0
2007/09/10 
21:56 
684
使用工具:ICEWORD2.0,unlocker
操作地点:正常状态(不想进安全模式)
方法:1、在注册表中删除相关项目,搜索wnso,rggzs,front,roreg,选项,front的删除时注意一下,有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。
我删除的键值如下:HKLM/software/sepcompu (全部删除)
HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg
再用注册表查询的方式查询下wnso,找到后删除。
2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除,用unlocker和系统解锁后删除。
3、删除c:\document and setting\all user\application data\下startup目录,不能删除用unlocker解锁后删除。
4、删除c:\document and setting\administrator\templates\下有个目录,里面有a.dll,b.exe,c.dll,d.dll的目录,不能删除可以禁止掉rundll32.exe进程,或是用unlocker解锁,然后删除
5、删除c:\program files\common file\rggzs目录,开了unlocker之后,可解锁删除
6\、删除开始中的wnso.lnk.
7\在注册表中再查找一次wnso,删除后搞定
重启此恶意软件终于搞定了。
*******************************************************************************
再来一种方法:
操作地点:正常状态(不想进安全模式)
方法:1、在注册表中删除相关项目,搜索wnso,rggzs,front,roreg,选项,front的删除时注意一下,有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。
我删除的键值如下:HKLM/software/sepcompu (全部删除)
HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg
再用注册表查询的方式查询下wnso,找到后删除。
2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除,用unlocker和系统解锁后删除。
3、删除c:\document and setting\all user\application data\下startup目录,不能删除用unlocker解锁后删除。
4、删除c:\document and setting\administrator\templates\下有个目录,里面有a.dll,b.exe,c.dll,d.dll的目录,不能删除可以禁止掉rundll32.exe进程,或是用unlocker解锁,然后删除
5、删除c:\program files\common file\rggzs目录,开了unlocker之后,可解锁删除
6\、删除开始中的wnso.lnk.
7\在注册表中再查找一次wnso,删除后搞定
重启此恶意软件终于搞定了。
*******************************************************************************
再来一种方法:
一个非常不好的消息要告诉大家,利用微软动画光标漏洞的新蠕虫已经现身。我们收到了相关的样本,通过分析,我们已经确认这是一个复合型蠕虫,含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染 html等文件并向这些文件里添加含有最新漏洞网址的功能。由于危险程度非常高,CISRT Lab决定再次发布中度风险警报,提醒广大网友提高警惕!
同时我们建议广大网友、企业网管对以下两个域名进行屏蔽:
2007ip.com
microfsot.com
下面具体介绍下这个“艾妮”(ANI)蠕虫病毒。
病毒名:艾妮(别名,麦英、ANI蠕虫)
英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky
技术分析:
1、释放病毒文件到如下路径:
%SYSTEM%\sysload3.exe
2、修改注册表,添加如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
同时我们建议广大网友、企业网管对以下两个域名进行屏蔽:
2007ip.com
microfsot.com
下面具体介绍下这个“艾妮”(ANI)蠕虫病毒。
病毒名:艾妮(别名,麦英、ANI蠕虫)
英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky
技术分析:
1、释放病毒文件到如下路径:
%SYSTEM%\sysload3.exe
2、修改注册表,添加如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
