.Yvx868
卡巴斯基检测为 not-virus:Adware.win32.dm.y广告程序万能搜索 但无法清除!
本人测试如下:
该流氓软件运行后生成以下文件:
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\find.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\front.sys
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\main.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\roreg.sys
C:\Documents and Settings\“你的用户名”\Templates\75316a1\a.dll
C:\Documents and Settings\“你的用户名”\Templates\75316a1\b.exe
C:\Documents and Settings\“你的用户名”\Templates\75316a1\c.dll
C:\Documents and Settings\“你的用户名”\Templates\75316a1\d.dll
C:\Documents and Settings\All Users\Application Data\startup\Cast\yxssj_4000.inf
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk
C:\Program Files\Common Files\RGGZS\citing.dll
C:\Program Files\Common Files\RGGZS\readme.mht
C:\Program Files\Common Files\RGGZS\res\button1.BMP
C:\Program Files\Common Files\RGGZS\res\button2.BMP
C:\Program Files\Common Files\RGGZS\SoBar.dll
C:\Program Files\Common Files\RGGZS\WNSO.exe
C:\Program Files\Common Files\RGGZS\wsomain.exe
C:\Program Files\Common Files\RGGZS\WSOREM.dll
C:\WINDOWS\system\09bf56c.exe
C:\WINDOWS\system\09bi56c.exe
C:\WINDOWS\system\96498c7f\98dc7.exe
C:\WINDOWS\system\96498c7f\98lc7.dll
C:\WINDOWS\system\96498c7f\98nc7.dll
C:\WINDOWS\system\96498c7f\98rc7.dll
C:\WINDOWS\system32\drivers\front.sys
C:\WINDOWS\system32\drivers\roreg.sys
在注册表项:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]和
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
分别添加了二个项目“front”和“roreg”,
指向“C:\WINDOWS\system32\drivers\front.sys”和“C:\WINDOWS\system32\drivers\roreg.sys” (www.dngz.net)为您排除一切电脑故障
[HKEY_CLASSES_ROOT\CLSID]和[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
添加了 {197A85BC-BD97-4404-A702-95E556E4DAEB}
(还有一些就不一一列出)
添加启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wk"="C:\windows\system\09bf56c.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wk"="C:\windows\system\09bi56c.exe"
手工清除方法:
1.到DOS下删除
C:\WINDOWS\system32\drivers\roreg.sys
C:\WINDOWS\system32\drivers\front.sys
(个人推荐一键GHOST,支持NTFS,下载地址:http://www.skycn.com/soft/25989.html
下载安装后,重启进入一键ghost,选择DOS工具箱,加载IFS,再到DOS下,cd到C:\WINDOWS\system32\drivers\目录下,del roreg.sys / del front.sys 即可)
2.删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\front](整个项目)
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\roreg](整个项目)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wk"="C:\windows\system\09bf56c.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wk"="C:\windows\system\09bi56c.exe"
搜索“{197A85BC-BD97-4404-A702-95E556E4DAEB}”找到相关键值删除
3.删除病毒文件
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\*.*
C:\Documents and Settings\“你的用户名”\Templates\75316a1\(整个目录)
C:\Documents and Settings\All Users\Application Data\startup\Cast\(整个目录)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk
C:\Program Files\Common Files\RGGZS\(整个目录)
C:\WINDOWS\system\09bf56c.exe
C:\WINDOWS\system\09bi56c.exe
C:\WINDOWS\system\96498c7f\(整个目录) 本文来自 www.dngz.net
最后要说的是,这个真是个十足的流氓软件!
晕死,今天找到个可以比较轻松清除该流氓的软件:
http://www.arswp.com/download/arswp/arswp.rar
清理完后再删除:
C:\WINDOWS\system\09bf56c.exe
C:\WINDOWS\system\09bi56c.exe
C:\WINDOWS\system\96498c7f\(整个目录)
C:\Documents and Settings\“你的用户名”\Templates\75316a1\(整个目录)
即可。。