如何刪除quartz32.dll和msplus.dll文件

問(wèn)題：

在正常情況下，或用一些搜索引擎搜索某關(guān)鍵詞時(shí)，頻繁彈出以roogoo.com為指向的廣告窗口，目前殺軟是能報(bào)警的，但在處理上，卻存在問(wèn)題，它采用驅(qū)動(dòng)隱藏保護(hù)，找不到源頭，無(wú)法清除，即使隔離或刪除了，可能會(huì)出現(xiàn)上不了網(wǎng)的現(xiàn)象。

來(lái)歷及工作方式：來(lái)歷很簡(jiǎn)單，就是那個(gè)roogoo.com，自稱“通用搜索”，其工作方式和Yayad等其他流氓幾乎一樣，通過(guò)各種流氓方式先給同學(xué)們安裝一個(gè)客戶端，然后再向一些企業(yè)兜售，并通過(guò)客戶端彈出付費(fèi)企業(yè)的廣告。

分析：

由于這個(gè)東東不斷升級(jí)，所釋放的東西也不盡相同，以下分析主要是參照Symantec和毒霸

1.生成下列文件其中的某一個(gè)到系統(tǒng)目錄 【先別動(dòng)，處理參照下面的解決辦法】

%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll

%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll

在hijackthis日志里的體現(xiàn)位置為O10項(xiàng)，比如

O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll

2.創(chuàng)建注冊(cè)表信息 【進(jìn)入注冊(cè)表刪除相關(guān)信息】

HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo

3.在注冊(cè)表里創(chuàng)建鍵值    【進(jìn)入注冊(cè)表刪除下面列出的右窗所創(chuàng)建信息】

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

右窗創(chuàng)建 "FROMID" = "roogoo"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

右窗創(chuàng)建 "2102" = "0"

4.釋放WS2IFSL.SYS文件創(chuàng)建系統(tǒng)驅(qū)動(dòng)服務(wù)，以及在注冊(cè)表里體現(xiàn)

【進(jìn)入注冊(cè)表，刪除相關(guān)信息，并刪除病毒文件，如果LEGACY_WS2IFSL
這一項(xiàng)刪除不動(dòng)的話，參考注冊(cè)表殘余信息的處理】

c:\windows\System32\drivers\ws2ifsl.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

解決辦法：上面分析中的“1”，先不要?jiǎng)?/p>

1.上面分析中的“1”，先不要?jiǎng)?br/>2.依據(jù)上面分析中2、3、4條中的粗體字部分，進(jìn)入注冊(cè)表刪除相關(guān)信息，并刪除病毒文件
3.再根據(jù)下面這篇日志的來(lái)修復(fù)分析中的“1”

整理關(guān)于hjackthis日志中O10項(xiàng)的修復(fù)相關(guān)