|
[ 來源:胡氏宗親網 | 編輯:南山
| 時間:2008-07-14 10:54:42 ]
|
胡氏宗親網論壇 -> 數字廣場 -> 手工清除ms-dos.com病毒的方法 [打印本頁] 登錄 -> 注冊 -> 回復主題 -> 發表主題
南山 2008-05-27 16:40
作者:南山 胡氏宗親網(http://www.zz-lawyer.com)
關鍵字:global.exe、fonts.exe、keyboard.exe、ms-dos.com、tskmgr.exe、remoteabc.exe、autorun.inf、輸入法丟失、找回輸入法、220K文件夾、映像劫持、regedit關聯、病毒防御、病毒免疫。
病毒自運行機制分析:ms-dos.com病毒主要是通過優盤傳播。在沒有病毒防護的情況下,autorun.inf可以自動運行ms-dos.com病毒程序,也可以通過點擊偽裝的xxxx文件夾.exe(220K)運行后產生以上病毒文件,分布在不同的文件夾里,按Ctrl+Alt+Del鍵可以看到有:Global.exe、keyboard.exe、fonts.exe等病毒進程在運行,且互為保護無法中止這些進程;病毒通過映像劫持破壞輸入法、任務管理器、注冊表編輯器等;將優盤內的文件夾隱藏,用同名的220K病毒文件取代;在所有盤符下生成autorun.inf、ms-dos.com兩個自動運行文件;不斷產生“explorer程序遇到問題需要關閉”等出錯提示;還可以通過局域網網絡感染共享文件夾。
診斷與危害分析:通過輸入法失效和優盤文件夾丟失可以初步判斷與此病毒有關;查看各盤符根目錄下有ms-dos.com文件;查看Global.exe、keyboard、fonts.exe等進程即可確定電腦已被此病毒感染。由于其他盤上還有病毒(如優盤上的220K病毒文件),即使格式化C盤,重裝系統,稍不留意仍然會死灰復燃,前功盡棄。我單位最近因為此病毒大面積泛濫造成人人自危,由于沒有專殺軟件,防毒、殺毒苦不堪言,嚴重影響正常工作。
清除方法:經過仔細分析病毒運行機制,發現必須要把防御此病毒作為解決問題的關鍵,否則不管采取何種措施,都是不會有效果的。仔細查出主要病毒文件所在,使用我提供的優化殺毒軟件包十分鐘就可以解決問題,以后的恢復文件相對就容易多了。
整個殺毒過程共分四個步驟進行:中止病毒進程、刪除病毒文件并免疫、恢復注冊表編輯器關聯、清理啟動項等。(目前已經成功處理多例)
具體處理步驟和相關軟件下載請到:http://www.zz-lawyer.com/bencandy.php?fid=19&id=1016
南山(胡氏宗親網http://www.zz-lawyer.com總版主) 2008.05.27發布 2008.07.08修改
關于手工處理ms-dos.com病毒的方法
經過斷斷續續的調試,終于把對付這個病毒的優化殺毒軟件包做好了。以前的處理方法過于繁瑣,可以棄之不用(放到第26樓去了)。以前病毒在暗處,我們在明處,防不勝防,F在對這個病毒的一舉一動都已經了如指掌。因為我開了一個裸機,在上面進行了幾十次的調試,終于順利完工。新的殺毒軟件包一共只有四個文件,其中兩個是輔助軟件(sreng-2和冰刃IceSword122cn),另外兩個,一是批處理文件(yereg-rd.bat),還有一個是注冊表文件(killms.reg),都是只需點一下就可完成。
先說說裸機試驗過程:
為摸清這個病毒的來龍去脈和了解殺毒效果,我先清裝一臺電腦,沒有裝任何殺毒軟件,先做一個GHOST備份(調試過程中需要多次恢復原始狀態),然后把病毒樣本(ms-dos.com)和殺毒軟件包拷貝進去。
準備就緒,開動。點擊病毒文件ms-dos.com后就像是打開了潘多拉的盒子,瞬時間,一臺完好的電腦立即被蹂躪得不成樣。用sreng-2檢查注冊表,看到已經被加入了三個以上的自啟動項目:sys、keyboard.exe、system.exe等,八九個不同名稱的病毒文件分別生成在不同位置,映象劫持一共是8項,這就是為什么輸入法消失、任務管理器和注冊表編輯器失效的原因。用冰刃軟件檢查,發現多出了好幾個病毒進程,包括global.exe、system.exe、default.exe等等,這時電腦已經運行緩慢,輸入法失效,開始亂跳explorer出錯窗口、莫名其妙跳出regedit注冊表編輯器,噩夢從此開始。
由于我已經事先做了充分的準備,要的就是這個病毒的效果再現。下面我把經優化過的處理方案詳細介紹如下,如果你的電腦上只有這一種病毒的話,我可以保證不出十分鐘,藥到病除,一切恢復到正常狀態。
