广告程序万能搜索WNSO.exe解决方法

卡巴斯基检测为 not-virus:Adware.win32.dm.y广告程序万能搜索 但无法清除！

该流氓软件运行后生成以下文件：
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\find.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\front.sys
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\main.dll
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\roreg.sys


C:\Documents and Settings\“你的用户名”\Templates\75316a1\a.dll
C:\Documents and Settings\“你的用户名”\Templates\75316a1\b.exe
C:\Documents and Settings\“你的用户名”\Templates\75316a1\c.dll
C:\Documents and Settings\“你的用户名”\Templates\75316a1\d.dll
C:\Documents and Settings\All Users\Application Data\startup\Cast\yxssj_4000.inf
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk
C:\Program Files\Common Files\RGGZS\citing.dll
C:\Program Files\Common Files\RGGZS\readme.mht
C:\Program Files\Common Files\RGGZS\res\button1.BMP
C:\Program Files\Common Files\RGGZS\res\button2.BMP
C:\Program Files\Common Files\RGGZS\SoBar.dll
C:\Program Files\Common Files\RGGZS\WNSO.exe
C:\Program Files\Common Files\RGGZS\wsomain.exe
C:\Program Files\Common Files\RGGZS\WSOREM.dll
C:\WINDOWS\system\09bf56c.exe
C:\WINDOWS\system\09bi56c.exe
C:\WINDOWS\system\96498c7f\98dc7.exe
C:\WINDOWS\system\96498c7f\98lc7.dll
C:\WINDOWS\system\96498c7f\98nc7.dll
C:\WINDOWS\system\96498c7f\98rc7.dll
C:\WINDOWS\system32\drivers\front.sys
C:\WINDOWS\system32\drivers\roreg.sys


在注册表项：
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]和


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
分别添加了二个项目“front”和“roreg”，
指向“C:\WINDOWS\system32\drivers\front.sys”和“C:\WINDOWS\system32\drivers\roreg.sys”


[HKEY_CLASSES_ROOT\CLSID]和[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
添加了 {197A85BC-BD97-4404-A702-95E556E4DAEB}
(还有一些就不一一列出）



添加启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wk"="C:\windows\system\09bf56c.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wk"="C:\windows\system\09bi56c.exe"


手工清除方法：

1.到DOS下删除
C:\WINDOWS\system32\drivers\roreg.sys
C:\WINDOWS\system32\drivers\front.sys
（个人推荐一键GHOST,支持NTFS,下载地址：http://www.skycn.com/soft/25989.html
下载安装后，重启进入一键ghost，选择DOS工具箱，加载IFS，再到DOS下，cd到C:\WINDOWS\system32\drivers\目录下，del roreg.sys / del front.sys 即可）
2.删除病毒添加的注册表项
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\front]（整个项目）


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\roreg]（整个项目）


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wk"="C:\windows\system\09bf56c.exe"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"wk"="C:\windows\system\09bi56c.exe"


搜索“{197A85BC-BD97-4404-A702-95E556E4DAEB}”找到相关键值删除


3.删除病毒文件
C:\Documents and Settings\“你的用户名”\Local Settings\Temp\*.*
C:\Documents and Settings\“你的用户名”\Templates\75316a1\（整个目录）
C:\Documents and Settings\All Users\Application Data\startup\Cast\（整个目录）
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk
C:\Program Files\Common Files\RGGZS\（整个目录）
C:\WINDOWS\system\09bf56c.exe
C:\WINDOWS\system\09bi56c.exe
C:\WINDOWS\system\96498c7f\（整个目录）