Windows LiveWindows Live
 
 
YUNBO's profileYunbo ShiPhotosBlogListsMore Tools Help

Blog
    October 27

    如何卸载桌面美化秀(不用重装系统、手动 )

    此文是教你如何不用重装系统,不用借助杀毒软件,不用借助360卫士或windows清理助手(这两软件拿桌面美化秀也没什么用),彻底卸载该死的桌面美化秀。本来不想写的,但想到很多人可能也被这个该死的插件折磨着,还是写下吧。

    事情要从中国的软件类下载网站说起,经常一个软件对应十多个下载连接,页面布局是故意弄得混乱无比,广告链接和真正可以下载的软件的链接夹杂在一起,难以辩分。于是10月的某天,我还是中招了,下载了个该死的桌面美化秀:一个类似苹果操作系统的界面。后来才发现桌面美化秀是当前恶意插件中的恶老大,恶意木马的恶先锋。把它搞掉还是相当有成就感的。

    其桌面美化秀恶毒罪状如下:
    1. 桌面正中央顶部出现一个银色工具栏,图标可以删除,但工具栏难以删除,极其影响美观;
    2. 桌面上出现两个IE图标(不知道哪个是真,哪个是假),主页被强行窜改成20多个随机的链接(自己改手设置链接无效);
    3. 控制面板里添加和卸载程序根本找不到这个程序,无法卸载;
    4. 360 IE修复,windows清理助手也无法找到这个程序,无法卸载;
    5. 源程序文件(位置C: program files/procedure)无法删除,即使借助文件粉碎机或在安全模式下删除该文件,IE主页依然被窜改。360高级选项只能阻止每次主页的窜改,不能解决根本问题;
    6. 强行窜改windows/system32下的dll文件,影响系统其它进程;
    结论:目前市场上没有一个软件能彻底清除这个恶意插件/木马,除了重装系统没有其他办法。

    网上有很多种解决方法,都说用360的IE修复,文件粉碎功能或windows优化助手清理注册表,试了以后才发现都不灵,大家都是人云亦云。最后借鉴试用了其他手动卸载方法,终于成功彻底卸掉了这个流氓软件,一下是详细方法总结(xp系统):

    第一步:按F8键开机或重启进入安全模式,在安全模式下操作;(如果没试过的,现在可以试下,呵呵。超级简单。)

    第二步:找到流氓软件源文件所在文件夹procedure,并彻底删除这个文件夹;
    通常这个文件夹位于C://Program Files/procedure, 打开文件这个文件夹后可以看到几个苹果图标,里面有两个个jiemac.exe和mactools.exe文件。但这个流氓软件也有可能复制这个文件夹到D E F盘。所以最好用查找文件夹procedure,找到所有文件夹。

    第三步:搜索并删除流氓软件生成的文件(搜索文件时采用高级模式,显示隐藏文件和文件夹);
    1. gcmcy.dll
    这个文件通常位于C:/Administrator/Application Data/Microsoft/AddIns里面。此文件非系统自带文件,可以100%删除,建议AddIns文件夹一并删掉。

    2. ycmcg.dll
    这个文件通常位于C:/Administrator/Application Data/Microsoft/MMC里面。此文件非系统自带文件,可以100%删除,建议MMC文件夹一并删掉。

    3. msvcp71.dll和msvcr71.dll
    这两个文件在C:/Windows/System32里面。这两个文件本是系统自带文件,其中内容被流氓软件所窜改或者说这个就是流氓软件生成的,只是名字与系统文件相同而已。如果不删除这两个文件,每次电脑重启,dll文件会将软件源文件重新放到C://Program Files/procedure里面。如果删除这两个文件,可能会对系统有影响,不如adobe reader运行就需要msvcp71.dll这个文件。经过亲身实验,这两个dll文件可以放心删除,删除后重新安装adobe reader就行了。在安装adobe reader过程中,系统会自动生成匹配的dll文件。

    4. halgdsl.skv和tasxelv.exe
    这两个文件通常在C盘,有没有这两个文件因人而异。有的话,也一并删除掉。

    第四步:清理临时文件和无用链接
    网上有一键清理垃圾文件的txt文件,非常简单。IE的链接在
    C:/Administrator/Application Data/Microsoft/Internet Explorer/quick launch

    第五步:清理注册表
    开始菜单->运行->Regedit,会掉出注册表窗口。按Ctl+F依次搜索"jiemac","mactools","gcmcy","ycmcg", 凡涉及这四项的注册表项都删除掉;

    第六步:清空回收站,重启电脑

    第八步:删除桌面上的两个IE图标,并在C:\Program Files\Internet Explorer找到iexplorer.exe, 重新拖到桌面上去。

    第九步:重新安装adobe reader(目的是恢复安全模式下删掉的系统dll文件)。

    第十步:打开IE看看是否IE主页依然被窜改,如果没有的话,恭喜你,成功清除这个流氓软件了。如果没有,欢迎留言。


    10:21 AM | Blog it

    Comments (4)

    Please wait...
    Sorry, the comment you entered is too long. Please shorten it.
    You didn't enter anything. Please try again.
    Sorry, we can't add your comment right now. Please try again later.
    To add a comment, you need permission from your parent. Ask for permission
    Your parent has turned off comments.
    Sorry, we can't delete your comment right now. Please try again later.
    You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
    Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
    Complete the security check below to finish leaving your comment.
    The characters you type in the security check must match the characters in the picture or audio.

    To add a comment, sign in with your Windows Live ID (if you use Hotmail, Messenger, or Xbox LIVE, you have a Windows Live ID). Sign in


    Don't have a Windows Live ID? Sign up
    YUNBO SHIwrote:
    没什么恢复操作,删完病毒,清理注册表后,重装adobe reader就好了。
    Nov. 3
    yiwrote:
    高手,后面的恢复我不知道怎么操作?请指教啊!谢谢了!急!!!
    Nov. 1
    每天都刷牙wrote:
    大侠,我中招了,基本上跟你说的现象一样。
    马上要照你的帖子去试试,顶一个先。
    Oct. 29
    ZHU_KUN 朱堃wrote:
    en, up一个,没中过招
    Oct. 29

    Trackbacks

    The trackback URL for this entry is:
    http://smokeymoringtrain.spaces.live.com/blog/cns!FFDEFBE784DEB31!2049.trak
    Weblogs that reference this entry
    • None