第一步還是中止該死的進程,我試圖用批處理來中止,但是失敗了。主要有幾個關鍵進程互相保護很難對付,另外“taskkill”這條命令在WINDOWS XP HOME版本下不起作用,最后還是用冰刃IceSword122cn來解決掉。我以前也有介紹,就是必須要用“創建進程規則”的方法中止掉global.exe、system.exe,這兩個病毒進程互相保護狼狽為奸,一旦中止,后面的清除工作就好辦多了。除這兩個外,可能還有一些進程也要中止,可參看批處理里面的病毒文件名。
第二步是用我編寫的批處理程序(yereg-rd.bat)跑一遍,刪除所有病毒文件,建立免疫文件夾。這次發表的最新修改處,主要是增加了對以前漏掉的病毒文件的處理:c:\windows\cursors\boom.vbs和c:\windows\system32\regedit.exe,還有一個C:\WINDOWS\Help\microsoft.hlp,這個文件危害好像不明顯,但也不能讓它成為漏網之魚。很多朋友說開機有regedit.exe注冊表編輯器跳出來,就是因為我上次漏掉了regedit.exe,假冒的注冊表編輯器文件,真正的regedit.exe是在c:\windows里面,不是在c:\windows\system32里面。
第三步是用軟件包里的sreng-2修復注冊表編輯器的關聯:打開sreng-2(可能有已經過期的提示,不要緊,把系統日期修改成2007年照樣可用),別的都不用做,只把“系統修復--文件關聯”做一下就可以了。重復點幾下,當發現 .reg 的關聯變成“regedit.exe”就正常了(如果第一步沒有中止進程,這里也不可能恢復)。
第四步是清除注冊表啟動項和清除映像劫持項以及清除一些病毒殘留。很簡單,只需要將軟件包里的“killms.reg”執行一下,導入注冊表就可以了,這幾步以前都要用手工和輔助軟件配合來做,比較麻煩,F在省事多了。
這四個步驟做完,關機重啟,你就會發現,這個該死的病毒已經被徹底清除完畢,一切都恢復了正常。如果以后再被優盤感染(可能性很大),繼續按上面的步驟重復做。
總結一下幾個關鍵點:必須先中止進程,否則根本沒辦法繼續往下做第二步;然后是修復regedit注冊表編輯器的關聯,這是為做第四步創造前提條件。環環相扣,不能省略也不能提前做。
病毒清除完畢,恢復被隱藏的文件夾刪除偽裝的220K病毒文件夾就比較容易了,可參照以前的說明做。見第26樓的4.恢復優盤文件夾
我想說明的是,到七月三日,我試過一些免費的殺毒軟件對此病毒根本就沒有反應,但是諾頓的7.3升級包已經查出來并命名為:w32.sillyfdc病毒,而且可以將其隔離處理,包括global.exe、system.exe、default.exe、ms-dos.com等等,然而卻不能清理啟動項,映像劫持,修復關聯。使用我下面的優化殺毒軟件包(2008.07.08)就可以做到。南山歡迎廣大宗親朋友下載使用。效果好,請替我們胡氏宗親網(http://www.zz-lawyer.com)做些廣告宣傳,效果不好,請在本帖后面跟帖指出問題現象,我再改進。
南山的聯系方式:QQ:114412749 (殺毒專用QQ:749060963) E-mail:hxy123@gmail.com
描述:手工處理ms-dos.com病毒相關軟件 附件: hszqw.com.cn.rar (2353 K) 下載次數:483 [刪除]
描述:替代XDelBox1.7刪除病毒文件 附件: remsdos.rar (2 K) 下載次數:132 [刪除]
描述:最新清除ms-dos.com病毒軟件 附件: killmsdos.rar (3929 K) 下載次數:272 [刪除]
描述:最新清除ms-dos.com病毒軟件 附件: hszqw.com.cn.rar (4887 K) 下載次數:104 [刪除]
描述:2008.07.08最新清除ms-dos.com病毒軟件下載: (請注意,由于上傳附件有限制,我將其拆成下面兩個壓縮文件,都要下載)
胡佰策 2008-05-28 07:38 厲害~~~ [s:7]
南山 2008-05-28 17:14 裸機試驗查出的病毒文件和啟動項:
文件 E:\hu-killa\hu-kill\MS-DOS.com 的分析結果:
文件基本信息:
文件大。225280 字節 文件MD5:9ace69c9476c1773370f7032f9cf70e0
系統盤相同文件列表:
