[转帖]来看一下有关３７２１的事

xinghui

3721欺骗伤害了相信它的网民们
　　学会上网之后，原本以为到达了一个更加便利的世界，然而，这个自由便利的世界却早被3721统治。
　　5年时间，疯狂掠夺统治资本
　　3721从1998年成立至今一直在利用微软的浏览器做着自己的梦，试图打造中国人的网络标准。用了5年时间，3721通过各种渠道、利用各种手段，让他的网络实名插件遍布90％的中文上网用户，而这，就是3721用5年时间积累起的统治中国互联网的雄厚资本，3721插件，表面上是中文上网工具，实际上，背后利用简单的病毒原理控制着网民的电脑，玩弄着中国互联网和对技术不甚了解的7000万网民，5年时间，积累起了足以对抗7000万网民和政府的雄厚资本。
　　用简单的技术愚弄着中国网民
　　这样一个打着“简单上网”旗号的3721，在程序员眼里，甚至成为了“垃圾”的代名词。
　　到任何程序员聚集的站点，查看一下涉及到3721新闻的评论 90%以上都是对3721的攻击，甚至是辱骂，更有程序员还在个人网站中标注：“如果你是3721的支持者，不要安装本程序，本人不欢迎并拒绝其支持者使用本程序!”
　　首先，程序员对3721的技术一直没有持肯定态度。在程序员看来，通过客户端软件将域名和中文单词对应起来，实在没有什么技术可言。
　　最初，3721的软件是客户端的形式，主要通过和网站合作进行免费发放，但这种方式容易被用户拒绝或者删除。不久，3721采用了微软公开的ActiveX技术标准，将客户端转变为了浏览器插件。应该说，许多软件均采用ActiveX技术开发，例如Flash动画播放插件、Microsoft Media Player插件等，这种方式也无可厚非，但3721在推行这种方式时，并没有尊重用户的意愿，而是防不胜防的在各种网站上弹出骚扰对话框，强迫安装。有程序员表示：“不管软件写的怎样，有一点是肯定的，开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户，有多少是自愿安装的呢？又有多少是踩中地雷的呢。”同时，在早期的某些版本中，的确有造成用户死机的案例出现并被广泛的传播。
　　因此，3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除，软件中采用各种技术手段。有程序员说：“现在3721的插件越做越霸道。不止是修改注册表，而是一直在你的系统里运行，并把自己伪装起来，我曾经把cmin*.dll删除后，用WinHex查还有，是改名运行的！而且如果用SoftICE 调程序，3721的DLL总会捣乱！” 3721在煞费苦心的加入各种技巧，有的技巧与木马病毒的原理一模一样，所有3721的软件在你的计算机上都开着后门，而这个后门，正是3721走进你计算机深处的通途，3721在偷窥你的时候，你，却并不知情。
　　用程序员群体的眼光看，用软件开发的某些技巧来强奸用户的意志，这对3721是自辱，对中国互联网是侮辱！
　　但是，3721为了保证其利润来源和一个无耻的梦想，他还是选择侮辱中国互联网，侮辱中国网民。　　
　　黑社会手段抢夺地盘
　　然而3721在圆自己的美梦时却毁掉了众多网民的基本的使用权。众多不知情的网民在无意下载3721插件后却一直在被3721的梦想所左右。3721的插件也已经开始在90％的中文上网用户打开电脑开始上网时被监控。
　　有懂技术的网民在论坛上发表言论时写道：这两天上某些网站不是很顺利，开始我以为是网络的问题，可是其它网站上的去很正常，因此我排除了网络原因。排除了病毒原因之后，我反编译了其电脑里唯一和浏览器相关的程序——3721网络实名插件。当看到3721程序代码的时候，他说：“当时吓出了一身冷汗。原来这个程序有个后门，所有的人都不知道存在的这个后门。而3721的其他程序就通过这个后门进进出出。在这个程序中我发现了一段代码，这就是屏蔽那些网站的代码，在这个代码后面，有着一长串我们熟悉的网站，有的屏蔽是生效的，有的屏蔽还没有启用。这段代码就像一个机器人一样，在这段代码后边，如果加上http://www.sina.com.cn，那么新浪网将被屏蔽而无法访问。
