主题：去除3721的体会 -- 直抒胸臆

在信息技术里看到3721的内容，不知在新兵营如何回帖，就只好发在这里了。

3721 有不同的版本，低版本的很容易就可从注册表删掉（ 我同事的3721一分钟就搞定了），也可以用一些3721清除软件去掉，03年我就是这

样去掉它的（注意这里不是指3721自带的卸载，3721自带卸载程序是个陷阱，根本就不卸载，完全的挂羊头卖狗肉又一次暴露其阴险一面）可

是牛皮癣式的就不易了，我整整与它搏斗了4天。现在谈谈体会，希望对大家有帮助。牛皮癣式的3721的大概机制，网友3721rubbish

（http://3721rubbish.blogchina.com/）谈的很清楚，我在这里转述，总结并补充一下。

牛皮癣式的3721的厉害我体会主要是三点：

第一可以自动上网更新自己，第二它是利用Rundll32.exe调用连接库的，系统无法终止Rundll32.exe进程。也就无法阻止其运行。而且对

system32/drivers目录下的CnsMinKP.sys始终无法删除。第三当你用注册表编辑器(不论是正常启动还是安全方式启动，不论是windows自带的

还是第三方的编辑器)删除注册表中的3721相关内容时，你会发现根本删不掉，因为这个流氓已经更改了“权限”，有些键值它不让你acccess。

此外，它还有一些流氓手段，例如我的机器是装了norton防火墙的，可是我偶然发现，3牛皮癣721已经自动把自己加入了“允许访问”的程序中

，真是流氓的可以。

网上能找到的卸载3721的程序我都试过一遍，都对这个流氓毫无办法，感谢网友3721rubbish，主要基于他的方法并结合我的摸索，我终于把这

个牛皮癣去掉了。方法简述如下

1.准备工作：

找一张启动盘（光盘，软盘都可），安装一个第三方的注册表编辑软件（我用的是Registry Workshop）

2.断开网络，从启动盘启动机器，删除windows/system32/drivers目录下的CnsMinKP.sys

3.重新启动机器进入安全模式下，用Registry Workshop打开注册表，操作注册表前，先在选项>设置 勾上“尝试强制进入拒绝访问的注册表项”

然后查找3721 和 cns 字符串，凡是有3721的都应删掉，绝大部分带cns的也可删除，这里需要甄别一下（例如超级解霸有带cns的键值）。如

怕误删可参考3721rubbish给出的如下列表逐一删掉。如果发现删除过程有删不掉情况，就要检查一下权限是否被限制了，如果被限制了，先改

回完全控制再删。

[-HKEY_LOCAL_MACHINESOFTWARE3721]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions！CNS]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_CURRENT_USERSoftware3721]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]　　

注册表干净后删除相关目录下的内容如为 C:WINDOWSDOWNLO~1 和program files\3721

自此机器应该是把这个牛皮癣去掉了。

为防止再次感染，应该赶紧堵塞漏洞。在ie中和防火墙中把.3721.com,3721.net 等等（我是google了一下3721把凡是和3721有关的网站设为禁

止访问）。

一点感想：杀不如防，被动的防不如主动的防，希望这次网协真的有实际措施让这种流氓行为真正得到处罚，网友也应该联合起来抵制其所谓

的联盟，让这种流氓彻底失去生存土壤。保护网络的健康。