如何删除quartz32.dll和msplus.dll文件

问题：

在正常情况下，或用一些搜索引擎搜索某关键词时，频繁弹出以roogoo.com为指向的广告窗口，目前杀软是能报警的，但在处理上，却存在问题，它采用驱动隐藏保护，找不到源头，无法清除，即使隔离或删除了，可能会出现上不了网的现象。

来历及工作方式：来历很简单，就是那个roogoo.com，自称“通用搜索”，其工作方式和Yayad等其他流氓几乎一样，通过各种流氓方式先给同学们安装一个客户端，然后再向一些企业兜售，并通过客户端弹出付费企业的广告。

分析：

由于这个东东不断升级，所释放的东西也不尽相同，以下分析主要是参照Symantec和毒霸

1.生成下列文件其中的某一个到系统目录 【先别动，处理参照下面的解决办法】

%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll

%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll

在hijackthis日志里的体现位置为O10项，比如

O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll

2.创建注册表信息 【进入注册表删除相关信息】

HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo

3.在注册表里创建键值    【进入注册表删除下面列出的右窗所创建信息】

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

右窗创建 "FROMID" = "roogoo"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

右窗创建 "2102" = "0"

4.释放WS2IFSL.SYS文件创建系统驱动服务，以及在注册表里体现

【进入注册表，删除相关信息，并删除病毒文件，如果LEGACY_WS2IFSL
这一项删除不动的话，参考注册表残余信息的处理】

c:\windows\System32\drivers\ws2ifsl.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

解决办法：上面分析中的“1”，先不要动

1.上面分析中的“1”，先不要动
2.依据上面分析中2、3、4条中的粗体字部分，进入注册表删除相关信息，并删除病毒文件
3.再根据下面这篇日志的来修复分析中的“1”

整理关于hjackthis日志中O10项的修复相关