　　3721为了保住他的网络实名业务，不得不保住他插件的推广量，而3721用这种手段，在威胁并强迫着许多网站为他弹插件。而许多网站却敢怒不敢言。FM365网站是受害者之一，而除他之外，还后一长串名单。
　　3271就像中国互联网的黑社会，他知道你电脑里的所有信息，他占据着本属于网民的中国互联网，把他划为属于自己的地盘，牢牢控制，即便是SINA、SOHU、NETEASE、QQ这样的门户大腕，慑于3721的淫威，在3721面前也是敢怒不敢言，因为就连政府都无可奈何。
　　谁来管管3721？
　　遍查互联网的法律，也没有任何一条对3721这种做法进行管理的规定，甚至没有任何一级管理部门和法律制定者意识到这个问题。3721在利用着自己制定的法律为所欲为，制定着属于他的游戏规则，所有人都必须俯首称臣，上贡交钱。
　　一方面偷偷摸摸给网民安装，一方面穷凶极恶逼迫其他网站为他弹插件，否则就“封掉”不合作的网站，毕竟，他已经有了90%的占有率，一方面，堂堂正正的大卖网络实名赚钱，甚至威胁北京大学，如果不买这个词，就把这个词卖给别人。
　　用三条计谋堂而皇之的赚钱，大大方方的管理中国互联网。原本互联网所倡导的平等、自由、公开的原则，在3721的公司利益面前荡然无存。原本上上下下部署严密的政府部门对他也无可奈何，甚至毫不知情。
　　中国互联网，被3721继续统治着……，谁来管管？无人来管，无人敢管。
附一、变本加厉，3721新版客户端藐视我国法律
作者：木子工作室
　　在我们上次对三七二一公司的报道中，三七二一公司已经一次次的挑战网民的忍耐力和承受能力。不断在技术上进行改进，以达到使网民无法屏蔽该公司网络实名客户端的目的。面对网民愤怒的谴责和自发的屏蔽行动，三七二一公司显然是准备不惜一切代价与这些在其眼里是”刁民“的网友战斗到底。
　　近日，我们再次发现，三七二一公司进一步改进了他们的”反“屏蔽技术。通过该方法，网络实名的客户端将”永久“的驻留在用户的计算机系统中，即使用户选择了卸载该客户端。除非，用户重新安装其计算机系统，否则，无法手动清除该程序。
　　在用户浏览网页时，弹出的安装窗口，既没有使用协议，也没有明示程序的发布公司，存在严重的欺诈行为。同时，该程序并不会在用户的计算机中建立”合法“的程序安装目录，而且用户通过一般手段，无法在自己的计算机系统中找到被安装的程序，这无疑严重危害了用户的计算机安全。
　　对于，三七二一这样的行为，一些法律也专家认为，三七二一公司已经严重违反了中华人民共和国国务院于 1997 年颁布实施的《计算机信息网络国际联网安全保护管理办法》中的相关条款，以及《中华人民共和国消费者保护法》的相关内容。
　　在此，我们仅代表那些深受三七二一网络实名”病毒“之苦的用户，谴责三七二一公司这种毫无商业道德的行为。并且，希望国家有关部门，认真对待该事件，规范市场秩序，创造良好的市场环境。
附二、怎样检查“3721病毒”
作者：中关村在线
　　有网友认为觉得3721客户端软件已经具有部分病毒的性质了。
　　1 在设备驱动层加了保护，而且是boot时立即启动，即使在安全模式时也会启动。这个设备的名字叫做 cnsminkp,驱动程序位于windows\system32\drivers\cnsminkp.sys。
　　2 cnsminkp.sys 一旦加载，无法用命令方式卸载这个驱动程序，即 net stop cnsminkp 是无法停止这个驱动的。 cnsminkp.sys 的文件日期是2004-02-15, 是前几天才release出来的。
　　3 这个驱动不停地检测cnsminkp.sys 是否存在，cnsmin.dll是否存在，如果不存在，立即会重建这两个文件，并且不停检测service 和software 下面的注册表，确保cnsminkp这个服务的参数保持和它设置的一致，如果被改动，立即会恢复成原来的样子。另外，还确保 run 里有cnsmin.dll。
　　4 这种死皮赖脸的方式，是决心要在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
　　cnsminkp.sys 是否表示 cnsmin keep 还是cnsmin kill protect ? 只要你的windows\system32\drivers下有cnsminkp.sys ,肯定中招了。

