尝试多种方法均无法解决，已经将可能有害的程序删除，但故障仍无法解决。

远程连接用户桌面发现用户注册表被修改（尚不知道是什么程序改的）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{24B27036-254D-B2BD-220D-55DB257302DD}
@="MSXML60"

解释下：

这里是通过[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop创建桌面图标NameSpace，注意注册键名为{24B27036-254D-B2BD-220D-55DB257302DD}

然后再创建一个clsid 关联到{24B27036-254D-B2BD-220D-55DB257302DD}

在
[HKEY_CLASSES_ROOT\CLSID\{24B27036-254D-B2BD-220D-55DB257302DD}\Shell\Open\Command]
@="C:   \\Program Files   \\Internet Explorer \\iexplore.exe %1 h%t%t%p%:%/%/%w%w%w%.%y%y%12%10%10%10%.

因为iexplore.exe后跟的并非明文网址，用户通过注册表搜索恶意网址相关域名不会有结果。

删除这两项修改，用户桌面多出来的IE图标被删除，此问题解决。