9、自动创建的线程情况

从图26可以看出，上网助手及其模块自动创建的线程数之多，在系统总体线程数的比例上是多得令人吃惊的！该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况（部分需滚动才能查看）。

图 26 自动创建的线程列表

10、后台运行的消息钩子

有兴趣的人可以看看图27中的钩子类型，看看3721利用的大量钩子函数在干些什么。

图 27 众多的消息钩子

11、植入浏览器右键菜单的“！搜一搜”菜单项

呵呵，浏览器右键菜单中被植入的“！搜一搜”是不是该倒过来从右向左读？这个世界的法则是不是也要倒过来解读（图28）？

图 28 浏览器右键菜单项

12、上网助手Assistse.exe打开本地1028端口

如图29，上网助手Assistse.exe打开本地UDP 1028端口，作用不明。

图 29 端口打开情况

13、植入Internet选项设置

图31是植入到Internet选项的“高级”设置的内容。看看，还有“自动升级”功能呢，有什么新的手段或主意了，再在您的系统中试试？

图 31 Internet选项中被植入的内容

四、3721及上網助手卸載情況剖析

有人在網卡撰文說3721現在可以通過其卸載程序干凈地卸載了。事實情況真的是這樣嗎？請看——

1、“完全刪除”和“完全卸載”的卸載承諾

如圖32，無論3721網絡實名還是上網助手，在卸載程序中都承諾“把上網助手從電腦中完全刪除”和“完全卸載實名插件并關閉實名功能”。

圖 32 卸載界面的承諾

2、完全卸載不完全

網絡實名卸載成功并重啟后，在資源管理器中無法看到WindowsDownloaded Program Files文件夾中有任何文件（即使你將資源管理器設置為顯示所有文件、顯示系統文件）。但使用著名的Total Commander文件管理器，卻發現有一個zsmod.dll的隱藏文件（圖33）！如果是卸載上網助手，卸載成功并重啟后，上述目錄居然隱藏有30個文件1個文件夾（圖34）！

以zsmod.dll為關鍵字在注冊表編輯器中搜索，可以發現這個文件并非是一個被“遺忘”的死文件，而是有相應的注冊表鍵值（圖35）！

卸載上網助手成功并重啟后，檢測BHO（瀏覽器幫助對象），發現系統中仍然保留有YDT.DLL和CnsHook.dll這兩個BHO對象（圖36）！

卸載上網助手成功并重啟后，檢測自動加載項目，發現仍然存在helper.dll、YDTMain.exe、CnsMin三個自動加載的程序項目（圖37）！

再檢測系統已經加載的內核模塊，發現以驅動形式加載的CnsMinKP.sys仍然被成功加載（圖38）！以CnsMinKP.sys在注冊表編輯器中搜索，卸載成功并重啟后注冊表中仍然保留CnsMinKP.sys的3處隱藏服務鍵值（圖39），使得卸載操作完全是一個騙局，其基本功能根本沒有受到影響，至多是那個一般情況下顯示在系統托盤的可以向用戶提供“服務”的小圖標不見了！當然，系統Drivers目錄中的CnsMinKP.sys文件依然完好，沒有受到任何破壞！

看看系統進程如何。如圖40，YDTMain.exe、相互守護的Rundll32.exe共3個進程仍然靜靜地在那兒！

由此可見，上述就是所謂的“把上網助手從電腦中完全刪除”的真相！真的想把它們徹底清除嗎？可以，手工在添加刪除程序列表中把另外未被告知的兩個3721強行安裝的程序一一卸載（卸載時注意看清楚相關選項！否則可能又相互修復），此時絕大多數文件和注冊表被清除。但WindowsDownloaded Program Files文件夾中zsmod.dll的隱藏文件以及相關的注冊表鍵值卻永遠不會被清除！

图 33 3721卸载重启后资源管理器无法看到的隐藏文件

图 34 上网助手卸载重启后系统目录中隐藏的大量文件（Windows资源管理器无法以任何方式查看到，Total Commander可显示）

图 35 卸载重启后注册表中的保留键值

图 36 卸载重启后仍然被保留的浏览器帮助对象模块

图 37 卸载重启后仍然被保留的自动加载项目