关于3721流氓软件

回复: 全面剖析3721及上网助手
________________________________________
四、3721及上网助手卸载情况剖析
有人在网卡撰文说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗？请看——

1、“完全删除”和“完全卸载”的卸载承诺
如图32，无论3721网络实名还是上网助手，在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。

图 32 卸载界面的承诺
2、完全卸载不完全

网络实名卸载成功并重启后，在资源管理器中无法看到Windows\Downloaded Program Files文件夹中有任何文件（即使你将资源管理器设置为显示所有文件、显示系统文件）。但使用著名的Total Commander文件管理器，却发现有一个zsmod.dll的隐藏文件（图33）！如果是卸载上网助手，卸载成功并重启后，上述目录居然隐藏有30个文件1个文件夹（图34）！

以zsmod.dll为关键字在注册表编辑器中搜索，可以发现这个文件并非是一个被“遗忘”的死文件，而是有相应的注册表键值（图35）！

卸载上网助手成功并重启后，检测BHO（浏览器帮助对象），发现系统中仍然保留有YDT.DLL和CnsHook.dll这两个BHO对象（图36）！

卸载上网助手成功并重启后，检测自动加载项目，发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目（图37）！

再检测系统已经加载的内核模块，发现以驱动形式加载的CnsMinKP.sys仍然被成功加载（图38）！以CnsMinKP.sys在注册表编辑器中搜索，卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值（图39），使得卸载操作完全是一个骗局，其基本功能根本没有受到影响，至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了！当然，系统Drivers目录中的CnsMinKP.sys文件依然完好，没有受到任何破坏！

看看系统进程如何。如图40，Y