神马文学网清除“软告工作室”
来源:百度文库 编辑:神马文学网 时间:2024/04/29 02:15:32
清除“软告工作室”
--------------------------------------------------------------------------------
听说“软告工作室”很厉害,今天,有幸见到它。
现象:系统变慢,上不了网页。
分析如下:
1, 在 “开始—程序---启动”中有WNSO的快捷方式;
2,在c:\program files\common files\下有,RGGZS目录,手动删除,自动恢复;
3,在c:\windows\system32\driversh目录下,有FRONT.sys roreg.sys(其他文件没看到,可能是我杀毒时,已经清除了),他们保护着RGGZS文件夹和”启动“里的快捷方式;
4,注册表项控制着保护文件的运行 ,下面两项:
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
5,瑞星能杀掉,RGGZS的文件,不过,杀完后,再次杀毒,还有病毒。
通过分析,可以知道最关键的就是清除保护文件,然后再清除其他文件,及相关设置项。
解决方案:
1,首先用最新版的杀毒软件,杀掉系统中的其他病毒体,估计也能查到这个病毒,这么做是保证系统中病毒最少。
2,清除掉系统中的垃圾文件及恶意软件(网上工具很多)
3,由于软告的特点,要先清除保护文件,如果你的系统分区是FAT32,就是用启动光盘到DOS下,清除FRONT.SYS和ROREG.SYS,如果NTFS的话,就用安装光盘启动到控制台模式下,清除这两个文件。注意清除时,连RGGZS也一并删除,以绝后患。
4,启动到安全模式下,删除掉注册表项
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
让系统无法加载保护文件运行。
5,重启到安全模式下,删除快捷方式 WNSO。 至此,病毒的主体,清除完成。
以下注册表项删除
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]
--------------------------------------------------------------------------------
听说“软告工作室”很厉害,今天,有幸见到它。
现象:系统变慢,上不了网页。
分析如下:
1, 在 “开始—程序---启动”中有WNSO的快捷方式;
2,在c:\program files\common files\下有,RGGZS目录,手动删除,自动恢复;
3,在c:\windows\system32\driversh目录下,有FRONT.sys roreg.sys(其他文件没看到,可能是我杀毒时,已经清除了),他们保护着RGGZS文件夹和”启动“里的快捷方式;
4,注册表项控制着保护文件的运行 ,下面两项:
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
5,瑞星能杀掉,RGGZS的文件,不过,杀完后,再次杀毒,还有病毒。
通过分析,可以知道最关键的就是清除保护文件,然后再清除其他文件,及相关设置项。
解决方案:
1,首先用最新版的杀毒软件,杀掉系统中的其他病毒体,估计也能查到这个病毒,这么做是保证系统中病毒最少。
2,清除掉系统中的垃圾文件及恶意软件(网上工具很多)
3,由于软告的特点,要先清除保护文件,如果你的系统分区是FAT32,就是用启动光盘到DOS下,清除FRONT.SYS和ROREG.SYS,如果NTFS的话,就用安装光盘启动到控制台模式下,清除这两个文件。注意清除时,连RGGZS也一并删除,以绝后患。
4,启动到安全模式下,删除掉注册表项
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
让系统无法加载保护文件运行。
5,重启到安全模式下,删除快捷方式 WNSO。 至此,病毒的主体,清除完成。
以下注册表项删除
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]