C盘Roaming目录删了又自动生成变态超爆传奇.ico图标 彻底清除开机弹窗广告方法

删除文件后又出现，说明电脑里有捆绑推广程序或脚本驻留在后台，开机时自动往Roaming和桌面写文件。只删图标不治本，要按顺序切断启动源再删文件。

第一步 结束可疑后台进程

按Ctrl+Shift+Esc打开任务管理器，切到"详细信息"或"进程"，找名字含mir、legend、game或随机字母数字的无签名exe（如svchostx.exe、winupd.exe等非系统正常进程），右键结束任务树。若结束后立即重启说明还有服务驻留，先做完第二步再回来结束。

第二步 清理所有自启动入口

• 启动文件夹：Win+R输入shell:startup回车，删除里面所有快捷方式（尤其指向传奇或Temp目录的）。再输shell:common startup进公共启动文件夹同样清空。

- 注册表Run项：Win+R输入regedit，依次展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，右侧找含"传奇""mir""update"或数值指向AppData、Temp目录下exe的键值，右键删除。不确定的先导出备份再删。
- 任务计划程序：Win+R输入taskschd.msc，展开"任务计划程序库"，看触发器是"登录时/启动时"的可疑任务（常指向临时目录exe或vbs脚本），右键禁用再删除。
• 系统服务：Win+R输入services.msc，找描述空白、路径指向C:\Users\Administrator\AppData\Roaming或Temp的可疑服务，停止并改为"禁用"。

第三步 卸载捆绑程序并删残留文件

进控制面板→程序和功能，卸载名称像"游戏盒子""传奇登录器""加速器"的可疑软件。然后删残留：
• C:\Users\Administrator\AppData\Roaming 下搜"传奇""mir""legend"删整个文件夹

- C:\Users\Administrator\AppData\Local\Temp 全清空
• C:\ProgramData 下找无厂商的可疑目录删掉

• 桌面那个变态超爆传奇.lnk也删掉

若提示文件被占用无法删除，重启进安全模式（开机按F8或按住Shift点重启→疑难解答→启动设置）再执行删除操作。

第四步 全盘查杀与防复发

用火绒安全或360系统急救箱做全盘扫描，查杀广告木马和驱动级残留。顺带检查浏览器扩展，删掉陌生游戏弹窗插件，把被篡改的首页改回百度或空白页。

做完以上四步重启，开机就不会再跳变态超爆传奇.ico。以后下传奇登录器或各类破解工具一定取消勾选"推荐安装XX游戏/导航"，这类捆绑是主要感染源。