[讨论]关于3721，有兴趣的进来

荒野

[前言]先提供几篇资料的连接。1，★★★★★RUNDLL32.EXE进程为什么有时候有，有时候又没有呢？它干嘛的呀？http://zhidao.baidu.com/question/1914756.html2，3721病毒杀除方法详解http://blog.yesky.com/blog/netgc/archive/2005/04/18/110591.html3，3721的危害及删除方法http://blog.hexun.com/ITHERO/132183/viewarticle.html仔细阅读了这几篇文章，有疑问的地方不少，所以决定自己验证一下。[第一步]下载，安装刚刚下载了3721的上网助手，应该是它的最新版本了吧。安装中。。。安装完毕了。我要睡觉了，结果慢慢汇报给大家。搜索关键字3721，看到3721上网助手连接字样，点击后到达次网站http://cn.zs.yahoo.com/start.htm你可以放心打开看看，这个网站在中文雅虎的首页有连接，不会自动安装任何插件。奇怪啊，明明是 3721上网助手，怎么在它的直达网站上看不到任何3721字样了？？？不管如何，我只当它是3721的真身了。有点郁闷也有点纳闷，有钱就是不一样，不管以前是土匪还是流氓，换个名字照样出来冠冕堂皇的混。算了，看看安装的结果吧。先抓几个图。[图一]IE标题栏的字体会越来越小，肯定有鬼。[图二]点击3721上网助手后到达次网页，下载安装了红圈里面的东东。[图三]从雅虎的首页也可以直达上面的网站，雅虎就是好人吗？(为了上传，稍微编辑了一下)
[第二步]对主要技术进行验证

你已经看到了，安装上网助手后，我的任务栏里多了Yahoo!的工具，ie标题栏的字体莫名其妙的变得越来越小等表象。其实在我开机后，还出现了一些错误和一些奇怪的东西，比如说找不到脚本引擎，什么是脚本引擎，顾名思义就是发动机，用来执行脚本程序的。这说明他的代码中包含了一些脚本语言；比如说在刚启动机器时被无端的打开某些端口，并与一些ip连接，本来想抓下来查查，可惜很快就溜走了。感觉这非常奇怪，安装之前没有发生过。这说明它能自动余你的计算机通信。就像某个人知道你的行踪，只要你在家，就要到你家逛逛，至于能偷走什么东西，那就不可知了。

罗嗦了这么多，反正感觉不是什么正经东西。现在正常模式下删除看看吧。毕竟它也换了一身干净衣服。。。我的ie标题栏，正变得越来越小。。。下面是从网上搜到的资料，你先看着吧。慢慢来研究。好，我开始删除了，从任务管理器。

新闻来源：木子工作室 cnbeta.com的成员gLaiVe提供这次3721所使用新“技术”的说明：1、在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做cnsminkp，驱动程序位于windowssystem32driverscnsminkp.sys。--没有发现2、cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 也是无法停止这个驱动的。cnsminkp.sys 的文件日期是2004-02-15，是前几天才release出来的。 --没有发现3、这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保在注册表run子键下始终存在cnsmin.dll，以达到开机立即运行的目的。--没有发现4、这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll，使系统性能迅速下降。--没有发现

最近没有功夫忙这个，请关注的朋友稍微等待一下。最近的3721运用的技术比之早期变化较大（还是只更改了模快名称，没有仔细检查），稍微看了一下，以上所术的几个文件和文件夹都没有在安装后出现。另外有些工具看上去还是有点用，难道真的改邪归正了?我还安装了他的亲戚中文上网官方版，它们好像在狗咬狗，3721把中文上网的某些进程定为危险进程，试了一下用3721的工具删除，没有成功，索性就下载，安装了它，等有了时间再一并解决了它们。按照我的经验，后期版本只要在安全模式下手动删除就可以，并不会出现早期版本那样，在安全模式下进程作为系统驱动程序被驱动的危险现象，那样就真的比较麻烦了。在正常模式下试着删除中文官方上网一下，没有成功（我总是认为他们会变成好人，可是每次都很失望）。他的文件夹在你的电脑里保存得好好的，而且无法被删除。估计它的有些进程被系统进程调用，所以无法终止。顺便说一下，大家可能听说过绿色软件或环保软年这些词，所谓绿色软件，就是无需安装，不改变你的系统设定的安全软件，你只需要运行执行文件就可以启动程序，删除时也只需删除莫个文件或者文件夹就可以了。现在这种手法比较流行，我个人比较欣赏。除一些特殊软件如防火墙，防病毒软件和应客户要求之外，我认为一般windows应用软件都应该做成这样。看了绿色软件的定义，你就明白中文上网，3721的无赖之处了。下次再聊。

[此贴子已经被作者于2006-2-8 10:20:25编辑过]

新品浪子

一看3721到就删

或者利用后就删

藤原拓海

干脆不理用

过滤3721关键字，直接拦截

TokyoRiKi

3721就是一病毒...坚决抵制~!

hes

这个混蛋软件最可气的是，搭配到别的软件一起下再让你装，
我真的没单独下载，只是下载emule时才被装上的
[em06]

stevenwang

从来不用，碰到就删

sweetdream

我不知道下了什么东西附带了3721。我也没怎么注意

之后就无法用IE下载了，种子文件也下不了。。。。。

搜遍了BAIDU都没找到根本解决方法。持续了好几天也没想到是3721搞的鬼…………

气死我了。。当时就想把3721给黑了，可惜没那能力

testuser

缺乏职业道德的软件.

范德彪

修复IE时偶尔还用的到  现在垃圾太多 有时逼得人以毒攻毒啊  3721是慢性病  百度搜霸比3721还垃圾  屁用没有用了就要坏

最近新发现了几种垃圾 大家注意 yok搜索  zom数字娱乐  麻痹的