天緣使用一臺windowsxp機器，訪問用戶提供的站點,，下載并執(zhí)行了該插件,。該插件為中文，自動安裝后重新啟動機器后生效,，并自帶卸載功能,。通過安裝/卸載前后的對比觀察，其駐留性,、自身保護性及對系統(tǒng)性能的大量損耗,，讓天緣確定了該插件確是病毒無疑！　　

　　病毒發(fā)作現(xiàn)象：　　

　　自動將瀏覽器的"搜索"功能重定向到一個叫www,。3721,。com的網(wǎng)站，該站點為中文站,，且無法修改,；　

　　強行在用戶ie上添加"情景聊天"、"上網(wǎng)加速"等幾個圖標,；　　

　　不斷刷新注冊表相關鍵值,，以達到成功駐留和大量消耗用戶主機資源的目的；　　

　　每次啟機加載,，并自帶進程保護功能,，在正常地windows啟動下難以殺除；　　

　　帶自動升級功能,，每次用戶上網(wǎng)使用ie時,，該病毒會后臺執(zhí)行升級；

　　病毒自身特點：　　

　　自帶卸載功能,；該病毒為達到隱藏自身目的,，麻痹下載插件用戶的目的，提供了卸載程序,。但根據(jù)天緣的使用情況發(fā)現(xiàn),，在卸載后，該病毒程序依然駐留,，啟動時仍然加載,，依然監(jiān)視、改寫注冊表,；　　

　　采用網(wǎng)絡升級方式,；該病毒為了防止用戶以及殺毒軟件的殺除,，采取定期網(wǎng)上升級的方式,，這點與近期的其他Windows主流病毒類似，但值得一提的是該病毒建有公開的病毒升級站點www。3721,。com,，且站點風格酷似門戶、服務類站點,，具有極大的欺騙性,；

　　以驅(qū)動模式加載；該特性可說是近段時期以來病毒編寫的一次技術飛躍,，采用驅(qū)動模式加載配合掛接hook的方式,，在windows下極難查殺（詳細技術討論見后）；　　

　　提供在瀏覽器地址欄中輸入中文后轉(zhuǎn)到其站點進行關鍵字查詢的搜索服務,。前段時間的沖擊波克星病毒也曾在感染用戶機器后自動連接用戶的機器到update.Microsoft.com下載補丁,，看來新的病毒越來越多地喜歡提供一些另類功能了；　　

　　被動方式傳播：利用一些站點來進行傳播,，而不是主動感染其他機器,，這點與當前熱門的"美女圖片"病毒的方式相近。從主動轉(zhuǎn)向被動,，可說是今年一些病毒的新特點,。

病毒詳細分析：　　

　　當用戶訪問站點的時候，彈出一個控件下載窗口提示用戶下載安裝,，表面上稱自己是提供中文實名服務,，引誘用戶安裝；　　

　　在安裝過程中多處修改用戶文件及注冊表,；

　　添加文件：　　

　　在Documents and SettingsAll Users「開始」菜單程序網(wǎng)絡實名 目錄下添加：　　

　　了解網(wǎng)絡實名詳細信息,。url 86 字節(jié)　　

　　清理上網(wǎng)記錄。url 100 字節(jié)　　

　　上網(wǎng)助手,。url 99 字節(jié)　　

　　卸載網(wǎng)絡實名,。lnk 1，373 字節(jié)　　

　　修復瀏覽器,。url 103 字節(jié)　　

　　在WINDOWSDownloaded Program Files 下添加：
　　
　　assis.ico 5,，734 字節(jié)　　

　　cns02.dat 1，652 字節(jié)　　

　　CnsHook.dll 56,，320 字節(jié)　　

　　CnsMin.cab 116,，520 字節(jié)　　

　　CnsMin.dll 179，712 字節(jié)　　

　　CnsMin.inf 378 字節(jié)　　

　　sms.ico" 6,，526 字節(jié)　　

　　yahoomsg.ico 5,，734 字節(jié)　　

