WNSO.exe 清除

使用工具：ICEWORD2.0,unlocker
操作地点：正常状态（不想进安全模式）
方法：
1、在注册表中删除相关项目，搜索wnso,rggzs,front,roreg,选项，front的删除时注意一下，有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。
我删除的键值如下：HKLM/software/sepcompu （全部删除）
　　　　　　　　　HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg
再用注册表查询的方式查询下wnso，找到后删除。

2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除，用unlocker和系统解锁后删除gprs5.com。

3、删除c:\document and setting\all user\application data\下startup目录，不能删除用unlocker解锁后删除。

4、删除c:\document and setting\administrator\templates\下有个目录，里面有a.dll,b.exe,c.dll,d.dll的目录，不能删除可以禁止掉rundll32.exe进程，或是用unlocker解锁，然后删除
cdnup.exe清除方法

5、删除c:\program files\common file\rggzs目录，开了unlocker之后，可解锁删除

6\、删除开始中的wnso.lnk.

7\在注册表中再查找一次wnso,删除后搞定

删除wnso.exe高招
中毒症状：瑞星防火墙和杀毒软件symantec服务被删除，系统变慢，上不了网页等

大家需要注意几个地方：
1：开始—程序---启动---WNSO.lnk
2：c:\program files\common files\RGGZS
3：显示隐藏系统文件，c:\documents and settings\个人帐户\Templates\da0fas5目录，该目录下包含了a.dll，b.dll，c.dll，其属性注释描述为软告工作室。
4：c:\winnt(版本为2000)\system32\drivers目录下：font.sys，rd.sys，roreg.sys；md.sys（另外有bkexxg29.sys和hhfrwr2.sys，不知道是不是其驱动，如清楚，请告知）
5：c:\winnt\system32目录下的reporter.dll，wmpkn.dll
6：win32服务应用程序。

删除步骤：
启动在安全模式下
1：打开sreng2.0--启动项目--注册表，把不必要的启动删除，记住正常的WinlogonNotify的项目
2：停止win32服务应用程序：打开sreng2.0--启动项目--服务--win32服务应用程序—勾上隐藏已认证的微软项目—找到（not verified 或 N/A）Microsoft corporation的项，右键stop停止（注意部分正常程序会出现not verified或N/A，如SQL相关服务，ASP.NET，Macromedia等，不需要停止）。当然也可在控制面板—管理工具—服务关闭相关项目。
3：停止并删除驱动：这是删除软告工作室的关键一步，很多人删除不了软告工作室是因为没有先停止其驱动，再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序，找到font.sys，rd.sys，roreg.sys；md.sys等文件右键停用驱动。重启电脑至安全模式下，卸载以上四个驱动，在c:\winnt\system32\drivers目录下，删除font.sys，rd.sys，roreg.sys；md.sys。
4：再打开sreng2.0--启动项目—注册表—查看WinlogonNotify有没有多出来的项，删除该项并删除文件。（删除的时候没有记录下来是哪些项）
5：开始运行—输入“regedit”打开注册表，选中我的电脑—编辑—查找—输入reporter.dll，wmpkn.dll，查找下一个至删除所有找到的整个项目WNSO.exe清除。
6：删除开始—程序---启动--- WNSO.lnk。
7：再次重启电脑至安全模式下：显示隐藏系统文件，c:\documents and settings\个人帐户\Templates\da0fas5目录，删除该da0fas5目录，删除c:\program files\common files\RGGZS目录。

http://www.wopti.net/...load.htm

2006年11月16日
Windows优化大师发布V7.66 Build 6.1115 繁体中文版，大小3.49 MB。
更新说明
1. 改进了系统磁碟医生。
2. 改进了磁碟重组。
3. 增加了历史痕迹清理模组。
4. 改进了系统资讯侦测。
5. 改进了登录档清理。
6. 改进了自动优化模组。
7. 改进了背景服务优化。
7. 改进了开机速度优化。
8. 改进了Wopti工作管理员。
9. 增加了Wopti 恶意软体清除大师。
10. 改进了档案加密模组。
...等数十项更新，各项更新的具体细节请参阅说明文档的最新更新或点击--新版介绍。


