这个图标反复出现说明电脑里留有开机启动项或计划任务指向那个.ico文件或它的释放程序,单纯删文件没用,下次开机启动项重新运行释放程序又把图标写回桌面或Roaming目录。按下面顺序操作可彻底干掉:
一、先进安全模式删干净文件再处理启动项
正常模式下可能有进程守护文件不让删,先重启:
Win+R输入msconfig→引导→勾选安全引导(Minimal)→确定重启进安全模式。
进系统后打开C:\Users\Administrator\AppData\Roaming,找到"变态超爆传奇.ico"及同目录下可疑exe、dat、文件夹(通常名字带传奇/cq/legend/game类字样,大小几十KB到几MB的不明exe重点看),全选删除。
同时去桌面把同名.ico也删掉。
删完别急着重启回正常模式,先做第二步再退出安全模式。
二、清理开机自启项(最关键)
回到正常系统(msconfig取消安全引导重启):
•按Ctrl+Shift+Esc打开任务管理器→启动选项卡,看列表里有没有名称异常(乱码、纯数字、带legend/cq/game字样、发布者未知、禁用状态但你印象中没禁过反而被偷偷启用),右键禁用或右键→打开文件位置记下路径确认后删原程序再禁用。
-Win+R输入shell:startup回车,打开当前用户启动文件夹,里面若有.lnk快捷方式指向Roaming下不明exe或.ico,直接删。
•Win+R输入%programdata%\Microsoft\Windows\StartMenu\Programs\Startup回车,这是所有用户启动文件夹,同样删可疑lnk。
三、删计划任务(很多弹窗靠这个复活)
控制面板→管理工具→任务计划程序→任务计划程序库,逐条看:
触发器是"计算机启动时"或"用户登录时",操作指向C:\Users\Administrator\AppData\Roaming下某exe或powershell/vbs脚本,名称常是随机字母或伪装成WindowsUpdateCheck之类,右键删除。
找不到可点右侧"显示所有正在运行的任务"对照排查。
四、检查注册表Run键值
Win+R输入regedit回车,依次展开:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右侧数值数据指向AppData\Roaming下不明exe或.ico的,右键删除该键值(别删系统项,只看数据路径异常的)。
五、浏览器主页和快捷方式劫持顺带查
桌面及开始菜单里Chrome/Edge/IE快捷方式右键属性→目标,末尾被跟了网址的删掉多余部分只留原程序路径。浏览器设置里查首页和新标签页有没有被绑传奇类导航页,改回about:blank或百度。
做完以上四步再重启,开机不会再生成那个.ico也不会弹窗。如果还出现说明还有残留exe没删干净,进安全模式全盘搜Roaming及ProgramData目录下当天创建的不明exe删掉再重复清理启动项即可。建议顺手跑一下火绒或360系统急救箱扫一遍流氓软件,防止同类推广再次写入启动项。
一、先进安全模式删干净文件再处理启动项
正常模式下可能有进程守护文件不让删,先重启:
Win+R输入msconfig→引导→勾选安全引导(Minimal)→确定重启进安全模式。
进系统后打开C:\Users\Administrator\AppData\Roaming,找到"变态超爆传奇.ico"及同目录下可疑exe、dat、文件夹(通常名字带传奇/cq/legend/game类字样,大小几十KB到几MB的不明exe重点看),全选删除。
同时去桌面把同名.ico也删掉。
删完别急着重启回正常模式,先做第二步再退出安全模式。
二、清理开机自启项(最关键)
回到正常系统(msconfig取消安全引导重启):
•按Ctrl+Shift+Esc打开任务管理器→启动选项卡,看列表里有没有名称异常(乱码、纯数字、带legend/cq/game字样、发布者未知、禁用状态但你印象中没禁过反而被偷偷启用),右键禁用或右键→打开文件位置记下路径确认后删原程序再禁用。
-Win+R输入shell:startup回车,打开当前用户启动文件夹,里面若有.lnk快捷方式指向Roaming下不明exe或.ico,直接删。
•Win+R输入%programdata%\Microsoft\Windows\StartMenu\Programs\Startup回车,这是所有用户启动文件夹,同样删可疑lnk。
三、删计划任务(很多弹窗靠这个复活)
控制面板→管理工具→任务计划程序→任务计划程序库,逐条看:
触发器是"计算机启动时"或"用户登录时",操作指向C:\Users\Administrator\AppData\Roaming下某exe或powershell/vbs脚本,名称常是随机字母或伪装成WindowsUpdateCheck之类,右键删除。
找不到可点右侧"显示所有正在运行的任务"对照排查。
四、检查注册表Run键值
Win+R输入regedit回车,依次展开:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右侧数值数据指向AppData\Roaming下不明exe或.ico的,右键删除该键值(别删系统项,只看数据路径异常的)。
五、浏览器主页和快捷方式劫持顺带查
桌面及开始菜单里Chrome/Edge/IE快捷方式右键属性→目标,末尾被跟了网址的删掉多余部分只留原程序路径。浏览器设置里查首页和新标签页有没有被绑传奇类导航页,改回about:blank或百度。
做完以上四步再重启,开机不会再生成那个.ico也不会弹窗。如果还出现说明还有残留exe没删干净,进安全模式全盘搜Roaming及ProgramData目录下当天创建的不明exe删掉再重复清理启动项即可。建议顺手跑一下火绒或360系统急救箱扫一遍流氓软件,防止同类推广再次写入启动项。