深入剖析　MY123流氓软件四种清除方法

用Unlocker的确是把文件删除了，但是没有办法不启动其它进程或者线程啊，即使马上选择关机，它也会新建线程，这个时候它也马上可能恢复了。

也不知怎么了，突然灵光一线，想到一个绝招，断电法！就是：删除之后，马上不做任何操作，直接按机器电源键重启！经实验是成功的。

清除之前，我们先要停止那三个system中的线程，那个会不停地自动检测，打开procexp，然后在system上点右键---属性---线程， 点一下Start Address，这样可以按字母排序，找到刚才我们看到的驱动，三个连续在一起。点一下线程，然后点那个“Suspend“按钮，将这个线程暂停。(它做了自我保护，杀不掉的，只能暂停)。

确保停止线程之后，这个按钮都变成“Resume(暂停)”，三个线程全部暂停之后，打开c:\windows\system32\drivers目录，右键点那个.sys驱动---unlocker。

第一次先unlock那个System的句柄占用。第二次再unlocker，这个时候就会出来一个对话框，这时注意了：

一手将鼠标移动OK对话框中，一手找到机器的RESET键(请确保这个键有效，直接断电对机器有损伤)，在按下鼠标之后，一看到那个删除OK的提示之后，马上按下RESET键，直接重启机器(如果是笔记本，就先把电池拿了，直接断电)。这个办法讲究眼急手快，如果无效再试一次。

按我的经验，两秒之后按下RESET键都是有效的(杀这个东西真不容易，再次诅咒一个写出这么变态驱动的人来)。

4、删除.dll

当失去驱动保护之后，这个DLL也就肉鸡了，要杀要剐全凭你喜欢了。你放在那里不管也无所谓。它隐藏得也很深，没有在注册表的启动组里面表现出来。360出的专杀，只能杀MY123的前两代，对于这个第三代，目前为止还不能清除，只能清除.dll。所以有时开机之后会显示加载DLL失败：

这个是由那个该死的驱动去加载的，所以找注册表是没有用的。

重启之后，再重新设一下IE的主页，应该就可以了。至于那个Seriver的值，删不删都无所谓了。

四、DOS大法

DOS大法一直是我们杀这类驱动流氓的最后一招，无论多么强的驱动保护，只要用了它，手到擒来，但是由于要安装另外一个系统或者操作DOS，对于新手来说，有一定难度，所以一般来说，都不是我推荐的。这里建议去下载一个叫vfloopy的虚拟软驱软件，安装之后，系统重启的时候就多了一项，启动到虚拟软驱，这样可以直去直接删除这个驱动文件。

上面这个累了一身汗的办法，不知多久就地失效，但思路是一样的，只要找到驱动文件，下面就是如何删除的问题。写飘雪的时候就想着写这个办法了，但是觉得麻烦，不愿意再启一个操作系统。

你也可以用深山红叶这类系统急救光盘或者另外一个Windows去删除那个驱动文件，具体的操作流程我就不多费口舌了。

五、专杀工具

当然，上面这些操作还是比较繁琐，对于普通用户来说难度太高了。目前市面已经可以清除MY123的工具有：

360专杀工具：目前可以清除1、2、3代。

Windows清理助手：目前可以清除1、2、3代，效果不错。