个性童装店门头效果图:用ewido也删不掉的3721

我这几天，刚帮朋友，干掉3721一次。深感3721恶心，和升级速度快。另驱动之家，正常下载，就会不知不觉的装上3721，强烈鄙视。
　　几个注意，我简单说过程和特别处理啊。具体的参照后文，干掉3721没问题。

　　1.新的3721用什么微软，和什么流氓软件都没用，不要浪费时间去试了。微软的那个升级版都不行。
　　2.进安全模式没有用，别浪费时间。
　　3.想办法光盘启动，就是找个有ntfs dos启动的光盘。比如，雨浪飘零，番茄花园都提供。在光盘启动，或者Virtual Floppy之类的用虚拟软盘。（相比而言还是光盘启动方便，直接找个光盘就行）
　　4.删有关的文件先，这个要注意C:\WINDOWS\Downlo~1看不到但是，文件都在这个里面。
　　5.重启进系统改注册表，会提示找不到文件。这很正常，我们刚删了它。如果注册表项，无权修改，右键点属性，给权限。

　　最烦欺负人，别向3721妥协。

　　我们对Google的爱说不清楚为什么，就是那么执著。我们对3721的憎恨似乎也说不清楚为什么，看起来更执著。Google往我们口袋里塞钱了吗？当然没有。3721抢我们钱包里的钱了吗？似乎也没有。那是为什么呢？因为Google任何时候都尊重网友的意志，而3721干的那勾当，是"人"做出来的吗?!

　　关于3721这个东西的好坏，我一来不肖于说，二来也避免一家之言，看看Google搜索"删除 3721"的近14万个结果，就知道了。所以我只在这里说说，怎么在NTFS分区下的Windows xp sp2中彻底的清除无耻之极的3721病毒(谢谢一网友提醒)，当然在2000和2003也都差不多(系统在NTFS分区)。

　　从9x以后，windows启动盘似乎就远离我们了，当然如果你在2000/xp以及2003里还使用FAT32分区格式，清除3721病毒反而更简单了。我记得制作2000的支持NTFS的启动盘需要4张软盘，由于软盘的质量下降确实太快了，在我完完全全抛弃软盘之前，我再也没有凑齐过4张完好的软盘。关于3721病毒的原理，你可以看看这里。其实这些都是算比较old的东西了，CnsMinKp.sys/vxd刚release出来几天就被人研究明白了机理。由于CnsMinKp.sys被实现成了底层的驱动，恶劣到从安全模式启动系统也会加载。这个驱动起来后不干任何的好事，就检查该死的3721病毒是否被破坏，而且这个机制居然把微软的GiantAntiSpyware搞faint掉了。昨晚我在dudu的建议下安装了GiantAnitSpyware，并且升级到最高版本。这个软件如果不遇到3721其实还是很不错的了，虽然才beta1。可是造物弄人啊，虽然传说3721和微软还有什么狗屁合作。扫描完毕后，Giant一下就在我的系统查出15个spy类的软件，当然包括3721病毒，并且3721是影响和散布最严重的。于是我就开始清除这些spy ware，其它都很顺利的就清理过去了，可是当Giant清理3721到C:\windows\Downloaded Program Files\目录后，Giant被暗算了。虽然我们没法在系统正常启动时删除CnsMin.dll和CnsHook.dll，但是Giant是可以的，因为它就是专门干这个的呀。不过很不幸，由于Giant不知道有个CnsMinKp的卑鄙服务在非常频繁的监测这个目录，只要文件CnsMin.dll或CnsHook.dll一旦被删除，它就立即重新创建一个。于是Giant说：我删，我删，我删删删；3721说：我贱，我贱，我贱贱贱。它们俩就这么死磕上了，程序Giant进入死循环:(。如下图：

　　// 这两个dll一旦被删除就马上重建，可见CnsMinKp的扫描是多么的频繁！

　　昨天发了一篇文章"宇宙里还有没有比3721无耻的软件啊?"求助，再此非常感谢Pumpkin网友的建议，整个清除3721病毒的过程，就是使用Recover Console。这个东西在操作系统的安装盘里，不过默认不安装到系统里，我们直接拿安装盘来运行也是一样的。详细使用方法看上面的连接，这个主题的kb还有中文版的说。

　　说一下需要删除3721病毒文件的地方，有(默认系统装在C盘)：
　　C:\WINDOWS\Downloaded Program Files\
　　C:\WINDOWS\ (这个目录里有个Cns*.dat的文件)
　　C:\WINDOWS\System32\Drivers\

　　需要说明一下，C:\Program Files\3721\不能在Recover Console里删除，因为Recover Console进入系统没有访问C:\WINDOWS\以外目录的权限。不过还有一点，Recover Console里的del命令不支持统配符，删除文件必须一个一个得来，一共有二十来个Cns*.*文件。

　　处理完了Exit重起机器，出一个系统出错：Rundll32.exe不能找到C:\WINDOWS\downlo~1\CnsMin.dll。哈哈，能找到我还不疯掉啊！用Giant在扫描一遍register，没有发现问题，faint。手动查找，发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下还有一个CsnMin注册项——"Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32"。

　　继续使用CsnMin搜索注册表，还有以下地方需要删除：
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CNSMINKP
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CNSMINKP
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\CnsMinKP
　　HKEY_USERS\S-1-5-21-1708537768-1303643608-725345543-500\Software\Microsoft\Internet Explorer\MenuExt\Quick Search (Yisou.com)
　　// 不能删除的key需要修改访问权限

　　通过上面的操作，这个世界终于又清静了。我为什么要说又?!

用超级兔子喀嚓了先。。世界就清净了。。。

用专门删除3721的软件。百度搜索能找到。

我在十几分钟前 成功的删掉了 3721 和雅虎助手的残留部分~~
上面的方法太多太复杂
我教你
我的QQ 122738856 加我时带： 3721