　　在WINDOWSSystem32Drivers 目錄下添加：　　

　　CnsminKP.sys　　

　　添加注冊表鍵值：　　

　　增加HKEY_LOCAL_MACHINESOFTWARE3721 主鍵，下設多子鍵及屬性值,；　　

　　在HKEY_LOCAL_MACHINESOFTWAREClassesCLSID 主鍵下增加　　

　　兩個子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREClasses主鍵下增加　　

　　CnsHelper.CH　　

　　CnsHelper.CH.1　　

　　CnsMinHK.CnsHook　　

　　CnsMinHK.CnsHook.1四個子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREClassesInterface主鍵下增加子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib主鍵下增加　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions主鍵下增加,！CNS子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions 主鍵下增加　　

　　五個子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch主鍵下增加　　

　　CustomizeSearch　　

　　OcustomizeSearch　　

　　SearchAssistant　　

　　OsearchAssistant 四個子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerShellExecuteHooks主鍵下增加子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun下增加CnsMin子鍵　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce下增加EK_Entry 子鍵 （提示,，這個鍵將在下次啟動機器的時候生效，產(chǎn)生最令人頭疼的部分,，后文會敘述）　　

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionUninstall下增加CnsMin 子鍵
　
　 在HKEY_CURRENT_USERSoftware下增加3721子鍵　　

　　在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下增加　　

　　CNSAutoUpdate　　

　　CNSEnable　　

　　CNSHint　　

　　CNSList　　

　　CNSMenu　　

　　CNSReset　　

　　在重新啟動計算機后,，上面提到的RunOnce下的EK_Entry生效，在注冊表中多處生成最為邪惡的CnsMinKP鍵值,，同時在系統(tǒng)盤的windows/system32/drivers目錄下生成CnsMinKP.sys文件,，噩夢由此開始?！　?

　　由于win2k/xp在啟動的時候（包括安全模式）默認會自動運行windows/system32/drivers下面的所有驅(qū)動程序,，于是CnsMinKP.sys被加載，而這個驅(qū)動的作用之一,，就是保證windows/ Downloaded Program Files目錄下的Cnshook.dll和CnsMin.dll以及其自身不被刪除,；Cnshook.dll的作用則是提供中文實名功能，CnsMin.dll作用在于使其駐留在ie進程內(nèi)的時候,。CnsMin為了保證自己的優(yōu)先級最高,，用了一個定時器函數(shù)反復安裝鉤子，因此造成系統(tǒng)性能下降,，在天緣測試的那臺機器上,，使得性能大概下降了20%左右。而且由于hook強行掛接的原因,，當用戶使用斷點調(diào)試程序的時候?qū)е骂l繁出錯,，這一點與早期版本的cih導致winzip操作和無法關機類似（關于詳細的技術細節(jié)，可參看題目為《[轉(zhuǎn)載]3721駐留機制簡單研究》一文,，原作者Quaful@水木清華）

防刪除特性：　　

　　該病毒雖然自帶一個所謂的"卸載程序",，但事實上核心部分的程序/注冊表鍵值依然沒有刪除。而且該病毒更是利用各種技術手段,，具有極其強大的反刪除特性,。　　

　　windows系統(tǒng)啟機（包括安全模式下）便會加載windows/system32/drivers下的CnsMinKP.sys,，該驅(qū)動該驅(qū)動程序過濾了對其自身及相關重要文件和注冊表的刪除操作,。每當試圖刪除3721的關鍵文件和注冊表項時，直接返回一個TRUE,，使Windows認為刪除已經(jīng)成功,，但文件和注冊表實際上還是在那里?！　?

