彻底清除狗太阳的3721病毒完全手册!

    我们对Google的爱说不清楚为什么，就是那么执著。我们对3721的憎恨似乎也说不清楚为什么，看起来更执著。Google往我们口袋里塞钱了吗？当然没有。3721抢我们钱包里的钱了吗？似乎也没有。那是为什么呢？因为Google任何时候都尊重网友的意志，而3721干的那勾当，是"人"做出来的吗?!

    关于3721这个东西的好坏，我一来不肖于说，二来也避免一家之言，看看Google搜索"删除 3721"的近14万个结果，就知道了。所以我只在这里说说，怎么在NTFS分区下的Windows xp sp2中彻底的清除无耻之极的3721病毒(谢谢一网友提醒)，当然在2000和2003也都差不多(系统在NTFS分区)。

    从9x以后，windows启动盘似乎就远离我们了，当然如果你在2000/xp以及2003里还使用FAT32分区格式，清除3721病毒反而更简单了。我记得制作2000的支持NTFS的启动盘需要4张软盘，由于软盘的质量下降确实太快了，在我完完全全抛弃软盘之前，我再也没有凑齐过4张完好的软盘。关于3721病毒的原理，你可以看看这里。其实这些都是算比较old的东西了，CnsMinKp.sys/vxd刚release出来几天就被人研究明白了机理。由于CnsMinKp.sys被实现成了底层的驱动，恶劣到从安全模式启动系统也会加载。这个驱动起来后不干任何的好事，就检查该死的3721病毒是否被破坏，而且这个机制居然把微软的GiantAntiSpyware搞faint掉了。昨晚我在dudu的建议下安装了GiantAnitSpyware，并且升级到最高版本。这个软件如果不遇到3721其实还是很不错的了，虽然才beta1。可是造物弄人啊，虽然传说3721和微软还有什么狗屁合作。扫描完毕后，Giant一下就在我的系统查出15个spy类的软件，当然包括3721病毒，并且3721是影响和散布最严重的。于是我就开始清除这些spy ware，其它都很顺利的就清理过去了，可是当Giant清理3721到C:\windows\Downloaded Program Files\目录后，Giant被暗算了。虽然我们没法在系统正常启动时删除CnsMin.dll和CnsHook.dll，但是Giant是可以的，因为它就是专门干这个的呀。不过很不幸，由于Giant不知道有个CnsMinKp的卑鄙服务在非常频繁的监测这个目录，只要文件CnsMin.dll或CnsHook.dll一旦被删除，它就立即重新创建一个。于是Giant说：我删，我删，我删删删；3721说：我贱，我贱，我贱贱贱。它们俩就这么死磕上了，程序Giant进入死循环:(。如下图：
    
    // 这两个dll一旦被删除就马上重建，可见CnsMinKp的扫描是多么的频繁！

    昨天发了一篇文章"宇宙里还有没有比3721无耻的软件啊?"求助，再此非常感谢Pumpkin网友的建议，整个清除3721病毒的过程，就是使用Recover Console。这个东西在操作系统的安装盘里，不过默认不安装到系统里，我们直接拿安装盘来运行也是一样的。详细使用方法看上面的连接，这个主题的kb还有中文版的说。

    说一下需要删除3721病毒文件的地方，有(默认系统装在C盘)：
    C:\WINDOWS\Downloaded Program Files\
    C:\WINDOWS\ (这个目录里有个Cns*.dat的文件)
    C:\WINDOWS\System32\Drivers\

    需要说明一下，C:\Program Files\3721\不能在Recover Console里删除，因为Recover Console进入系统没有访问C:\WINDOWS\以外目录的权限。不过还有一点，Recover Console里的del命令不支持统配符，删除文件必须一个一个得来，一共有二十来个Cns*.*文件。

    处理完了Exit重起机器，出一个系统出错：Rundll32.exe不能找到C:\WINDOWS\downlo~1\CnsMin.dll。哈哈，能找到我还不疯掉啊！用Giant在扫描一遍register，没有发现问题，faint。手动查找，发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下还有一个CsnMin注册项——"Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32"。

    继续使用CsnMin搜索注册表，还有以下地方需要删除：
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CNSMINKP
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CnsMinKP
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CNSMINKP
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\CnsMinKP
    HKEY_USERS\S-1-5-21-1708537768-1303643608-725345543-500\Software\Microsoft\Internet Explorer\MenuExt\Quick Search (Yisou.com)
    // 不能删除的key需要修改访问权限

    通过上面的操作，这个世界终于又清静了。我为什么要说又?!