xinghui

著名俄罗斯杀毒软件AVP(Kaspersky Anti-Virus)把受众网民讨厌的3721列为病毒了,正应了一句老话:多行不义必自毙,3721完全是咎由自取.由于汉化新世纪和3721有合作,因此其发布的汉化软件很多捆绑有3721,当升级avp最新病毒库后再去下载汉化新世纪的汉化文件,你就会发现avp会报病毒了(如附件图).一直以来,3721一直强行给用户安装其插件，而且插件不可卸载,安装有3721的系统也常常因此产生很多不稳定的问题,因而3721深受网民厌恶.期待其他杀毒软件也能像avp一样把3721列为病毒.

xinghui

3721病毒
3721, CNNIC, POPO, 百度, 中文邮, 新浪新闻 免疫程序 v2.15
作者：周明波
http://www.haijiang.org/download/anti3721etc.exe
以上程序可以在没有安装过3721相关软件的系统中安装，这样3721就无法自动被安装进你的系统了，当然，除非你强行下载3721修复程序并强行安装
如果你的系统已经“感染”了3721，如网络实名、中文邮、上网助手之类的软件，那么你可以到控制面板的添加删除程序中卸载，卸载的时候它还会问你是否要保留控件之类的东西，一律选择不要保留，然后再安装上述免疫程序，那么这样你的系统就会稳定得多了
作为替代软件，您可以使用的程序包括：MyIE2（浏览器，防弹出窗口、防广告），NIS（Norton Internet Security，防广告、防黑客），GOOGLE工具栏（防弹出窗口，方便搜索），TuneUpUtilities（真正的系统优化、设置软件）

3721网络实名病毒的事情也不是一天两天的了，早先的版本不经用户许可就会自动安装，也没有做卸载，再加上极烂的编程水平，频频导致非法操作，大有和浏览器同归于尽的意味
自打被雅虎收购之后，程序开始写得好一些了，不仅有网络实名，还有上网助手之类的其它东西了，而且竟然也有卸载了，不过仍然频频导致系统非法操作、IE内部错误，自称可以防止主页被改的保护，主页依然被改，而且用杀毒软件和其它工具软件竟然也恢复不回来了
疯狂地在各大网站提供插件下载，疯狂地合并到汉化软件、国产软件中去，就连原来把“*.3721.*”写入过滤规则的MyIE2也悄悄地删去此规则并公然提供3721工具栏支持了
我们可爱的自有软件……
以利润为支持的3721就象披着美丽外衣的病毒，以蒙蔽用户、破坏系统稳定为已任，还有广告做得比软件本身好的金山系列（永远杀不了、防不了病毒的金山毒霸，除了抄袭还是抄袭而且抄不象的金山词霸、金山WPS、金山画王），靠恶意竞争过活的百度搜霸，什么都优化不了的Windows优化大师，……

