中毒症状:瑞星防火墙和杀毒软件symantec服务被删除,系统变慢,上不了网页等
昨天不知道是 学盟的哪位会员给我发了邮件 问我怎么杀。我在网上还没有找到相关的专杀工具,包括瑞星,卡巴等!
病毒存在地方:
1:开始—程序---启动---WNSO.lnk
2:c:\program files\common files\RGGZS
3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。 (这个不一定,看病毒的版本)
4:c:\windows(版本为XP)\system32\drivers目录下:font.sys,roreg.sys;md.sys;rwr2.sys,
5:c:\windows\system32目录下的reporter.dll,wmpkn.dll
6:win32服务应用程序。
7:注册表中有隐藏启动项,WNSO.lnk 的快捷方式,需要第三放软件才到看到(360),无法删除!
8:进程嵌套在winlogn中,无法结束进程。
删除步骤:
启动在安全模式下
1:使用360查看启动项,找出怀疑对象,
2:停止win32服务应用程序:运行gpedit.msc--找到win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。 (这步不做好象也 可以,没有测试过)
3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到font.sys,rd.sys,roreg.sys;md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除font.sys,roreg.sys;md.sys。
4:再打开360--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,font,RGGZS,WNSO,查找下一个至删除所有找到的整个项目。
6:删除开始—程序---启动--- WNSO.lnk。
7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。
8、删除C:\WINDOWS\system32\db8332文件夹。
补充:这是由软告工作室开发的一款病毒,所属鸿图软件公司。最近流行开不久,目前没有专杀工具!
