RGGZS(软告工作室)WNSO.exe清除方法

2007年2月16日 | 分类: 病毒分析 | 标签: , , ,

前一阵在一个机器上发现的,纯粹的恶意软件,相当讨厌,开始清理半天也没弄干净,最后还是抓了样本回来分析才解决,现给出详细清理方法,希望可以对某些朋友有点帮助
RGGZS目录中有两个程序的版本信息里写着”软告工作室”知道了RGGZS原来就是它的拼音缩写.有安装程序安装后释放了很多东西,随机的文件名目录名,还会访问网络下载信息,看部分文件像是DM(DesktopMedia)的变种

下面整理一份文件列表

%Windows%\91df2fa.exe
%System%\91di2fa.exe
%System%\bd706c2e\06nc2.dll (同a.dll)
%System%\bd706c2e\06dc2.exe (同b.exe)
%System%\bd706c2e\06lc2.dll (同c.dll)
%System%\bd706c2e\06rc2.dll (同d.dll)
%System%\drivers\front.sys
%System%\drivers\roreg.sys
%temp%\front.sys
%temp%\roreg.sys
%temp%\find.dll
%temp%\main.dll
%ProgramFiles%\Common Files\RGGZS\SoBar.dll
%ProgramFiles%\Common Files\RGGZS\readme.mht
%ProgramFiles%\Common Files\RGGZS\WSOREM.dll
%ProgramFiles%\Common Files\RGGZS\wsomain.exe
%ProgramFiles%\Common Files\RGGZS\citing.dll
%ProgramFiles%\Common Files\RGGZS\WNSO.exe
%ProgramFiles%\Common Files\RGGZS\res\button1.BMP
%ProgramFiles%\Common Files\RGGZS\res\button2.BMP
%AllUsers%\「开始」菜单\程序\启动\WNSO.lnk (指向%ProgramFiles%\Common Files\RGGZS\WNSO.exe)
%AllUsers%\Application Data\startup\Cast\bfyswj.inf
%AllUsers%\Application Data\startup\Cast\yxssj_4000.inf
%AllUsers%\Application Data\startup\Cast\bfrw_4000.inf
%AllUsers%\Application Data\startup\Cast\dxgdgjc.inf
%AllUsers%\Application Data\startup\Cast\GGS\hmd.idx
%USERPROFILE%\Templates\2880d02\a.dll
%USERPROFILE%\Templates\2880d02\b.exe
%USERPROFILE%\Templates\2880d02\c.dll
%USERPROFILE%\Templates\2880d02\d.dll

注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“wk”=”%Windows%\91df2fa.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“wk”=”%System%\91di2fa.exe”
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@=”%ProgramFiles%\Common Files\RGGZS\SoBar.dll”
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\front]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roreg]

进程:调用了a.dll/c.dll/d.dll的rundll32.exe处理的时候先结束掉这个碍眼的rundll32.exe进程,然后尝试看看哪些文件和目录可以删除,这时有如下文件和目录可以删除

文件:
%Windows%\91df2fa.exe
%System%\91di2fa.exe
%temp%\front.sys
%temp%\roreg.sys
%temp%\find.dll
%temp%\main.dll
目录:
%System%\bd706c2e\
%AllUsers%\Application Data\startup\
%USERPROFILE%\Templates\2880d02\

注册表方面这些可以删除:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“wk”=”%Windows%\91df2fa.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“wk”=”%System%\91di2fa.exe”
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@=”%ProgramFiles%\Common Files\RGGZS\SoBar.dll”
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]

驱动:
%System%\drivers\front.sys
%System%\drivers\roreg.sys
保护了:
%ProgramFiles%\Common Files\RGGZS\
%AllUsers%\「开始」菜单\程序\启动\WNSO.lnk
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\front]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roreg]
删除它们,重启后就可以把剩下的文件/目录和注册表内容删除了:
%System%\drivers\front.sys
%System%\drivers\roreg.sys
%ProgramFiles%\Common Files\RGGZS\
%AllUsers%\「开始」菜单\程序\启动\WNSO.lnk
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]

目前还没有任何评论.