那天把朋友去看电脑,发现中了WANSO病毒,病毒会在启动文件夹里生成一个WANSO的快捷方式,这个病毒花了我不小时间,我在DOS模式下把病毒文件一个个删除掉以后,在删除启动文件夹里的快捷方式时无论如何都删除不掉进入安全模式都删除不了,我想该病毒是把守护进程插入到了启动时必要的几个系统进程里面了。那天由于太晚最终没有搞定他,后来在网上查了一下相关的资料找到这篇觉得应该比较管用的文章,可能原作者在写这篇文章时有一些文字上的疏忽,我作了改正。文中所述方法我没有测试过,与我当时处理此病毒时的方法类似,不过作者的水平太高,也考虑到了很多我没有考虑到的地方,值得学习。呵呵!
中毒症状:瑞星防火墙和杀毒软件symantec服务被删除,系统变慢,上不了网页等
病毒存在地方:
1:开始—程序---启动---WANSO.lnk
2:c:\program files\common files\RGGZS
3:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,该目录下包含了a.dll,b.dll,c.dll,其属性注释描述为软告工作室。 (这个不一定,看病毒的版本)
4:c:\windows(版本为XP)\system32\drivers目录下:front.sys,roreg.sys;md.sys;rwr2.sys,
5:c:\windows\system32目录下的reporter.dll,wmpkn.dll
6:win32服务应用程序。
7:注册表中有隐藏启动项,WNSO.lnk 的快捷方式,需要第三放软件才到看到(360),无法删除!
8:进程嵌套在winlogn中,无法结束进程。
删除步骤:
启动在安全模式下
1:使用360查看启动项,找出怀疑对象,
2:停止win32服务应用程序:运行gpedit.msc--找到win32服务应用程序—勾上隐藏已认证的微软项目—找到(not verified 或 N/A)Microsoft corporation的项,右键stop停止(注意部分正常程序会出现not verified或N/A,如SQL相关服务,ASP.NET,Macromedia等,不需要停止)。当然也可在控制面板—管理工具—服务关闭相关项目。 (这步不做好象也 可以,没有测试过)
3:停止并删除驱动:这是删除软告工作室的关键一步,很多人删除不了软告工作室是因为没有先停止其驱动,再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序,找到front.sys,rd.sys,roreg.sys;md.sys等文件右键停用驱动。重启电脑至安全模式下,卸载以上四个驱动,在c:\winnt\system32\drivers目录下,删除front.sys,roreg.sys;md.sys。
4:再打开360--启动项目—注册表—查看WinlogonNotify有没有多出来的项,删除该项并删除文件。(删除的时候没有记录下来是哪些项)
5:开始运行—输入“regedit”打开注册表,选中我的电脑—编辑—查找—输入reporter.dll,wmpkn.dll,front,RGGZS,WANSO,查找下一个至删除所有找到的整个项目。
6:删除开始—程序---启动--- WANSO.lnk。
7:再次重启电脑至安全模式下:显示隐藏系统文件,c:\documents and settings\个人帐户\Templates\da0fas5目录,删除该da0fas5目录,删除c:\program files\common files\RGGZS目录。
8、删除C:\WINDOWS\system32\db8332文件夹。
补充:这是由软告工作室开发的一款病毒,所属鸿图软件公司。最近流行开不久,目前没有专杀工具!