今天中了这个“软告工作室”(万能搜索--WNSO),删也删不掉,瑞星卡卡也报无流氓软件,上网找了许久,找到个“windows清理助手“,还不错,一下清除干净了。下面是我在网上查到的资料,也许对大家有一点帮助:
最近出现一种恶意软件“软告工作室”,是包括驱动和系统服务的流氓软件,中毒会关闭主流杀软,会从网上下载木马病毒。市面的主要查杀流氓软件的工具如卡卡助手,360安全卫士,超级兔子(都是最新的病毒特征库)都不能查杀,无奈之举,只能自己试试手动删除。以下是手动删除中,总结的部分操作流程,如有遗漏,请跟帖告诉我,谢谢!
工具:sreng2.0。
中毒症状:瑞星防火墙和杀毒软件symantec服务被删除,系统变慢,上不了网页等
大家需要注意几个地方:
1:开始—程序---启动---WNSO.lnk
2:c:\program files\common files\RGGZS
3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。
4:c:\winnt(版本为2000)\system32\drivers目录下:font.sys,rd.sys,roreg.sys;md.sys(另外有bkexxg29.sys和hhfrwr2.sys,不知道是不是其驱动,如清楚,请告知)
5:c:\winnt\system32目录下的reporter.dll,wmpkn.dll
6:win32服务应用程序。
删除步骤:
启动在安全模式下
1:打开sreng2.0--启动项目--注册表,把不必要的启动删除,记住正常的WinlogonNotify的项目
2:停止win32服务应用程序:打开sreng2.0--启动项目--服务--win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。
3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入 “devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到font.sys,rd.sys,roreg.sys; md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除 font.sys,rd.sys,roreg.sys;md.sys。
4:再打开sreng2.0--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,查找下一个至删除所有找到的整个项目。
6:删除开始—程序---启动--- WNSO.lnk。
7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。
我是用下面的方法才清除干净的:
“软告工作室”(万能搜索--WNSO)确是近期最强悍的病毒(流氓软件),偶曾试过手工查杀,但由于水平有限,驱动没有删除干净,用了7、8种强制删除工具也无法删除病毒文件。最后用windows清理助手才解决问题。windows清理助手是目前最强大的流氓软件清除工具,好象是由一些高手自发组织起来开发的。绿色版本,无需安装。我一直很奇怪,为什么这么强大的软件却没有获得与其相称的知名度。其实,前一段时间为害广泛的“飞雪”,还有个什么就是 windows清理助手最先提供查杀的,而且清理得彻底、干净。以下是其下载主页:http://www.arswp.com/
