手工清除ms-dos.com病毒的方法 [复制链接]

作者：南山 胡氏宗亲网（http://www.hszqw.com.cn）

本文发表以后，受到了广泛关注，至今已近8000次下载。为不影响胡氏宗亲网论坛的正常运作，该杀毒软件已经移到胡氏宗亲网首页争鸣栏目http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016，不需要注册，免费下载。南山欢迎各位朋友关注胡氏宗亲网，欢迎来论坛留言发帖。谢谢！

关键字：global.exe、fonts.exe、keyboard.exe、ms-dos.com、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit关联、病毒防御、病毒免疫。

病毒自运行机制分析：ms-dos.com病毒主要是通过优盘传播。在没有病毒防护的情况下，autorun.inf可以自动运行ms-dos.com病毒程序，也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件，分布在不同的文件夹里，按Ctrl+Alt+Del键可以看到有：Global.exe、keyboard.exe、fonts.exe等病毒进程在运行，且互为保护无法中止这些进程；病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等；将优盘内的文件夹隐藏，用同名的220K病毒文件取代；在所有盘符下生成autorun.inf、ms-dos.com两个自动运行文件；不断产生“explorer程序遇到问题需要关闭”等出错提示；还可以通过局域网网络感染共享文件夹。

诊断与危害分析：通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关；查看各盘符根目录下有ms-dos.com文件；查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒（如优盘上的220K病毒文件），即使格式化C盘，重装系统，稍不留意仍然会死灰复燃，前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危，由于没有专杀软件，防毒、杀毒苦不堪言，严重影响正常工作。

清除方法：经过仔细分析病毒运行机制，发现必须要把防御此病毒作为解决问题的关键，否则不管采取何种措施，都是不会有效果的。仔细查出主要病毒文件所在，使用我提供的优化杀毒软件包十分钟就可以解决问题，以后的恢复文件相对就容易多了。

整个杀毒过程共分四个步骤进行：中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。（目前已经成功处理多例）

具体处理步骤和相关软件下载请到：http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016

南山（胡氏宗亲网http://www.hszqw.com.cn总版主）
2008.05.27发布
2008.07.08修改


关于手工处理ms-dos.com病毒的方法

经过断断续续的调试，终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐，可以弃之不用（放到第26楼去了）。以前病毒在暗处，我们在明处，防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机，在上面进行了几十次的调试，终于顺利完工。新的杀毒软件包一共只有四个文件，其中两个是辅助软件（sreng-2和冰刃IceSword122cn），另外两个，一是批处理文件（yereg-rd.bat），还有一个是注册表文件（killms.reg），都是只需点一下就可完成。

先说说裸机试验过程：

为摸清这个病毒的来龙去脉和了解杀毒效果，我先清装一台电脑，没有装任何杀毒软件，先做一个GHOST备份（调试过程中需要多次恢复原始状态），然后把病毒样本（ms-dos.com)和杀毒软件包拷贝进去。

准备就绪，开动。点击病毒文件ms-dos.com后就像是打开了潘多拉的盒子，瞬时间，一台完好的电脑立即被蹂躏得不成样。用sreng-2检查注册表，看到已经被加入了三个以上的自启动项目：sys、keyboard.exe、system.exe等，八九个不同名称的病毒文件分别生成在不同位置，映象劫持一共是8项，这就是为什么输入法消失、任务管理器和注册表编辑器失效的原因。用冰刃软件检查，发现多出了好几个病毒进程，包括global.exe、system.exe、default.exe等等，这时电脑已经运行缓慢，输入法失效，开始乱跳explorer出错窗口、莫名其妙跳出regedit注册表编辑器，噩梦从此开始。

由于我已经事先做了充分的准备，要的就是这个病毒的效果再现。下面我把经优化过的处理方案详细介绍如下，如果你的电脑上只有这一种病毒的话，我可以保证不出十分钟，药到病除，一切恢复到正常状态。

第一步还是中止该死的进程，我试图用批处理来中止，但是失败了。主要有几个关键进程互相保护很难对付，另外“taskkill”这条命令在WINDOWS XP HOME版本下不起作用，最后还是用冰刃IceSword122cn来解决掉。我以前也有介绍，就是必须要用“创建进程规则”的方法中止掉global.exe、system.exe，这两个病毒进程互相保护狼狈为奸，一旦中止，后面的清除工作就好办多了。除这两个外，可能还有一些进程也要中止，可参看批处理里面的病毒文件名。

