高效網(wǎng)絡(luò)營銷 專注企業(yè)服務(wù)

業(yè)務(wù)咨詢 400-0576-013

超級流氓 ROOGOO 的最新變種 RGWatch.sys 的刪除方法
2006-9-26 21:40:00
一、病毒分析:

這個應(yīng)該是ROOGOO的新變種,我的機子也中了,現(xiàn)在也無法刪除。

這個是通用搜索公司做的,安裝在許多網(wǎng)絡(luò)下載的自解壓縮文件中,隱蔽安裝,沒有任何卸載程序。

表現(xiàn)特征為使用任何搜索引擎就會彈出廣告。

不同于以前的ROOGOO病毒,這個在注冊表生成這個鍵值:
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\RGWatch
該注冊表無法刪除,刪除任何子項均會自動修復(fù)!

還有這2個文件:
C:\Windows\system32\drivers\RGwatch.sys
C:\Windows\system32\quartz32.dll
這2個文件也無法刪除,除非使用DOS!


360安全衛(wèi)士可以發(fā)現(xiàn)該病毒,但無法使用360安全衛(wèi)士刪除,若刪除會進(jìn)入死循環(huán)!

二,清理方法:

1、首先下載UNLOCK。
UNLOCK下載地址:
http://www.crsky.com/soft/5890.html

2、打開控制面版,選擇 文件夾選項-查看,把 隱藏受保護(hù)的作系統(tǒng)文件 和 隱藏文件與文件夾的鉤去掉。

3、打開C:\Windows\system32\drivers\RGwatch.sys ,在RGwatch.sys 文件上點擊右鍵,選擇用UNLOCK刪除。

4、使用 360安全衛(wèi)士 刪除殘余文件,重啟后完成。

5、如果無法上網(wǎng),那是因為TCP/IP協(xié)議被破壞,按下列方法刪除!
    點擊開始> 控制面板> 網(wǎng)絡(luò)連接> 本地連接
    點擊屬性

    點擊安裝
    選擇協(xié)議

    點擊增加
    點擊硬盤
    瀏覽對%Windir% \ inf文件夾(一般為c:\windows\inf)

    點擊打開
    點擊確定
    選擇互聯(lián)網(wǎng)協(xié)議(TCP/IP) ,不要選擇Microsoft TCP/IP版本6!  
    點擊確定
    重新啟動計算機,就OK!