽，防止不知情的用戶無辜受害。網絡安全任重道遠，還要大家的努力才能把一些害群之馬斬草除根。