更新说明：2006-12-08 本日1次更新
新增：PageFile(pagefile.pif、~.pif)、酷桌面(CoolBHO.dll、cooldown.exe、LetsCool.exe)、忆多多(MyShares.exe)、33063204(Mediawinlogon.exe)、万能网名(IExplore.dat)、超级引擎(main.exe、iex.dll)、IE Help Class(IE_HelpClass.dll)、万能搜索(RunExe.exe、WSOREM.dll、wsomain.exe、WNSO.exe、RG.exe)、天下搜索(iebar23.0.dll、barhelp24.0.dll)、Crawl.ws Toolbar(basis.xml)、SysBackHelper(advwhes.dll、lsass.exe、NTWorkStan.dll)、config.IEHelper(config.dll)、G搜工具栏(0Sou.dll)、CPUSH(cpush.dll)、pctools 插件(pctools.dll)、dodolook 插件(cnwin.dll)、万能下载器(wn.exe、seep.exe)、ATIDEMGREDEM.dll、Jetspeed 伪装(jetspeed.dll)、、ASN.2(5182AAA5.EXE、BB873A5A.EXE)、Power(alxklt.dll)、朋友网、360.ads3721.com(mont.dll)、jvmlts、FC210016、Flash9 伪装程序(Flash9.dll)、SysInfo、Wow 2、xy(xydll.dll & svhost32.exe)、wulin(...

http://www.skycn.net...332.html

“软告工作室”“WNSO”“万能搜索”病毒最新解决办法最近出现一种恶意软件“软告工作室”，是包括驱动和系统服务的流氓软件，中毒会关闭主流杀软，会从网上下载木马病毒。市面的主要查杀流氓软件的工具如卡卡助手，360安全卫士，超级兔子（都是最新的病毒特征库）都不能查杀，无奈之举，只能自己试试手动删除。以下是手动删除中，总结的部分操作流程，如有遗漏，请跟帖告诉我，谢谢！

工具：sreng2.0。

中毒症状：瑞星防火墙和杀毒软件symantec服务被删除，系统变慢，上不了网页等

大家需要注意几个地方：
1：开始—程序---启动---WNSO.lnk
2：c:\program files\common files\RGGZS
3：显示隐藏系统文件，c:\documents and settings\个人帐户\Templates\da0fas5目录，该目录下包含了a.dll，b.dll，c.dll，其属性注释描述为软告工作室。
4：c:\winnt(版本为2000)\system32\drivers目录下：font.sys，rd.sys，roreg.sys；md.sys（另外有bkexxg29.sys和hhfrwr2.sys，不知道是不是其驱动，如清楚，请告知）
5：c:\winnt\system32目录下的reporter.dll，wmpkn.dll
6：win32服务应用程序。

删除步骤：
启动在安全模式下
1：打开sreng2.0--启动项目--注册表，把不必要的启动删除，记住正常的WinlogonNotify的项目
2：停止win32服务应用程序：打开sreng2.0--启动项目--服务--win32服务应用程序—勾上隐藏已认证的微软项目—找到（not verified 或 N/A）Microsoft corporation的项，右键stop停止（注意部分正常程序会出现not verified或N/A，如SQL相关服务，ASP.NET，Macromedia等，不需要停止）。当然也可在控制面板—管理工具—服务关闭相关项目。
3：停止并删除驱动：这是删除软告工作室的关键一步，很多人删除不了软告工作室是因为没有先停止其驱动，再删除驱动文件。在开始—运行—输入“devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序，找到font.sys，rd.sys，roreg.sys；md.sys等文件右键停用驱动。重启电脑至安全模式下，卸载以上四个驱动，在c:\winnt\system32\drivers目录下，删除font.sys，rd.sys，roreg.sys；md.sys。
4：再打开sreng2.0--启动项目—注册表—查看WinlogonNotify有没有多出来的项，删除该项并删除文件。（删除的时候没有记录下来是哪些项）
5：开始运行—输入“regedit”打开注册表，选中我的电脑—编辑—查找—输入reporter.dll，wmpkn.dll，查找下一个至删除所有找到的整个项目。
6：删除开始—程序---启动--- WNSO.lnk。
7：再次重启电脑至安全模式下：显示隐藏系统文件，c:\documents and settings\个人帐户\Templates\da0fas5目录，删除该da0fas5目录，删除c:\program files\common files\RGGZS目录。