下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 5226|回复: 0
打印 上一主题 下一主题

WNSO.EXE软告工作室的恶意程序清除办法

[复制链接]
  • TA的每日心情
    奋斗
    11 小时前
  • 签到天数: 2385 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2007-1-25 13:50:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    方法一:

    最近出现一种恶意软件“软告工作室”,是包括驱动和系统服务的流氓软件,中毒会关闭主流杀软,会从网上下载木马病毒。市面的主要查杀流氓软件的工具如卡卡助手,360安全卫士,超级兔子(都是最新的病毒特征库)都不能查杀,无奈之举,只能自己试试手动删除。以下是手动删除中,总结的部分操作流程,如有遗漏,请跟帖告诉我,谢谢!

    工具:sreng2.0。

    中毒症状:瑞星防火墙和杀毒软件symantec服务被删除,系统变慢,上不了网页等

    大家需要注意几个地方:
    1:开始—程序---启动---WNSO.lnk
    2:c:\program files\common files\RGGZS
    3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。
    4:c:\winnt(版本为2000)\system32\drivers目录下:font.sys,rd.sys,roreg.sys;md.sys(另外有bkexxg29.sys和hhfrwr2.sys,不知道是不是其驱动,如清楚,请告知)
    5:c:\winnt\system32目录下的reporter.dll,wmpkn.dll
    6:win32服务应用程序。

    删除步骤:
    启动在安全模式下
    1:打开sreng2.0--启动项目--注册表,把不必要的启动删除,记住正常的WinlogonNotify的项目
    2:停止win32服务应用程序:打开sreng2.0--启动项目--服务--win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。
    3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到font.sys,rd.sys,roreg.sys;md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除font.sys,rd.sys,roreg.sys;md.sys。
    4:再打开sreng2.0--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
    5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,查找下一个至删除所有找到的整个项目。
    6:删除开始—程序---启动--- WNSO.lnk。
    7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。

    THE END.

    方法二:

    wnso.exe 万能搜索流氓软件的清除杀毒。

    使用工具:ICEWORD2.0,unlocker
    兵刃 ICEWORD2.0下载地址 http://www.20888.net/Soft/bdzs/200612/33.html
    unlocker下载地址 http://www.20888.net/Soft/
    操作地点:正常状态(不想进安全模式)
    方法:
    1、在注册表中删除相关项目,搜索wnso,rggzs,front,roreg,选项,front的删除时注意一下,有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。
    我删除的键值如下:
    HKLM/software/sepcompu (全部删除)
    HKLM/System/currentcontrolset/services/front
    HKLM/System/currentcontrolset/services/roreg
    HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front
    HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg
    再用注册表查询的方式查询下wnso,找到后删除。

    2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除,用unlocker和系统解锁后删除。

    3、删除c:\document and setting\all user\application data\下startup目录,不能删除用unlocker解锁后删除。

    4、删除c:\document and setting\administrator\templates\下有个目录,里面有a.dll,b.exe,c.dll,d.dll的目录,不能删除可以禁止掉rundll32.exe进程,或是用unlocker解锁,然后删除

    5、删除c:\program files\common file\rggzs目录,开了unlocker之后,可解锁删除

    6、删除开始中的wnso.lnk.

    7.在注册表中再查找一次wnso,删除后搞定
    重启此恶意软件终于搞定了!wnso.exe手工清除

    方法三:

      最近出现一种恶意软件“软告工作室”,是包括驱动和系统服务的流氓软件。症状为msconfig启动项多了一个MNSO.exe,出现C:\Program Files\Common Files\RGGZS目录,中毒会关闭主流杀软,会从网上下载木马病毒。市面的主要查杀流氓软件的工具如卡卡助手,360安全卫士,超级兔子(都是最新的病毒特征库)都不能查杀,无奈之举,只能自己试试手动删除。

      但是按照网上发布的很多方法是先改Common Files文件名,再删除RGGZS,但我试了不能删除。现按照自己的实践删除操作,归结方法如下:

      右击我的电脑,选“属性”-“硬件”-“设备管理器”,在上面“查看”菜单栏选“显示隐藏的设备”。在出现的“非即插即用驱动程序”里面停用front和roreg,然后重新启动电脑,进入安全模式,缷载这两个东西,然后删除下面的文件:

    C:\Program Files\Common Files\RGGZS目录
    C:\DOCUME~1\ADMINI~1\TEMPLA~1\c408187目录(不同电脑不一样),该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。
    C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk
    C:\WINDOWS\system32\drivers\front.sys
    C:\WINDOWS\system32\drivers\roreg.sys
    C:\WINDOWS\system32\WNSO.EXE
    开始-运行-Regedit(注册表),分别搜索 wnso,rg.exe,wsomain.exe,roreg,front找到后删除。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表