　　技術亮點：　　

　　天緣不得不承認,，3721這個病毒插件可稱我作為網(wǎng)管以來面對的最難清除的病毒。近幾年來病毒有幾次質(zhì)的突破：cih感染可升級的bios,、紅色代碼打開windows的共享擴大戰(zhàn)果,、meliza讓我們見識了什么是看得到源程序的病毒,、mssqlserver蠕蟲讓我們留意到計算機病毒能攻擊的不光是節(jié)點還有網(wǎng)絡設備、沖擊波病毒讓我們認識到大量使用同一種操作系統(tǒng)時在出現(xiàn)安全漏洞時的可怕,、美女圖片病毒讓我們知道了將欺騙藝術與軟件漏洞結(jié)合的威力,、而這次3721病毒首次展現(xiàn)了病毒強大的反刪除特性,，可說是在windows環(huán)境下無法殺除的病毒,。雖然這是個良性病毒，對系統(tǒng)并沒有破壞特性,，但依據(jù)病毒的發(fā)展史,，可以預見，這種幾近完美的反刪除技術將很快被其他病毒所利用,，很快將被其他病毒所利用,。屆時結(jié)合網(wǎng)絡傳播，局網(wǎng)感染帶強大反刪除功能的病毒或許會讓目前windows平臺下的殺毒軟件遭遇到最大的考驗,。而這次經(jīng)歷,，也讓我意識到微軟的windows操作系統(tǒng)在人性化、美觀化,、傻瓜化的背后的危機,。作為it同行，我個人對3721病毒作者所使用的種種技術表示欽佩,，但新型病毒的潘多拉魔盒,，已經(jīng)被他們打開?！　?

　　在目前已知的病毒歷史上,，之前只有幾種病毒利用過windows nt下的system32/drivers 下的程序會被自動加載的特性來進行傳播，但那些病毒本身編寫地不夠完善,，會導致windows nt系統(tǒng)頻繁藍屏死機,，象3721插件病毒這樣完美地加載、駐留其他進程,，只消耗主機資源,，監(jiān)測注冊表及關鍵文件不導致系統(tǒng)出錯的病毒，國內(nèi)外尚屬首次,，在技術上比以前那些病毒更為成熟,；　　

　　如同天緣和大家曾經(jīng)探討過的沒打sp2以上patch的win2k如何上網(wǎng)下載sp4再安裝補丁這樣的連環(huán)套問題一樣。由于drivers目錄下的CnsMinKP.sys啟機必定加載,，而欲不加載它,，只有在windows啟動后，進注冊表改寫相應的CnsMinKP鍵值或者刪除該文件,，但由于CnsMinKP.sys過濾了對其自身及相關重要文件和注冊表的刪除操作,。每當試圖刪除3721的關鍵文件和注冊表項時,，直接返回一個TRUE，使Windows認為刪除已經(jīng)成功,，但文件和注冊表實際上還是在那里,。使得注冊表無法修改/文件無法被刪除，讓我們傳統(tǒng)的殺除病毒和木馬的對策無法進行,?！　?

　　駐留ie進程，并自動升級,，保證了該病毒有極強大的生命力,，想來新的殺除方法一出現(xiàn)，該病毒就會立即升級,。Windows上雖然還有mozilla等其他瀏覽器,，但由于微軟的捆綁策略和兼容性上的考慮，絕大多數(shù)用戶一般只安裝有ie.上網(wǎng)查資料用ie,，尋找殺除3721資料的時候也用ie,，如此一來，3721搶在用戶前面將自身升級到最新版本以防止被殺除的可能性大大增加,，更加增添了殺除該病毒的難度,。或許在本文發(fā)出后,，病毒將會在最短時間內(nèi)進行一次升級,。　　