xinghui

还有百度的．．．

xinghui

百度.com的恶意ie插件病毒，用baidu的朋友小心
我一直不知道，直到今天看到这篇文章，然后查一下系统
和注册表，果然是这样子。我以前还一直纳闷，为什么防火墙
报告rundll32.exe这个系统进程老是试图连接网络。
baidu.com这个公司后台很硬，上次政府把google.com
的dns换成baidu.com就是这个公司幕后指使的。说不定你浏览
网站的时候，你的重要信息已经被baidu.com收集了。大家
一定要小心。很多网友私下传播反动信息，被警察带走，估计就与这有关。
另外，就算你不浏览baidu.com也没用。很多国内网站给baidu.com
打广告，会自动给你装上这个恶意插件。防不胜防。唯一办法
就是按这篇文章所说的方法做，彻底清除，一劳永逸。
“百度插件病毒”深度分析，一个比3721还恶心的东西。
来源：安全焦点
主题：百度插件病毒”深度分析
最近发现在浏览一些网站时，会不知不觉的被安装上一个来自百度公司名为“ie搜索伴
侣”的ie插件。
这个插件极为怪异，有时的签名是baidu.com，有时的签名是gaoling interactive
information technology corporation limited，不仅偷偷摸摸还极为霸道，3721一
类的ie插件还几天弹一次，百度的这个插件却每分每秒无时不刻的在疯狂弹出，让人防
不胜防。
百度插件开机自动运行“bie”进程，拖慢上网速度，使系统运行极不稳定，在有的杀
毒软件论坛里用户在声讨这个插件，很多网友发现百度插件安装后不经用户许可就删除
用户硬盘数据和注册表项，致使一些软件无法正常运行，更可怕的是百度这个叫
“bie”的后台程序隐藏运行，在系统配置程序里删不掉，其对应的注册表项删除后又
自动恢复，与病毒的特征完全一样。在金山毒霸的论坛里还有用户反应百度插件与中国
游戏中心在线客户端、影音卫士等软件冲突，关机时经常会致使ie出错。
通过分析这个软件的源码可以看出，这是个一个写得很粗糙的windows应用程序
#include "windows.h"
#include "winbase.h"
void main()
{
char buf[max_path];
::zeromemory(buf, max_path);
::getwindowsdirectory(buf, max_path);
char filename[max_path];
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdplugin.dll");
::movefileex(filename, null, movefile_delay_until_reboot);
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdhelper.dll");
::movefileex(filename, null, movefile_delay_until_reboot);
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdsrhook.dll");
::movefileex(filename, null, movefile_delay_until_reboot);
::zeromemory(filename, max_path);
strcpy(filename, buf);
strcat(filename, "\downloaded program files\bdex.dll");
::movefileex(filename, null, movefile_delay_until_reboot);
}
但这个百度ie插件用正常的卸载方法根本不能完全卸载，下面给大家介绍完全卸载这个
插件的详细方法。
由于这个百度ie插件是使用rundll32.exe调用连接库的，系统无法终止rundll32.exe进
程，所以我们必须先重新启动计算机，按 f8 进入安全模式（f8 只能按一次）之后，
单击 开始 -> 运行 regedit打开注册表，进入：
hkey_local_machinesoftwaremicrosoftwindowscurrentversionrun删除键：bie 其键值为：rundll32 c:winntdownlo~1bdplugin.dll,rundll32（如果
是win98，这里的 c:winntdownlo~1 为 c:windowsdownlo~1）
hkey_local_machinesoftwaremicrosoftinternet
exploreradvancedoptionsaccessibility
删除键：bdsearch，此键在 internet 选项 -> 高级 中加入了百度ie搜索伴侣的选
项。
hkey_classes_root
删除键：bdhlprobj.bdhlprobj
删除键：bdhlprobj.bdhlprobj.1
删除键：bdhook.bdsrchhook
删除键：bdhook.bdsrchhook.1
删除键：bdhook.urlbdhook
删除键：bdhook.urlbdhook.1
删除键：bdplugins.interceptor
删除键：bdplugins.interceptor.1
hkey_classes_rootclsid
删除键：{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
删除键：{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
hkey_classes_roottypelib
删除键：{ce7c3ce2-4b15-11d1-abed-709549c10000}
hkey_local_machinesoftwareclassesclsid
删除键：{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
删除键：{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
hkey_local_machinesoftwareclassestypelib
删除键：{ce7c3ce2-4b15-11d1-abed-709549c10000}
hkey_local_machinesoftwaremicrosoftcode store databasedistribution units
删除键：{bc207f7d-3e63-4aca-99b5-fb5f8428200c}
删除键：{ca92b524-bc8a-4610-bd2c-6bd3e28155d0}
删除完注册表中的项之后，还需要删除存储在硬盘中ie搜索伴侣的文件。
删除如下文件：c:winntdownlo~1 目录下（98下为 c:windowsdownlo~1 下同）
bdex.dll 24576 12-25-02 11：43
bdplugin.dll 49152 12-25-02 11：44
bdsrhook.dll 32768 12-25-02 11：45
bdhelper.dll 36864 12-25-02 11：52
bdsearch.inf 1507 12-28-02 9：48
以上文件全部删除，这样百度ie插件就基本上从你的计算机中全部清除了。最后，重新
启动计算机，进入正常模式就不再有百度插件的侵害了。
下面是完全禁止百度插件的方法：
完全删除百度插件之后，用windows自带的记事本打开hosts文件（hosts文件是windows
里面自带的将主机名称映射到 ip 地址的一个文本格式的文件，hosts表位置，win9x系
列在c:windows，nt、win2000平台在winntsystem32driversetc，winxp平台在
windowssystem32driversetc，如果找不到就查找一下hosts)
加入以下字符(ip和域名之间用一个空格间隔开)：
127.0.0.1 bar.baidu.com
127.0.0.1http://www.baidu.com/
127.0.0.1 baidu.com
保存的文件名为hosts(注意不要加任何扩展名)，怎么样？再也看不到百度插件的对话
框了吧？
同理，用hosts文件还可以对付网页中的广告。现在很多大型网站，都有专门存放广告
的主机，查看网页的源代码，就可以知道广告文件存放在哪台主机上，然后用hosts文
件解析这台主机的ip，就可以把这些广告拒之门外了。 这个方法不足的地方就是无法
访问百度网站，不过我们都使用google(www.google.com)，百度网站也没有访问的价
值。
另外如果有用netcaptor、myie、qq浏览器等多页面浏览器的网友也可以把：
http://www.baidu.com/ 202.108.250.228
bar.baidu.com 202.108.250.204
这些添加到黑名单，
把c段封杀
202.108.250.*
---------------------------
附件附上hosts:
# copyright © 1993-1999 microsoft corp.
#
# this is a sample hosts file used by microsoft tcp/ip for windows.
#
# this file contains the mappings of ip addresses to host names. each
# entry should be kept on an individual line. the ip address should
# be placed in the first column followed by the corresponding host name.
# the ip address and the host name should be separated by at least one
# space.
#
# additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ';';#';'; symbol.
#
# for example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 bar.baidu.com #百度ie插件
127.0.0.1http://www.baidu.com/ #百度ie插件
127.0.0.1 baidu.com #百度ie插件