第二步是用我编写的批处理程序（yereg-rd.bat）跑一遍，删除所有病毒文件，建立免疫文件夹。这次发表的最新修改处，主要是增加了对以前漏掉的病毒文件的处理：c:\windows\cursors\boom.vbs和c:\windows\system32\regedit.exe，还有一个C:\WINDOWS\Help\microsoft.hlp,这个文件危害好像不明显，但也不能让它成为漏网之鱼。很多朋友说开机有regedit.exe注册表编辑器跳出来，就是因为我上次漏掉了regedit.exe，假冒的注册表编辑器文件，真正的regedit.exe是在c:\windows里面，不是在c:\windows\system32里面。

第三步是用软件包里的sreng-2修复注册表编辑器的关联：打开sreng-2（可能有已经过期的提示，不要紧，把系统日期修改成2007年照样可用），别的都不用做，只把“系统修复--文件关联”做一下就可以了。重复点几下，当发现 .reg 的关联变成“regedit.exe”就正常了（如果第一步没有中止进程，这里也不可能恢复）。

第四步是清除注册表启动项和清除映像劫持项以及清除一些病毒残留。很简单，只需要将软件包里的“killms.reg”执行一下，导入注册表就可以了，这几步以前都要用手工和辅助软件配合来做，比较麻烦。现在省事多了。

这四个步骤做完，关机重启，你就会发现，这个该死的病毒已经被彻底清除完毕，一切都恢复了正常。如果以后再被优盘感染（可能性很大)，继续按上面的步骤重复做。

总结一下几个关键点：必须先中止进程，否则根本没办法继续往下做第二步；然后是修复regedit注册表编辑器的关联，这是为做第四步创造前提条件。环环相扣，不能省略也不能提前做。

病毒清除完毕，恢复被隐藏的文件夹删除伪装的220K病毒文件夹就比较容易了，可参照以前的说明做。见第26楼的4.恢复优盘文件夹

我想说明的是，到七月三日，我试过一些免费的杀毒软件对此病毒根本就没有反应，但是诺顿的7.3升级包已经查出来并命名为：w32.sillyfdc病毒，而且可以将其隔离处理，包括global.exe、system.exe、default.exe、ms-dos.com等等，然而却不能清理启动项，映像劫持，修复关联。使用我下面的优化杀毒软件包（2008.07.08）就可以做到。南山欢迎广大宗亲朋友下载使用。效果好，请替我们胡氏宗亲网（http://www.hszqw.com.cn）做些广告宣传，效果不好，请在本帖后面跟帖指出问题现象，我再改进。

南山的联系方式：QQ:114412749 （杀毒专用QQ:749060963） E-mail:hxy123@gmail.com


描述：手工处理ms-dos.com病毒相关软件
附件：  hszqw.com.cn.rar (2353 K) 下载次数:483 [删除]

描述：替代XDelBox1.7删除病毒文件
附件：  remsdos.rar (2 K) 下载次数:132 [删除]

描述：最新清除ms-dos.com病毒软件
附件：  killmsdos.rar (3929 K) 下载次数:272 [删除]

描述：2008.07.08最新清除ms-dos.com病毒软件
附件：  hszqw.com.cn.rar (4887 K) 下载次数:104 [删除]

[font=宋体]本杀毒软件已经移到胡氏宗亲网首页争鸣栏目。不需要注册，免费下载：
http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016

厉害～～～

裸机试验查出的病毒文件和启动项：

文件 E:\hu-killa\hu-kill\MS-DOS.com 的分析结果：

文件基本信息：

文件大小：225280 字节
文件MD5：9ace69c9476c1773370f7032f9cf70e0

系统盘相同文件列表：

C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\pchealth\Global.exe
C:\MS-DOS.com

注册表启动项分析：

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\WINDOWS\system\KEYBOARD.exe>
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
<sys><C:\WINDOWS\Fonts\Fonts.exe>

文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  Error. [C:\WINDOWS\pchealth\Global.exe]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

Autorun.inf
[C:\]
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
[D:\]
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
[E:\]
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com


这个小小的病毒，花了我两天时间来处理，总算是解决了问题。本来是想通过自编批处理程序一次性搞定，以方便使用。但调试程序太费时间，尤其是注册表里面的启动项，映像劫持项一共是8项，用个小软件点一下就行了。

DOS环境下可以做很多事，比那些动辄就来个全盘扫毒的专杀程序，更加便捷有效。用我上面的办法处理这个老顽固病毒，最多20分钟就可以搞定，而且不会再被感染。（目前是这样，难说今后出来变种病毒。生命不息，杀毒不止，与病毒作斗争其乐无穷。）