　　附帶其他"實用"功能,。天緣記得早年在dos下的時候曾遇到一些病毒,，在發(fā)作的時候會自動運行一個可愛的屏幕保護，或者是自動替用戶清理臨時文件夾等有趣的功能,；后來在windows平臺上也曾見過在病毒發(fā)作時自動提醒"今天是xx節(jié),，xx年前的今天發(fā)生了xx歷史典故"這樣的帶知識教育意義的病毒；而3721病毒則是提供了一個所謂的中文域名與英文域名的翻譯功能,。隨著病毒的發(fā)展,，這樣帶隱蔽性、趣味性和欺騙性的病毒將越來越多,。例如最近的郵件病毒以微軟的名義發(fā)信,，或以re開始的回信格式發(fā)信，病毒編寫的發(fā)展從原來的感染傳播,、漏洞傳播,、后門傳播逐步向欺騙傳播過渡，越來越多的病毒編寫者意識到社會工程學的重要性,?；蛟S在不久的將來,，就會出現(xiàn)以簡單的網(wǎng)絡游戲/p2p軟件為掩飾的病毒/木馬?！　?

　　極具欺騙性：該插件在win98下也能使用,，但使用其自帶的卸載程序則可比較完美地卸載，而在win2k/xp平臺下卸載程序則幾乎沒用,。由此可以看出病毒編寫者對社會工程學極其精通：當一個人有一只表時他知道時間,；而當他有兩只表時則無從判斷時間。當在論壇/bbs上win2k/xp的用戶提到此病毒無法刪除的時候,，其他win2k/xp用戶會表示贊同,，而win98用戶則會表示其不存在任何問題屬于正常程序的反對意見,。兩方意見的對立,，影響了旁觀者的判斷?！　?

　　商業(yè)行為的參與,。據(jù)傳該病毒是由某公司編寫的，為的是進一步推銷其產(chǎn)品,，增加其訪問量和申請用戶,。這點上與某些色情站點要求用戶下載xx插件，之后不斷利用該插件彈出窗口進行宣傳的方式很象,。天緣不由得想起一個典故,。話說當年某公司公司工作人員（當然也有可能是不法者冒充該公司的工作人員）經(jīng)常打電話恐嚇大型的企業(yè)單位，無外乎說其中文域名已被xx公司搶注,，如不交錢將會導致xx后果云云,。兄弟學校中似乎也有受到此公司騷擾的經(jīng)歷：該公司員工打電話到某高校網(wǎng)絡中心，起初是建議其申請中文域名,，其主任很感興趣但因價格原因未果,。第二次打來的時候，就由勸說變成了恐嚇,，說該校中文名字已經(jīng)被xx私人學校注冊,，如果該校不交錢申請就會有種種可怕后果云云。誰想該校網(wǎng)絡中心主任吃軟不吃硬,，回話："你既然打電話到此,，想來你也知道在中國，xx大學就我們一所是國家承認的,，而你們公司在沒有任何官方證明的情況下就替申請我校中文域名的私人學校開通,，就這點上就可見你們的不規(guī)范性，那么如果我私人交錢申請xxx國家領導的名字做個人站點是不是貴公司也受理,？遇到類似冒用我校名義行騙及協(xié)助其行騙的公司,，我們一貫的做法是尋找法律途徑解決,！"回答甚妙，當然此事后果是不了了之,。從相關報道中不難看到,，計算機犯罪逐步開始面向經(jīng)濟領域。侵犯私人隱私,，破壞私人電腦的病毒與商業(yè)結(jié)合,，是病毒編寫由個人行為到商業(yè)行為的一次轉(zhuǎn)變，病毒發(fā)展的歷史由此翻開了新的一章,。

病毒查殺方案：　　

　　由于網(wǎng)管專題的欄目作用主要是"授人與漁",，天緣把病毒查殺過程經(jīng)歷一并寫下，大家共同探討,?！　?

　　第一回合：　　

　　當初見此病毒的時候，感覺不過如此,，普通木馬而已,。依照老規(guī)矩，先把注冊表里相關鍵值刪除,，再把病毒文件一刪,，然后重新啟動機器，等待萬事ok.啟機一看,，注冊表完全沒改過來,，該刪除的文件也都在?！　?