C:\WINDOWS\system32\drivers\drivers.cab.exe C:\WINDOWS\system32\dllcache\svchost.exe C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe C:\WINDOWS\system32\dllcache\Global.exe C:\WINDOWS\system32\dllcache\Default.exe C:\WINDOWS\system32\regedit.exe C:\WINDOWS\system\KEYBOARD.exe C:\WINDOWS\Help\microsoft.hlp C:\WINDOWS\Fonts\Fonts.exe C:\WINDOWS\Fonts\tskmgr.exe C:\WINDOWS\Media\rndll32.pif C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com C:\WINDOWS\pchealth\Global.exe C:\MS-DOS.com
注冊表啟動項分析:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] <><C:\WINDOWS\system\KEYBOARD.exe> [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce] <><C:\WINDOWS\system32\dllcache\Default.exe> [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce] <><C:\WINDOWS\system32\dllcache\Default.exe> [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] <sys><C:\WINDOWS\Fonts\Fonts.exe>
文件關聯 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %*] .COM OK. ["%1" %*] .PIF OK. ["%1" %*] .REG Error. [C:\WINDOWS\pchealth\Global.exe] .BAT OK. ["%1" %*] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*] .LNK OK. [{00021401-0000-0000-C000-000000000046}]
Autorun.inf [C:\] [autorun] Open=MS-DOS.com Shellexecute=MS-DOS.com Shell\Open\command=MS-DOS.com Shell\Explore\command=MS-DOS.com [D:\] [autorun] Open=MS-DOS.com Shellexecute=MS-DOS.com Shell\Open\command=MS-DOS.com Shell\Explore\command=MS-DOS.com [E:\] [autorun] Open=MS-DOS.com Shellexecute=MS-DOS.com Shell\Open\command=MS-DOS.com
這個小小的病毒,花了我兩天時間來處理,總算是解決了問題。本來是想通過自編批處理程序一次性搞定,以方便使用。但調試程序太費時間,尤其是注冊表里面的啟動項,映像劫持項一共是8項,用個小軟件點一下就行了。
DOS環境下可以做很多事,比那些動輒就來個全盤掃毒的專殺程序,更加便捷有效。用我上面的辦法處理這個老頑固病毒,最多20分鐘就可以搞定,而且不會再被感染。(目前是這樣,難說今后出來變種病毒。生命不息,殺毒不止,與病毒作斗爭其樂無窮。)
南山 2008.05.28 2008.07.09修改
南山 2008-05-29 10:12 以下方案已停止使用,請見樓上更新說明。
最新修改:
如果發現XDelBox1.7不能正常運行,可用下面這個批處理文件代替執行,最好是在DOS環境下運行。
本程序取代XDelBox1.7刪除病毒文件,做完以后請按照http://www.zz-lawyer.com/bbs/read.php?tid=7358的介紹從第2步驟繼續。
南山 2008-06-03 10:39 這兩天又做了一些修改。主要是發現開機有一個進程借“regedit.exe"(注冊表編輯器)發作,導致上面辦法全功盡棄,而且會跳出一個象楓葉樣的窗口在屏幕上晃來晃去。
解決辦法:用冰刃軟件(IceSword120_cn)中止“global.exe”進程,這是殺毒的關鍵所在。不中止掉這個進程是無法繼續下去的。而其他工具我也試過,感覺到還是這個軟件最好用。你可以直接中止掉“global.exe”進程,也可以創建一個禁止進程的規則。
