无意中,我也中了桌面传媒,这玩儿真TMD流氓,用卡卡,超级兔子,奇虎360均不能彻底删除,自己手动删除注册表项,也是马上又恢复,比较难缠。用卡卡扫描结果如下:
C:/Windows/system32/CreateDomTree.dll (存在)
C:/Windows/system32/CharSet.dll (存在)
C:/Windows/system32/WebPageParser.dll (存在)
C:/Windows/system32/NTService32.dll (存在)
HKEY_CLASSES_ROOT/bho.IEMonitor (存在)
HKEY_CLASSES_ROOT/bho.IEMonitor.1 (存在)
HKEY_CURRENT_USER/Software/DeskATop (存在)
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/{08A312BB-5409-49FC-9347-54BB7D069AC6} (存在)
HKEY_CLASSES_ROOT/{08A312BB-5409-49FC-9347-54BB7D069AC6} (存在)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Windows NT Service32 (活动)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/Windows NT Service32 (活动)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Windows NT Service32 (活动)
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run <desktop>=["C:/Windows/system32/rundll32.exe" "C:/Windows/system32/NTService32.dll",Run] (存在)
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Control <SystemStartID>=[B6B6B6B6] (存在)
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control <SystemStartID>=[B6B6B6B6] (存在)
与他奋战了一天,终于还是杀掉了。比较艰辛,走了一些弯路,大家第5点开始看,应该就可以删除了
1.记下上面的扫描结果
C:/Windows/system32/CreateDomTree.dll (存在)
C:/Windows/system32/CharSet.dll (存在)
C:/Windows/system32/WebPageParser.dll (存在)
C:/Windows/system32/NTService32.dll (存在)
创建几个文件,并命名为CreateDomTree.dll,CharSet.dll,WebPageParser.dll,NTService32.dll(新建文本文件,改名字即后缀名即可)
2.重起系统,插入一个Dos启动盘(用过Dos应该都留着有吧),进入Dos模式
3.删除
C:/Windows/system32/CreateDomTree.dll
C:/Windows/system32/CharSet.dll
C:/Windows/system32/WebPageParser.dll
C:/Windows/system32/NTService32.dll
请仔细,别删错了!
4.重启,这是会提示NTService32.dll找不到
5.下载Syscheck2,里面有个内核检查功能,如果能扫描到结果,说明你的内核文件已经被改掉了,点击定位文件,发现C:/WINDOWS/system32/drivers/msprotect.sys已经被修改,点击恢复,可以成功恢复此文件。
6.重新运行卡卡,或奇虎360,可清除成功
最后,强烈鄙视 桌面传媒 以及通过桌面传媒打广告的公司,是你们助长了桌面传媒的嚣张气焰!