修改boot.ini
上班三月,又做毕业设
0
2007/09/10 
21:56 
610
使用工具:ICEWORD2.0,unlocker
操作地点:正常状态(不想进安全模式)
方法:1、在注册表中删除相关项目,搜索wnso,rggzs,front,roreg,选项,front的删除时注意一下,有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。
我删除的键值如下:HKLM/software/sepcompu (全部删除)
HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg
再用注册表查询的方式查询下wnso,找到后删除。
2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除,用unlocker和系统解锁后删除。
3、删除c:\document and setting\all user\application data\下startup目录,不能删除用unlocker解锁后删除。
4、删除c:\document and setting\administrator\templates\下有个目录,里面有a.dll,b.exe,c.dll,d.dll的目录,不能删除可以禁止掉rundll32.exe进程,或是用unlocker解锁,然后删除
5、删除c:\program files\common file\rggzs目录,开了unlocker之后,可解锁删除
6\、删除开始中的wnso.lnk.
7\在注册表中再查找一次wnso,删除后搞定
重启此恶意软件终于搞定了。
*******************************************************************************
再来一种方法:
病毒存在地方:
1:开始—程序---启动---WNSO.lnk
2:c:\program files\common files\RGGZS
3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。 (这个不一定,看病毒的版本)
4:c:\windows(版本为XP)\system32\drivers目录下:font.sys,roreg.sys;md.sys;rwr2.sys,
5:c:\windows\system32目录下的reporter.dll,wmpkn.dll
6:win32服务应用程序。
7:注册表中有隐藏启动项,WNSO.lnk 的快捷方式,需要第三放软件才到看到(360),无法删除!
8:进程嵌套在winlogn中,无法结束进程。
删除步骤:
启动在安全模式下
1:使用360查看启动项,找出怀疑对象,
2:停止win32服务应用程序:运行gpedit.msc--找到win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。 (这步不做好象也 可以,没有测试过)
3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到font.sys,rd.sys,roreg.sys;md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除font.sys,roreg.sys;md.sys。
4:再打开360--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,font,RGGZS,WNSO,查找下一个至删除所有找到的整个项目。
6:删除开始—程序---启动--- WNSO.lnk。
7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。
8、删除C:\WINDOWS\system32\db8332文件夹。
补充:这是由软告工作室开发的一款病毒,所属鸿图软件公司。最近流行开不久,目前没有专杀工具
操作地点:正常状态(不想进安全模式)
方法:1、在注册表中删除相关项目,搜索wnso,rggzs,front,roreg,选项,front的删除时注意一下,有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。
我删除的键值如下:HKLM/software/sepcompu (全部删除)
HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg
再用注册表查询的方式查询下wnso,找到后删除。
2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除,用unlocker和系统解锁后删除。
3、删除c:\document and setting\all user\application data\下startup目录,不能删除用unlocker解锁后删除。
4、删除c:\document and setting\administrator\templates\下有个目录,里面有a.dll,b.exe,c.dll,d.dll的目录,不能删除可以禁止掉rundll32.exe进程,或是用unlocker解锁,然后删除
5、删除c:\program files\common file\rggzs目录,开了unlocker之后,可解锁删除
6\、删除开始中的wnso.lnk.
7\在注册表中再查找一次wnso,删除后搞定
重启此恶意软件终于搞定了。
*******************************************************************************
再来一种方法:
病毒存在地方:
1:开始—程序---启动---WNSO.lnk
2:c:\program files\common files\RGGZS
3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。 (这个不一定,看病毒的版本)
4:c:\windows(版本为XP)\system32\drivers目录下:font.sys,roreg.sys;md.sys;rwr2.sys,
5:c:\windows\system32目录下的reporter.dll,wmpkn.dll
6:win32服务应用程序。
7:注册表中有隐藏启动项,WNSO.lnk 的快捷方式,需要第三放软件才到看到(360),无法删除!
8:进程嵌套在winlogn中,无法结束进程。
删除步骤:
启动在安全模式下
1:使用360查看启动项,找出怀疑对象,
2:停止win32服务应用程序:运行gpedit.msc--找到win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。 (这步不做好象也 可以,没有测试过)
3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到font.sys,rd.sys,roreg.sys;md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除font.sys,roreg.sys;md.sys。
4:再打开360--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,font,RGGZS,WNSO,查找下一个至删除所有找到的整个项目。
6:删除开始—程序---启动--- WNSO.lnk。
7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。
8、删除C:\WINDOWS\system32\db8332文件夹。
补充:这是由软告工作室开发的一款病毒,所属鸿图软件公司。最近流行开不久,目前没有专杀工具
收藏本文到网摘:
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,left=50,top=50status=no,resizable=yes'));keyit.focus();){kind=logo}
