中了桌面传媒,这玩儿真TMD流氓,用卡卡,超级兔子,奇虎360均不能彻底删除,自己手动删除注册表项,也是马上又恢复,比较难缠。用卡卡扫描结果如下:
C:\Windows\system32\CreateDomTree.dll (存在)
C:\Windows\system32\CharSet.dll (存在)
C:\Windows\system32\WebPageParser.dll (存在)
C:\Windows\system32\NTService32.dll (存在)
HKEY_CLASSES_ROOT\bho.IEMonitor (存在)
HKEY_CLASSES_ROOT\bho.IEMonitor.1 (存在)
HKEY_CURRENT_USER\Software\DeskATop (存在)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{08A312BB-5409-49FC-9347-54BB7D069AC6} (存在)
HKEY_CLASSES_ROOT\{08A312BB-5409-49FC-9347-54BB7D069AC6} (存在)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows NT Service32 (活动)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows NT Service32 (活动)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows NT Service32 (活动)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <desktop>=["C:\Windows\system32\rundll32.exe" "C:\Windows\system32\NTService32.dll",Run] (存在)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control <SystemStartID>=[B6B6B6B6] (存在)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control <SystemStartID>=[B6B6B6B6] (存在)
与他奋战了一天,终于还是杀掉了。比较艰辛,走了一些弯路,大家第5点开始看,应该就可以删除了
1.记下上面的扫描结果
C:\Windows\system32\CreateDomTree.dll (存在)
C:\Windows\system32\CharSet.dll (存在)
C:\Windows\system32\WebPageParser.dll (存在)
C:\Windows\system32\NTService32.dll (存在)
创建几个文件,并命名为CreateDomTree.dll,CharSet.dll,WebPageParser.dll,NTService32.dll(新建文本文件,改名字即后缀名即可)
2.重起系统,插入一个Dos启动盘(用过Dos应该都留着有吧),进入Dos模式
3.删除
C:\Windows\system32\CreateDomTree.dll
C:\Windows\system32\CharSet.dll
C:\Windows\system32\WebPageParser.dll
C:\Windows\system32\NTService32.dll
请仔细,别删错了!
4.重启,这是会提示NTService32.dll找不到
5.下载Syscheck2,里面有个内核检查功能,如果能扫描到结果,说明你的内核文件已经被改掉了,点击定位文件,发现C:\WINDOWS\system32\drivers\msprotect.sys已经被修改,点击恢复,可以成功恢复此文件。
6.重新运行卡卡,或奇虎360,可清除成功