以后的處理方法和上面介紹的相同,只是我對批處理做了一點修改。對regedit.exe做了刪除處理,建立一個regedit.exe文件夾,避免了開機后就發作的現象。
下午把相關軟件發附件上來。
南山 2008.06.03
南山 2008-06-06 16:58 以下處理方法可以不用了,最新方法見上面。
手工清除ms-dos.com病毒的方法:
作者:南山 胡氏宗親網(http://www.zz-lawyer.com) http://www.zz-lawyer.com/bbs/read.php?tid=7358
由于發現有的軟件對NTFS格式系統支持不夠完善,不能徹底刪除病毒文件,故采用自編批處理程序取代之。再輔以其他手段,到目前為止,已經成功解決了大部分問題,有效制止了該病毒的蔓延。
具體步驟為:
1。必須強行中止“global.exe”進程,其他進程都可以中止,唯獨這個進程必須用冰刃軟件(IceSword120_cn)強行中止?梢栽诒熊浖飫摻ㄒ粋禁止“global.exe”進程的規則,確定以后才能制止這個猖獗的病毒主進程,其他病毒進程只有在“global.exe”被中止后才能隨之被中止。
2。用“機器狗&映像劫持修復工具”軟件清理一下被映像劫持的項,一般有8項,只要被清除后不再冒出來,就說明上面的病毒進程確實已被中止。
3。用“SREng2”軟件清理注冊表啟動項,把帶有“Global.exe、keyboard.exe、fonts.exe”和“sys”的啟動項都刪掉。
4。用“remsdos.rar ”批處理程序中止其他進程、刪除病毒程序、建立免疫子目錄。
重新開機,再次檢查進程、映像劫持、注冊表啟動項、病毒文件所在目錄,你就會發現這個頑固的病毒已經被清除掉了,輸入法恢復了正常。剩下的工作就是刪除優盤220K病毒文件夾,把被病毒所隱藏的文件夾恢復正常。
說明:由于發現開機有一個進程借“regedit.exe"(注冊表編輯器)發作,導致上面辦法前功盡棄,而且會跳出一個帶楓葉樣的窗口在屏幕上晃來晃去,所以我在批處理程序中加入一句刪除現有的“regedit.exe"文件,并附一個改了后綴的“regedit.com”文件,可以根據需要拷貝到c:\windows\,替代使用。
南山 2008.06.06
該病毒參考資料:http://security.ccidnet.com/art/1099/20080605/1467517_1.html
binw1111 2008-06-12 23:56 胡大大: 本人小菜一只,下了你的軟件包,也用了你的教的方法。 用"機器狗&映像劫持修復工具"軟件刪除了映像劫持項,終于可以用任務管理器了。 之后,又使用SREng,按照你教程上說的亦步亦趨,可輸入法卻始終沒找回來。我先清理了注冊表,有 一個啟動項怎么也刪除不了,這個病毒在啟動文件夾中,名字是:self.bat 在電腦里的徑是:C:\Documents and Settings\All Users\「開始」菜單\程序\啟動 實在不知怎么樣處理,特此請教。
遼寧省 虞無涯
qq:76717230 我的郵箱:binw1111.sohu.com
kof9708 2008-06-13 03:50 已經成功解決,不過關閉global那個程序光靠冰刃還不夠,要靠globalexe killer.bat,再加上胡大大那些軟件,藥到病除,花了3小時才搞好的...
南山 2008-06-13 19:56 binw1111朋友:你可能同時中了兩種病毒。后一種病毒尚不清楚運行機制,無法回答。輸入法沒有恢復,你可以在其他電腦上拷貝一個正常的 Internat.exe 文件 到相應目錄里試試。正常的Internat.exe 應該是在c:\windows\system里。有可能被病毒文件替換掉了。 南山
目錄 2008-06-14 08:08 強。。。。。!
kaugummi 2008-06-14 11:28 本人現在就是中了這種病毒,無奈電腦里面有好多重要文件,不能全部格式化,怎么辦呢,好著急!
syjda2008 2008-06-16 09:53 大師,呵呵!最近 有沒有什么能防御這種病毒的軟件呢?比如像360一樣,可以防止auto自動運行,謝大師點撥
yimingyong 2008-06-16 20:55 我中了怎么殺不了啊
skydove 2008-06-19 12:28 牛啊~~~
weiwei 2008-06-20 01:40 謝謝大師。〔簧醺屑ぃ
摔倒了不哭 2008-06-20 19:19 南山,你好。我這里殺完毒后,發現掉了很多程序,只能重新安裝嗎?比如說,office找不到了,即使找到安裝目錄,也不能打開winword.exe怎么辦呢?