　　結(jié)局：病毒勝,，天緣敗?！　?

　　第二回合：
　　
　　換了一臺機器,，下了個卸載幫助工具，以方便監(jiān)視注冊表/文件的改變,。我下的是Ashampoo UnInstaller Suite這個軟件,，能監(jiān)視注冊表/文件/重要配置文件。Ok,，再次安裝3721插件,，把對注冊表的改變/文件的改變都記錄下來。（值得注意,，因為注冊表run和runonce的鍵是下次啟動的時候生效的,，因此在重新啟動后，還要對比一下文件/注冊表的改變才能得到確切結(jié)果）。然后對比記錄,，把3721添加的鍵全部記下來,，添加的文件也記錄下來。之后我計劃是用安全模式啟動,，刪除文件和注冊表,，所以寫了一個save.reg文件來刪除注冊表里的相關鍵值（寫reg文件在網(wǎng)管筆記之小兵逞英雄那講有介紹，等一下在文末我提供那個reg文件給大家參考）,，寫了一個save.bat來刪除相關文件,，放到c盤根目錄下。重新啟動機器,，進入安全模式下,，我先用regedit /s save.reg 導入注冊表，然后用save.bat刪除相關文件,。重新啟動機器,，卻發(fā)現(xiàn)文件依然存在，注冊表也沒有修改成功,。通常對付木馬/病毒的方式全然無效,，令我產(chǎn)生如臨大敵之感,。

　　結(jié)局：病毒勝,，天緣敗。
　　
　　第三回合：　　

　　重新啟動機器,，這次我采用手工的方式刪除文件,。發(fā)現(xiàn)了問題——對system32/drivers目錄下的CnsMinKP.sys，WINDOWSDownloaded Program Files 目錄下的Cnshook.dll和CnsMin.dll都"無法刪除",。這樣說可能有點不妥當,，準確地說法是——刪除之后沒有任何錯誤報告，但文件依然存在,。于是上網(wǎng)用google找找線索——在綠盟科技找到了一則文章（名字及url見前文）,，于是明白了這一切都是CnsMinKP.sys這東西搞得鬼。那么,，只要能開機不加載它不就行了,？？但試了一下2k和xp的安全方式下都是要加載system32/drivers下的驅(qū)動,，而如果想要取消加載,，則需要修改注冊表，但由于在加載了CnsMinKP.sys后修改注冊表相關值無效,，導致無法遏制CnsMinKP.sys這個程序的加載,。當然，有軟驅(qū)的朋友可以利用軟盤啟動的方式來刪除該文件，但如果跟天緣一樣用的是軟驅(qū)壞掉的機器怎么辦呢,？記得綠盟上的文章所說的是——"目前無法破解",。在這一步上，天緣也嘗試了各種方法,?！　?

　　我嘗試著改這幾個文件的文件名，結(jié)果沒成功,；　　

　　我嘗試著用重定向來取代該文件,，如dir * > CnsMinKP.sys ，結(jié)果不成功,；

　　我嘗試著用copy con <文件名> 的方式來覆蓋這幾個文件,，結(jié)果發(fā)現(xiàn)三個文件中Cnshook.dll可以用這樣的方法覆蓋成功，但是在覆蓋CnsMinKP.sys和CnsMin.dll的時候,，居然提示"文件未找到"?。渴煜opy con用法的朋友都該了解,，無論是文件是否存在,，都應該是可以創(chuàng)建/提示覆蓋的，但居然出來這么一個提示,，看來CnsMinKP.sys著實把系統(tǒng)都騙過了,，強！,！跟它拼到這里的時候,，回想到了在dos下用debug直接寫磁盤的時代了，或許用它才能搞定吧,？　　

　　仔細一想,，win2k/xp下似乎沒有了debug程序了，而或許問題解決起來也不是那么復雜,。再又嘗試了幾種方法后,，終于得到了啟示：既然文件不允許操作，那么##作目錄如何,？　　

