清除“软告工作室” 
--------------------------------------------------------------------------------

　　听说“软告工作室”很厉害，今天，有幸见到它。
　　现象：系统变慢，上不了网页。
　　分析如下：
　　1, 在  “开始—程序---启动”中有WNSO的快捷方式；
　　2,在c:\program files\common files\下有，RGGZS目录，手动删除，自动恢复；
　　3,在c:\windows\system32\driversh目录下，有FRONT.sys   roreg.sys(其他文件没看到，可能是我杀毒时，已经清除了），他们保护着RGGZS文件夹和”启动“里的快捷方式；
　　4,注册表项控制着保护文件的运行 ，下面两项：
　　(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
　　(HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
　　 5,瑞星能杀掉，RGGZS的文件，不过，杀完后，再次杀毒，还有病毒。
　　通过分析，可以知道最关键的就是清除保护文件，然后再清除其他文件，及相关设置项。
　　解决方案：
　　1,首先用最新版的杀毒软件，杀掉系统中的其他病毒体，估计也能查到这个病毒，这么做是保证系统中病毒最少。
　　2,清除掉系统中的垃圾文件及恶意软件（网上工具很多）
　　3,由于软告的特点，要先清除保护文件，如果你的系统分区是FAT32,就是用启动光盘到DOS下，清除FRONT.SYS和ROREG.SYS，如果NTFS的话，就用安装光盘启动到控制台模式下，清除这两个文件。注意清除时，连RGGZS也一并删除，以绝后患。
　　 4,启动到安全模式下，删除掉注册表项
　　  (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\front)
　　  (HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROL\SERVICES\roreg)
　　让系统无法加载保护文件运行。
　　5,重启到安全模式下，删除快捷方式  WNSO。 至此，病毒的主体，清除完成。
 
以下注册表项删除
[HKEY_CLASSES_ROOT\CLSID\{197A85BC-BD97-4404-A702-95E556E4DAEB}\InprocServer32]
@="%ProgramFiles%\Common Files\RGGZS\SoBar.dll"
[HKEY_CLASSES_ROOT\SoBar.SBar]
[HKEY_CLASSES_ROOT\SoBar.SBar.1]
[HKEY_CLASSES_ROOT\Interface\{70D9715B-EFFA-4B20-9647-A4351DCFD894}]
[HKEY_CLASSES_ROOT\TypeLib\{97A1F0A2-14B4-4A80-BA2B-18FD571E8AC4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{197A85BC-BD97-4404-A702-95E556E4DAEB}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\sepcompu]