南山 2008-06-20 19:33 你說的這種情況我也遇到過。那是在殺毒之前OFFICE就出現了需要重新安裝的提示,這也是這個病毒造成的后果,估計正常文件被破壞了。還好,你只需先把office卸載,再找一張office安裝盤重新安裝,一切都會恢復正常的。我遇到過三例類似情況,拿到我這里來的時候就是這樣。請先按照上面的介紹,殺完毒,再重裝一下OFFICE。南山
朱峰 2008-06-22 20:49 U盤文件刪除用的“顯示隱藏系統文件到右鍵”這個工具一安裝就把刪除的病毒啟動項又啟動了,怎么辦?
南山 2008-06-22 21:32 按照上面所介紹的再重新做一遍,不要用甚至可以刪除掉這個工具,估計被染上了病毒。注意,關鍵是中止global.exe進程。你說的這種情況我也遇到過,但不是由于這個工具造成的。這也是難纏之處。網上有人說搞了五個小時最后還是重裝系統。南山
南山 2008-06-22 21:37 另外,請關注一下其他國內外著名的殺毒軟件對此是不是已經有了解決的辦法。 現在又有報告說,控制面板也被禁止了,一片空白。我也遇到過一例,會不會是變種病毒出現了。 南山
南山 2008-06-24 16:46 今天下午在QQ上幫“摔倒了不哭”朋友徹底解決了這個病毒?偨Y如下:
1.上次她按照我說的辦法都做對了,但忽視了優盤上的220K病毒文件夾的清理,導致前功盡棄,病毒卷土重來。
2.的確如7樓所說,有的進程只用冰刃軟件不能解決,原因是里面還有其他進程互相保護。她這一例就有“system.exe"和“global.exe”兩個進程。
3.我的批處理程序里少寫了對一個病毒文件的處理,讓它成了漏網之魚,禍害不小。
4.現在雖然能處理病毒,感覺對此病毒的防御仍有薄弱之處。
此病毒可從三方面(優盤和硬盤的自動運行、感染局域網內共享文件夾、點擊220K病毒文件夾)傳播,主要是220K病毒程序點擊后發作。如果有實時專殺軟件,一旦發現立即刪除,就不會等它發作以后再來清除。
好像到現在各個殺毒公司還沒有研究出專殺方法,所以我這個半手工解決方案已經有了好幾百次下載,歡迎繼續討論,尋找更好的解決方案。
南山 2008.06.24
修改后的批處理文件:請見樓上更新說明
huzikai 2008-07-03 16:44 南山大大請教你一下,我按照你的方法殺過毒以后,又重裝了系統現在出現有些安裝軟件無法打開的問題,比如說NERO,點開后出現報錯調試或關閉。winrar壓縮文檔的圖標上還有亂碼。我又全部格式化所有盤以后問題依舊,請幫幫我這是怎么回事啊。萬分感謝~~
南山 2008-07-03 20:51 huzikai 朋友:
這個病毒的頑固之處就在它以多種形式存在,其中每個盤上都有autorun.inf還有許多220K的病毒文件,加上遍布各個角落的不同名稱的病毒,只要有一個漏網之魚,一切都會前功盡棄。最初我也是花了好長時間來對付它,和你同樣的郁悶。后來我琢磨出了對付它的辦法,就是必須先把所有病毒進程中止掉,然后再用自編的批處理,把所有的病毒文件刪掉,建立同名的文件夾避免再次感染,最后用一些輔助軟件清理啟動項,注冊表,除惡務盡,經我親手處理的不下20例之多,在QQ上也幫很多網友解決掉這個病毒。最近幾天,我正在通過裸機試驗,查清它的運行機制,把批處理程序修改的更加完善。告訴大家,諾頓殺毒軟件的最新版,已經可以識別和清除autorun.inf和ms-dos,com這兩個病毒文件。對其他主要病毒文件是否有效識別清除,要看我明天的試驗結果。
你發帖所說的情況,我感到很納悶。應該說按照我說的幾個步驟做下來,就可以清除并免疫。QQ上有的網友清理有反復,主要是優盤上沒有清理干凈。你說的情況可能是C盤和其他盤有交叉感染,我也曾經遇到過,重裝系統后,千萬不能去雙擊其他盤符,一點就完蛋。要用右鍵或用資源管理器打開,或直接格式化。另外,你最好不要用以前下載的軟件包(可能已經被感染),要重新下載一次。
南山 2008.07.04
shadowsese 2008-07-05 11:16 胡大大: 我按照你的方法試了一下,發現輸入法和任務管理器都正常了,而且也沒有什么異常的進程以及其他的東西,可是每次開機,那個REGEDIT.EXE文件夾還是會自動打開,每次用其他殺毒軟件,例如360掃描時,這個文件夾也會自動打開,搞不懂..請胡大大指教啊
南山 2008-07-05 16:29 你用這個修改過的批處理再試一下:晚上QQ聯系.