xinghui

各位网友有何高见？

傲雪飛龍

[这个贴子最后由傲雪飛龍在 2004/07/23 06:20am 第 1 次编辑]

我提供一个屏蔽1372, CNNIC, POPO, 百度, 中文邮的注册表文件，下载后，直接导入就行！这样就不用装上这些垃圾了！这个注册表我一直在用！

xinghui

可是我已经装了上网助手．．．．．．　　　不知如何将它彻底删除？　另外请网友推荐个替代上网助手的软件

tsjdiablo

3721我是非常讨厌，上次装个采集卡，装好驱动程序和应用程序，一执行就非法操作。换好几台电脑，有品牌的有兼容的，有XP，有2K，有98。重装过XP，2K，98都不行。搞了一天的时间，最后才发现是3721搞的鬼。98系统有个msconfig，启动项不加载3721那个rundll就OK了，真他XX的有够变态。

kingsoft

我想如果不慎误装了3721之类的软件，要删除它比重装系统花的时间还要长还要累啊。现在上网虽然可以防止这类软件的安装，但一些在网上下载比较好用的程序如驱动精灵2004和金山毒霸V都捆绑有‘上网助手’，等到安装完才知道，叫人防不胜防！
令人费解的是金山毒霸这样的大公司也是3721的合作伙伴，不知大家有没有用过正版金山毒霸2003安装组合装（可以在网上免费升级那种），在金山毒霸V差不多安装到最后时会弹出一个全英文的提示框，这便是问你装不装‘上网助手’的。假如不太懂英文就可能踩中地雷。试想下一间大公司一个全中文软件安装过程中居然无端端出现个全英文的提示框，摆明就是设个陷阱让你踩下去啦，可恶到极！