首先我用任务管理器查看未发现可疑进程,修改防火墙规则之后,江民黑客防火墙总弹出警告,rundll32.exe 需要访问网络,不管它,先禁止了再说。后来根据这个rundll32.exe的启动参数,发现这个rundll32.exe 居然在启动C:\WINDOWS\Downloaded Program Files\AdDemo.dll这个插件,打开这个dll之后我果然发现了很多关于搜狗的信息,所以我就再也不用怀疑了,就是搜狗大流氓在干坏事,下面列出了这个dll里的一些关于搜狗的字符串:
ts.cpc.sogou.com
RUNDLL32
Software\Sohu R&D\AD
Software\Sohu R&D\AD\Temp
Software\Sohu R&D\AD\ErrorUrl
CLSID\{0CA51D02-7739-43EA-8D9A-1E8AD4327B03}\InprocServer32
Software\Sohu R&D\Download
然后我又在那个目录下发现了一个叫AdDemo.inf的文件,这个可大大出乎我的意料,因为如果搜狗要是以这种cab包类型的方式给我们用户安装病毒的话,以后如果我们删除不干净,只要去访问那个带有cab包的网址就可能被重新安装这个插件,搜狗太恶心了,居然给用户机器留后门。愤怒之余我感觉我有必要把搜狗的流氓行为公诸于众,使更多的用户知道这个问题的重要性,不要做搜狗的肉鸡。下面是我在删除了搜狗过程中总结的经验,希望对其他人能够有所帮助。
删除方法:
一、搜狗地址栏直通车,弹出广告、强制安装、无法彻底删除,下面提供一个方法彻底删除搜狗地址栏直通车
1.首先执行添加/删除里的搜狗地址栏直通车卸载程序,进行删除
2.到注册表搜索到如下两个键值就删除,直到清干净为止
BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D
08B13A8E-EB71-4421-B417-4EC0995D5BFC
3.到如下目录把如下文件删除
C:\WINDOWS\SYSTEM32\SODAHK.DLL
4.到注册表的这个键值修改为原来的值
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的AppInit_DLLs修改为advapi32.dll
5.删掉这个键值下的所有垃圾
SOFTWARE\Sohu
二、搜狗直通车,弹出广告、强制安装、浏览器劫持(修改默认搜索结果)、无法彻底删除,用下列方法可以删除
1.首先执行添加/删除里的搜狗直通车卸载程序,进行删除
2.到注册表搜索到如下几个键值就删除,直到清干净为止
0CA51D02-7739-43EA-8D9A-1E8AD4327B03
DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C
08B13A8E-EB71-4421-B417-4EC0995D5BFC
982CB676-38F0-4D9A-BB72-D9371ABE876E
8755CE6E-0BF7-4441-8751-FB728941B0B4
8AB8528F-AC8B-416D-9B84-92D97729C195
3.到如下目录删除所有文件
c:\Program Files\P4P
4.到如下键值删除所有的子键值
SOFTWARE\Sohu
三、搜狗广告和地址搜索软件,弹出广告、强制安装、浏览器劫持(修改默认搜索结果)、无法彻底删除,用如下方法也可以删除
1.首先关闭所有ie
2.到注册表里搜索到如下键值就删除,直到清干净为止
C76B72F7-FABC-438A-BAD6-D84F59F8B1E4
BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D
3.删除如下目录的几个文件(由于这个广告插件比较流氓,所以最好到cmd.exe命令行下删除)
C:\WINDOWS\Downloaded Program Files\socul.dll
C:\WINDOWS\Downloaded Program Files\AdDemo.inf
C:\WINDOWS\Downloaded Program Files\AdDemo.dll
4.最后到注册表的这个键值里进行删除
Software\Sohu R&D
温馨提示:答案为网友推荐,仅供参考