胡鐵華 2008-07-05 22:43 這個我看了半天還是沒弄懂,不知這個病毒有什么特征,危害在哪些方面。我現在新裝了個卡巴斯基V7。0,應該不會有病毒了吧。原來我的文件中總是有個HY的木馬,只要是文件包,都會有這樣一個文件,手工刪了,下次又有,這次裝了卡巴斯基V7。0,就沒出現了,你所說的那個“autorun.inf”也見過!在插入優盤時有提示,我一般都是退出提示后再從“我的電腦”中進入優盤,好象沒什么事,不過我現在是只要機子運行變慢了就重裝一次程序,笨人用笨法子! 這次裝了這個卡巴斯基V7。0后,出現一個新情況,中華胡姓網就不能上了,一上就報警,點擊“拒絕”,然后就轉變是英文字幕的網頁了,有時又能上,但我不敢久留,因為再點擊又報警,主要是不能點擊“中華胡姓論壇”,一點就有反應,真謂是“有求必應”!
南山 2008-07-08 20:28 下面殺毒方法已經更新,請見一樓更新日期,這里是保存舊文章,
1. 使用XDelBox1.7(官方下載:http://www.dodudou.com/down/,在本帖附件里也有)刪除以下病毒文件:
說明:復制下面所有病毒文件(包括文件的路徑),到待刪除文件列表里,點擊右鍵選擇"剪貼板導入不檢查路徑"導入,一定要選“抑制再生”,不選“備份文件”。然后全部選定待刪除文件,點擊右鍵選擇“立刻重啟執行刪除”,電腦重啟進入DOS界面進行刪除和免疫處理。 該軟件支持 C 盤格式:FAT32、NTFS格式、NTFS帶壓縮,不支持最新 Windows Vista ,不支持系統盤非C盤。
c:\windows\fonts\fonts.exe c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe c:\windows\remoteabc.exe c:\windows\system32\dllcache\default.exe c:\windows\system\keyboard.exe c:\windows\system32\dllcache\rndll32.exe c:\windows\system32\drivers\drivers.cab.exe c:\windows\media\rndll32.pif c:\windows\pchealth\helpctr\binaries\helphost.com c:\windows\fonts\tskmgr.exe c:\windows\system32\cdcd.sys C:\MS-DOS.com D:\MS-DOS.com E:\MS-DOS.com F:\MS-DOS.com g:\MS-DOS.com h:\MS-DOS.com c:\autorun.inf d:\autorun.inf e:\autorun.inf f:\autorun.inf g:\autorun.inf h:\autorun.inf
(如果不能運行,或運行不成功,請看下面三樓替換方案)
2.重啟動系統后,建議使用SREng軟件(官方下載:http://www.kztechs.com/sreng/index.html,在本帖附件里也有)修復系統。
2.1修復注冊表 啟動項目 -- 注冊表里如有以下項目必須刪除之: [sys] <C:\WINDOWS\Fonts\Fonts.exe> [] <C:\WINDOWS\system32\dllcache\Default.exe> [] <C:\WINDOWS\system\KEYBOARD.exe> [] <C:\WINDOWS\system32\dllcache\Default.exe> [MSConfig] <; C:\WINDOWS\system32\dllcache\rndll32.exe /auto>
2.2修復文件關聯
2.3刪除hosts文件
3.清理系統