南山 2008.05.28
2008.07.09修改

以下方案已停止使用，请见楼上更新说明。

最新修改：

如果发现XDelBox1.7不能正常运行，可用下面这个批处理文件代替执行，最好是在DOS环境下运行。

本程序取代XDelBox1.7删除病毒文件，做完以后请按照http://www.hszqw.com.cn/bbs/read.php?tid=7358的介绍从第2步骤继续。

这两天又做了一些修改。主要是发现开机有一个进程借“regedit.exe"（注册表编辑器）发作，导致上面办法全功尽弃，而且会跳出一个象枫叶样的窗口在屏幕上晃来晃去。

解决办法：用冰刃软件（IceSword120_cn）中止“global.exe”进程，这是杀毒的关键所在。不中止掉这个进程是无法继续下去的。而其他工具我也试过，感觉到还是这个软件最好用。你可以直接中止掉“global.exe”进程，也可以创建一个禁止进程的规则。

以后的处理方法和上面介绍的相同，只是我对批处理做了一点修改。对regedit.exe做了删除处理，建立一个regedit.exe文件夹，避免了开机后就发作的现象。

下午把相关软件发附件上来。

南山 2008.06.03

以下处理方法可以不用了，最新方法见上面。

手工清除ms-dos.com病毒的方法：

作者：南山 胡氏宗亲网（http://www.hszqw.com.cn）
http://www.hszqw.com.cn/bbs/read.php?tid=7358

由于发现有的软件对NTFS格式系统支持不够完善，不能彻底删除病毒文件，故采用自编批处理程序取代之。再辅以其他手段，到目前为止，已经成功解决了大部分问题，有效制止了该病毒的蔓延。

具体步骤为：

1。必须强行中止“global.exe”进程，其他进程都可以中止，唯独这个进程必须用冰刃软件（IceSword120_cn）强行中止。可以在冰刃软件里创建一个禁止“global.exe”进程的规则，确定以后才能制止这个猖獗的病毒主进程，其他病毒进程只有在“global.exe”被中止后才能随之被中止。

2。用“机器狗&映像劫持修复工具”软件清理一下被映像劫持的项，一般有8项，只要被清除后不再冒出来，就说明上面的病毒进程确实已被中止。

3。用“SREng2”软件清理注册表启动项，把带有“Global.exe、keyboard.exe、fonts.exe”和“sys”的启动项都删掉。

4。用“remsdos.rar ”批处理程序中止其他进程、删除病毒程序、建立免疫子目录。

重新开机，再次检查进程、映像劫持、注册表启动项、病毒文件所在目录，你就会发现这个顽固的病毒已经被清除掉了，输入法恢复了正常。剩下的工作就是删除优盘220K病毒文件夹，把被病毒所隐藏的文件夹恢复正常。

说明：由于发现开机有一个进程借“regedit.exe"（注册表编辑器）发作，导致上面办法前功尽弃，而且会跳出一个带枫叶样的窗口在屏幕上晃来晃去，所以我在批处理程序中加入一句删除现有的“regedit.exe"文件，并附一个改了后缀的“regedit.com”文件，可以根据需要拷贝到c:\windows\，替代使用。

南山 2008.06.06

该病毒参考资料：http://security.ccidnet.com/art/1099/20080605/1467517_1.html

胡大大：
      本人小菜一只，下了你的软件包，也用了你的教的方法。
用"机器狗&映像劫持修复工具"软件删除了映像劫持项,终于可以用任务管理器了。
      之后，又使用SREng，按照你教程上说的亦步亦趋，可输入法却始终没找回来。我先清理了注册表，有 一个启动项怎么也删除不了，这个病毒在启动文件夹中，名字是：self.bat 
在电脑里的径是：C:\Documents and Settings\All Users\「开始」菜单\程序\启动
        实在不知怎么样处理，特此请教。



                                                辽宁省  虞无涯

                                                                  qq:76717230
                                                                  我的邮箱：binw1111.sohu.com

已经成功解决，不过关闭global那个程序光靠冰刃还不够，要靠globalexe killer.bat，再加上胡大大那些软件，药到病除，花了3小时才搞好的...

binw1111朋友：你可能同时中了两种病毒。后一种病毒尚不清楚运行机制，无法回答。输入法没有恢复，你可以在其他电脑上拷贝一个正常的 Internat.exe  文件 到相应目录里试试。正常的Internat.exe  应该是在c:\windows\system里。有可能被病毒文件替换掉了。
南山

强！！！！！！！