首先我用任务管理器查看未发现可疑进程,修改防火墙规则之后,江民黑客防火墙总弹出警告,rundll32.exe 需要访问网络,不管它,先禁止了再说。后来根据这个rundll32.exe的启动参数,发现这个rundll32.exe 居然在启动C:\WINDOWS\Downloaded Program Files\AdDemo.dll这个插件,打开这个dll之后我果然发现了很多关于搜狗的信息,所以我就再也不用怀疑了,就是搜狗大流氓在干坏事,下面列出了这个dll里的一些关于搜狗的字符串: ts.cpc.sogou.com RUNDLL32 Software\Sohu R&D\AD Software\Sohu R&D\AD\Temp Software\Sohu R&D\AD\ErrorUrl CLSID\{0CA51D02-7739-43EA-8D9A-1E8AD4327B03}\InprocServer32 Software\Sohu R&D\Download 然后我又在那个目录下发现了一个叫AdDemo.inf的文件,这个可大大出乎胡和我的意料,因为如果搜狗要是以这种cab包类型的方式给我们用户安装病毒的话,以后如果我们删除不干净,只要去访问那个带有cab包的网址就可能被重新安装这个插件,搜狗太恶心了,居然给用户机器留后门。愤怒之余我感觉我有必要把搜狗的流氓行为公诸于众,使更多的用户知道这个问题的重要性,不要做搜狗的肉鸡。下面是我在删除了搜狗过程中总结的经验,希望对其他人能够有所帮助。 删除方法: 一、搜狗地址栏直通车,弹出广告、强制安装、无法彻底删除,下面提供一个方法彻底删除搜狗地址栏直通车 1.首先执行添加/删除里的搜狗地址栏直通车卸载程序,进行删除 2.到注册表搜索到如下两个键值就删除,直到清干净为止 BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D 08B13A8E-EB71-4421-B417-4EC0995D5BFC 3.到如下目录把如下文件删除 C:\WINDOWS\SYSTEM32\SODAHK.DLL 4.到注册表的这个键值修改为原来的值 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的AppInit_DLLs修改为advapi32.dll 5.删掉这个键值下的所有垃圾 SOFTWARE\Sohu 二、搜狗颂做灶直通车,弹出广告、强制安装、浏览器劫持(修改野扮默认搜索结果)、无法彻底删除,用下列方法可以删除 1.首先执行添加/删除里的搜狗直通车卸载程序,进行删除 2.到注册表搜索到如下几个键值就删除,直到清干净为止 0CA51D02-7739-43EA-8D9A-1E8AD4327B03 DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C 08B13A8E-EB71-4421-B417-4EC0995D5BFC 982CB676-38F0-4D9A-BB72-D9371ABE876E 8755CE6E-0BF7-4441-8751-FB728941B0B4 8AB8528F-AC8B-416D-9B84-92D97729C195 3.到如下目录删除所有文件 c:\Program Files\P4P 4.到如下键值删除所有的子键值 SOFTWARE\Sohu 三、搜狗广告和地址搜索软件,弹出广告、强制安装、浏览器劫持(修改默认搜索结果)、无法彻底删除,用如下方法也可以删除 1.首先关闭所有ie 2.到注册表里搜索到如下键值就删除,直到清干净为止 C76B72F7-FABC-438A-BAD6-D84F59F8B1E4 BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D 3.删除如下目录的几个文件(由于这个广告插件比较流氓,所以最好到cmd.exe命令行下删除) C:\WINDOWS\Downloaded Program Files\socul.dll C:\WINDOWS\Downloaded Program Files\AdDemo.inf C:\WINDOWS\Downloaded Program Files\AdDemo.dll 4.最后到注册表的这个键值里进行删除 Software\Sohu R&D
标签:sogou,删除,彻底
