科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道软告工作室专杀

软告工作室专杀

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

首先用最新版的杀毒软件,杀掉系统中的其他病毒体,估计也能查到这个病毒,这么做是保证系统中病毒最少。清除掉系统中的垃圾文件及恶意软件(网上工具很多)。

作者:zdnet安全频道 来源:论坛整理 2008年6月13日

关键字: 专杀 软件广告室

  • 评论
  • 分享微博
  • 分享邮件
分析如下:
  1, 在    “开始—程序---启动”中有WNSO的快捷方式;
  2,在c:\program files\common files\下有,RGGZS目录,手动删除,自动恢复;
  3,在c:\windows\system32\driversh目录下,有FRONT.sys     roreg.sys(其他文件没看到,可能是我杀毒时,已经清除了),他们保护着RGGZS文件夹和”启动“里的快捷方式;
  4,注册表项控制着保护文件的运行 ,下面两项:
  (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
  (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
   5,瑞星能杀掉,RGGZS的文件,不过,杀完后,再次杀毒,还有病毒。
  通过分析,可以知道最关键的就是清除保护.文件,然后再清除其他文件,及相关设置项。
  解决方案:
  1,首先用最新版的杀毒软件,杀掉系统中的其他病毒体,估计也能查到这个病毒,这么做是保证系统中病毒最少。
  2,清除掉系统中的垃圾文件及恶意软件(网上工具很多)
  3,由于软告的特点,要先清除保护文件,如果你的系统分区是FAT32,就是用启动光盘到DOS下,清除FRONT.SYS和ROREG.SYS,如果NTFS的话,就用安装光盘启动到控制台模式下,清除这两个文件。注意清除时,连RGGZS也一并删除,以绝后患。
   4,启动到安全模式下,删除掉注册表项
      (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
      (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
  让系统无法加载保护文件运行。
  5,重启到安全模式下,删除快.捷方式    WNSO。 至此,病毒的主体,清除完成。

以下注册表项删除
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu] 


方法二:


最近出现一种恶意软件“软告工作室”,是包括.驱动和系统服务的流氓软件。症状为msconfig启动项多了一个MNSO.exe,出现C:\Program Files\Common Files\RGGZS目录,中毒会关闭主流杀软,会从网上下载木马病毒。市面的主要查杀流氓软件的工具如卡卡助手,360安全卫士,超级兔子(都是最新的病毒特征库)都不能.查杀,无奈之举,只能自己试试手动删除。

  但是按照网上发布的很多方法是先改Common Files文件名,再删除RGGZS,但我试了不能删除。现按照自己的实践删除操作,归结方法如下:

  右击我的电脑,选“属性”-“硬件”-“设备管理器”,在上面“查看”菜单栏选“显示隐藏的设备”。在出现的“非即插即用驱动程序”里面停用front和roreg,然后重新启动电脑,进入安全模式,缷载.这两个东西,然后删除下面的文件:

C:\Program Files\Common Files\RGGZS目录
C:\DOCUME~1\ADMINI~1\TEMPLA~1\c408187目录(不同电脑不一样),该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk
C:\WINDOWS\system32\drivers\front.sys
C:\WINDOWS\system32\drivers\roreg.sys
C:\WINDOWS\system32\WNSO.EXE 
开始-运行-Regedit(注册表),分别搜索 wnso,rg.exe,wsomain.exe,roreg,front找到后删除。 
我用了360.流氓软件清理助手,卡卡助手,等,全部清除不掉,最后windows清理助.手把它干掉了,不过要重新启动
推荐:http://www.arswp.com/ windows清理助手
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章