　　我先把windowssystem32drivers目錄復制一份,，取名為drivers1，并將其中的CnsMinKP.sys刪除（注意,，因為是drivers1中的,，所以可以被成功地真正刪除掉）；

　　重新啟動機器,，到安全模式下,；　　

　　用drivers1目錄替代原來的drviers目錄　　

　　cd windowssystem　　

　　ren drivers drivers2　　

　　ren drivers1 drivers　　

　　之后重新啟動機器，然后進到windows后先把drivers2目錄刪除了，然后慢慢收拾殘余文件和清理注冊表吧,。在這里天緣提供一個reg文件,，方便各位刪除注冊表：　　

　　Windows Registry Editor Version 5.00（用98的把這行改成regeidt4）　　

　　[-HKEY_LOCAL_MACHINESOFTWARE3721]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsHelper.CH.1]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesCnsMinHK.CnsHook.1]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesInterface\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerAdvancedOptions！CNS]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionUninstallCnsMin]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerExtensions\]　　

　　[-HKEY_CURRENT_USERSoftware3721]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOCustomizeSearch]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchOSearchAssistant]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchCustomizeSearch]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchSearchAssistant]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks\]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunCnsMin]　　

　　[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunOnceEK_Entry]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSAutoUpdate]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSEnable]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSHint]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSList]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSMenu]　　

　　[-HKEY_USERSS-1-5-21-789336058-764733703-1343024091-1003SoftwareMicrosoftInternet ExplorerMainCNSReset]　　

　　結(jié)局：病毒敗,，天緣勝,。

　　（雖然是成功地刪除了它,，但是感覺贏得好險,，如果該病毒加一個禁止上級文件改的功能那么就真的沒折了，為了預防類似的情形,，最后還是找到了徹底一點的辦法,，見下）　　

　　第四回合：

　　聰明的讀者大概已經(jīng)想到，既然沒有辦法在硬盤啟動對于c盤是fat32格式的機器,，想到這里已經(jīng)找到了解決辦法——用win98啟機軟盤啟動機器,，然后到c盤下刪除相關文件，然后啟動到安全模式下用save.reg把注冊表搞定就行了,。問題是——大多數(shù)win2k/xp都使用的是新的ntfs格式,，win98啟機軟盤是不支持的！怎么辦,？有軟驅(qū)的機器可以做支持NTFS分區(qū)操作的軟盤,，用ntfsdos這個軟件就能做到。而跟天緣一樣沒有軟驅(qū)的朋友,，別忘記了win2k/xp開始加入的boot,，不光是能夠選擇操作系統(tǒng)而已，而是跟linux下的lilo和grub一樣,，是一個操作系統(tǒng)引導管理器——換句話說，如果我們能在硬盤上做一個能讀寫NTFS的操作系統(tǒng),，再用boot進行引導,，那么不是就可以在無軟驅(qū)的情形下實現(xiàn)操作c盤的目的了么？在網(wǎng)絡上找到vFloppy.exe 這個軟件,，它自帶一個支持讀寫ntfs的鏡象文件,，并且使用簡單，非常傻瓜化,。然后刪除3721的相關文件,，重新啟動后清理注冊表和刪除相關文件就行了?！　?

　　到此,，我們終于把3721這個陰魂不散地幽靈徹底趕出了我們的硬盤！！　　

　　由于不少網(wǎng)站基于各種原因,，在顯示頁面的時候都會彈出3721的下載窗口,，很容易誤點。在ie中就能屏蔽掉該站以及其他惡意的任何下載,?！　?

　　截止發(fā)稿為止，天緣所知不少同行網(wǎng)管已經(jīng)在網(wǎng)關上做了對該地址的屏蔽,，防止不知情的用戶無辜受害,。網(wǎng)絡安全任重道遠，還要*大家的努力才能把一些害群之馬斬草除根,。 hsz轉(zhuǎn)載