3.1刪除映像劫持項(建議使用"機器狗&映像劫持修復工具"軟件,在本帖附件里有) [IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe> [IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe> [IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe> [IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe> [IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe> [IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif> [IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com> [IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>
3.2刪除服務項(如果有的話) 啟動項目-- 服務--Win32服務應用程序: [2 / 32] <C:\WINDOWS\RemoteAbc.exe> 啟動項目-- 服務-- 驅動程序: [Cdsys / Cdsys] <C:\WINDOWS\system32\cdcd.sys>
3.3清理系統臨時文件和IE臨時文件夾 建議使用超級兔子等清理工具,目的是清除殘余病毒文件: 超級兔子:http://www.pctutu.com/ Windows清理助手:http://www.arswp.com/download/arswp/arswp.rar
3.4 修復“explorer.exe程序遇到問題需要關閉”的提示錯誤 在dos命令提示符下輸入以下命令語句: for %1 in (c:\windows\system32\*.dll) do regsvr32.exe /s %1
4.恢復優盤文件夾
4.1刪除220K文件夾病毒
找出并刪除偽裝成文件夾的病毒程序(主要在優盤上,特點是文件大小都是220K),如果不能刪除則參照下面命令執行。
4.2在dos命令提示符下恢復被隱藏的原文件夾
x: (轉到優盤所在盤符) attrib -s -h -r /s /d 注意,此命令只能在優盤盤符下使用,不能在C:盤盤符下使用,其他盤慎重使用。
至此ms-dos.com病毒被徹底清除,而且電腦被免疫。以上辦法不是唯一的,但確實是有效的。 注意:為對付該病毒的變種,本貼將隨時更新處理辦法,請關注。
同時也請關注胡氏宗親網(http://www.zz-lawyer.com),全球胡姓宗親的網上家園。保護好您的電腦,每天能夠順利登錄胡氏宗親網,不為病毒所煩惱,南山愿意為廣大宗親朋友提供服務。
南山 2008-07-08 21:25 本病毒解決方案已經更新,請見一樓上面的更新說明。南山
chairmenyi 2008-07-10 20:24 控制面板為空白的情況能否解決一下,謝謝
ok455 2008-07-12 08:41 我用樓主的方法殺掉了病毒。謝謝了!樓主真強!
南山 2008-07-13 16:58 我一共接到過三起“控制面板為空白”的報告,其中一起我是親眼所見,兩起是網友在QQ上告訴我的。這種現象的出現肯定是和一個晃來晃去的浮動窗口有關,即每隔幾秒鐘出現一個藍色背景的浮動窗口在桌面上漂浮,上面寫著“this computer is being attacked ”(本電腦正在受到攻擊 ),用我上面的軟件處理后不會出現了,但控制面板會變成空白(什么也沒有),許多文件都打不開了。
我奇怪的是,為什么在我的裸機試驗中并沒有出現過這種現象,而確實是有人反映過,我也見過一例,只是當時沒有在意,電腦重裝了,病毒樣本也就消失了。今天在網上找了一天也沒有找到病毒樣本。
請哪位電腦有這種現象(控制面板空白,文件打不開)的朋友,把用Seng-2智能掃描后的報告發給我一下。對照多份報告興許能看出些名堂來。另外,建議你重新建一個有管理員權限的用戶(假如能建的話),我估計病毒已經修改了你的用戶(管理員)權限,所以說了也白說。
今天又下載了最新360安全衛士殺毒軟件(4.18.1008)做試驗,可以查出有可疑項,但仍然是處理不了,開機重啟,病毒照樣存在。據說卡巴斯基最新版能殺,我下載一個7.0沒有激活碼試驗不成。
南山 2008.07.13 南山聯系方式:QQ:114412749 (殺毒專用QQ:749060963) E-mail:hxy123@gmail.com
查看完整版本: [-- 手工清除ms-dos.com病毒的方法 --] [-- top --]
|
|
|
|