听说“软告工作室”很厉害,今天,有幸见到它。
          现象:系统变慢,上不了网页。
 
          分析如下:
                    1, 在  “开始—程序---启动”中有WNSO的快捷方式
                    2,在c:\program files\common files\下有,RGGZS目录,手动删除,自动恢复
                    3,在c:\windows\system32\driversh目录下,有FRONT.sys   roreg.sys(其他文件没看到,可能是我杀毒时,已经清除了),他们保护着RGGZS文件夹和”启动“里的快捷方式
                     4,注册表项控制着保护文件的运行 ,下面两项:               (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
                      (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
                     5,瑞星能杀掉,RGGZS的文件,不过,杀完后,再次杀毒,还有病毒
           通过分析,可以知道最关键的就是清除保护文件,然后再清除其他文件,及相关设置项
         解决方案:
                   1,首先用最新版的杀毒软件,杀掉系统中的其他病毒体,估计也能查到这个病毒,这么做是保证系统中病毒最少。
                    2,清除掉系统中的垃圾文件及恶意软件(网上工具很多)
                    3,由于软告的特点,要先清除保护文件,如果你的系统分区是FAT32,就是用启动光盘到DOS下,清除FRONT.SYS和ROREG.SYS,如果NTFS的话,就用安装光盘启动到控制台模式下,清除这两个文件。注意清除时,连RGGZS也一并删除,以绝后患。
                     4,启动到安全模式下,删除掉注册表项
                      (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
                      (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
                让系统无法加载保护文件运行。
                   5,重启到安全模式下,删除快捷方式  WNSO
                 至此,病毒的主体,清除完成
 
以下注册表项删除
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]