Ruango中文名称为:软告,是软告工作室的又一新作!其具体特征有:在开始菜单-->程序-->启动里生成ruango启动项,而且无法删除干净。等一刷先 ,就重新出现。已经MSCONFIG“系统配置实用程序”启动项目里自动生成ruango,(命令为C:\WINDOWS\system32\MSRundll.exe;C:\Program Files\Common Files\ruango\player.dll)。
经过简单分析后发现,ruango在C:\Program Files\Common Files目录下产生ruango 文件夹和C:\WINDOWS\system32\MSRundll.exe以及c:\windows\system32\drivers\fkwld.sys,c:\windows\system32\dipus.dll,C:\WINDOWS\pss\ruango.lnkCommon Startup在跟上次“软告工作室”病毒一样,ruango也是一驱动型病毒。其主程序也是很难清除。即使将其粉碎,等再刷新,文件又回来了。所以,对付这种恶意软件,在DOS下就可以轻松清除了。
思路:因该病毒只对WIN系统下手,故对DOS无效。所以用以下方法在DOS下手动杀除。
一、在C盘下建立一个BAT文件,写入以下内容。(新建txt,将下面代码粘贴进去,保存成bat格式)
attrib C:\Program Files\Common Files\ruango\player.dll -r
del C:\Program Files\Common Files\ruango\player.dll
cd C:\Program Files\Common Files\
rd C:\Program Files\Common Files\ruango
attrib c:\windows\system32\dipus.dll -r
del c:\windows\system32\dipus.dll
attrib C:\WINDOWS\system32\MSRundll.exe -r
del C:\WINDOWS\system32\MSRundll.exe
attrib c:\windows\system32\drivers\fkwld.sys -r
del c:\windows\system32\drivers\fkwld.sys
del C:\WINDOWS\pss\ruango*.*
二、在第一步完成后RUANGO的两个主文件都已删除,只要用兔子或其他工具去掉启动项内的RUANGO就可以了。
方法二:
在安全模式下,把common files文件夹改名字,然后删除ruango文件夹,在把前面改掉的名字改回去。OK!
搜索注册表里的ruango全部删除
然后把sys32下面的msrundll和rundll32复制到别处,再删除启动里的ruango
或者把ruango的后缀改了看行不行
删除
启动文件夹
[ruango]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk --> C:\WINDOWS\system32\MSRundll.exe [N/A]><N>
删除驱动程序
[fkwld / fkwld][Running/System Start]
<system32\drivers\fkwld.sys><Microsoft Corporation>
删除文件
c:\windows\system32\dipus.dll
c:\windows\system32\drivers\fkwld.sys
C:\WINDOWS\system32\MSRundll.exe