手工清除ms-dos.com病毒的方法 [复制链接]

今天下午在QQ上帮“摔倒了不哭”朋友彻底解决了这个病毒。总结如下：

1.上次她按照我说的办法都做对了，但忽视了优盘上的220K病毒文件夹的清理，导致前功尽弃，病毒卷土重来。

2.的确如7楼所说，有的进程只用冰刃软件不能解决，原因是里面还有其他进程互相保护。她这一例就有“system.exe"和“global.exe”两个进程。

3.我的批处理程序里少写了对一个病毒文件的处理，让它成了漏网之鱼，祸害不小。

4.现在虽然能处理病毒，感觉对此病毒的防御仍有薄弱之处。

此病毒可从三方面（优盘和硬盘的自动运行、感染局域网内共享文件夹、点击220K病毒文件夹）传播，主要是220K病毒程序点击后发作。如果有实时专杀软件，一旦发现立即删除，就不会等它发作以后再来清除。

好像到现在各个杀毒公司还没有研究出专杀方法，所以我这个半手工解决方案已经有了好几百次下载，欢迎继续讨论，寻找更好的解决方案。

南山 2008.06.24

修改后的批处理文件：请见楼上更新说明

南山大大请教你一下，我按照你的方法杀过毒以后，又重装了系统现在出现有些安装软件无法打开的问题，比如说NERO，点开后出现报错调试或关闭。winrar压缩文档的图标上还有乱码。我又全部格式化所有盘以后问题依旧，请帮帮我这是怎么回事啊。万分感谢～～

huzikai 朋友：

        这个病毒的顽固之处就在它以多种形式存在，其中每个盘上都有autorun.inf还有许多220K的病毒文件，加上遍布各个角落的不同名称的病毒，只要有一个漏网之鱼，一切都会前功尽弃。最初我也是花了好长时间来对付它，和你同样的郁闷。后来我琢磨出了对付它的办法，就是必须先把所有病毒进程中止掉，然后再用自编的批处理，把所有的病毒文件删掉，建立同名的文件夹避免再次感染，最后用一些辅助软件清理启动项，注册表，除恶务尽，经我亲手处理的不下20例之多，在QQ上也帮很多网友解决掉这个病毒。最近几天，我正在通过裸机试验，查清它的运行机制，把批处理程序修改的更加完善。告诉大家，诺顿杀毒软件的最新版，已经可以识别和清除autorun.inf和ms-dos,com这两个病毒文件。对其他主要病毒文件是否有效识别清除，要看我明天的试验结果。

        你发帖所说的情况，我感到很纳闷。应该说按照我说的几个步骤做下来，就可以清除并免疫。QQ上有的网友清理有反复，主要是优盘上没有清理干净。你说的情况可能是C盘和其他盘有交叉感染，我也曾经遇到过，重装系统后，千万不能去双击其他盘符，一点就完蛋。要用右键或用资源管理器打开，或直接格式化。另外，你最好不要用以前下载的软件包（可能已经被感染），要重新下载一次。

南山 2008.07.04

胡大大:
      我按照你的方法试了一下,发现输入法和任务管理器都正常了,而且也没有什么异常的进程以及其他的东西,可是每次开机,那个REGEDIT.EXE文件夹还是会自动打开,每次用其他杀毒软件,例如360扫描时,这个文件夹也会自动打开,搞不懂..请胡大大指教啊

你用这个修改过的批处理再试一下:晚上QQ联系.

这个我看了半天还是没弄懂，不知这个病毒有什么特征，危害在哪些方面。我现在新装了个卡巴斯基V7。0，应该不会有病毒了吧。原来我的文件中总是有个HY的木马，只要是文件包，都会有这样一个文件，手工删了，下次又有，这次装了卡巴斯基V7。0，就没出现了，你所说的那个“autorun.inf”也见过！在插入优盘时有提示，我一般都是退出提示后再从“我的电脑”中进入优盘，好象没什么事，不过我现在是只要机子运行变慢了就重装一次程序，笨人用笨法子！
这次装了这个卡巴斯基V7。0后，出现一个新情况，中华胡姓网就不能上了，一上就报警，点击“拒绝”，然后就转变是英文字幕的网页了，有时又能上，但我不敢久留，因为再点击又报警，主要是不能点击“中华胡姓论坛”，一点就有反应，真谓是“有求必应”啊！

下面杀毒方法已经更新，请见一楼更新日期，这里是保存旧文章，

1. 使用XDelBox1.7（官方下载：http://www.dodudou.com/down/，在本帖附件里也有）删除以下病毒文件：

  说明：复制下面所有病毒文件（包括文件的路径），到待删除文件列表里，点击右键选择"剪贴板导入不检查路径"导入，一定要选“抑制再生”，不选“备份文件”。然后全部选定待删除文件，点击右键选择“立刻重启执行删除”，电脑重启进入DOS界面进行删除和免疫处理。
  该软件支持 C 盘格式：FAT32、NTFS格式、NTFS带压缩，不支持最新 Windows Vista ，不支持系统盘非C盘。

c:\windows\fonts\fonts.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
c:\windows\remoteabc.exe
c:\windows\system32\dllcache\default.exe
c:\windows\system\keyboard.exe
c:\windows\system32\dllcache\rndll32.exe
c:\windows\system32\drivers\drivers.cab.exe
c:\windows\media\rndll32.pif
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\fonts\tskmgr.exe
c:\windows\system32\cdcd.sys
C:\MS-DOS.com
D:\MS-DOS.com
E:\MS-DOS.com
F:\MS-DOS.com
g:\MS-DOS.com
h:\MS-DOS.com
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
g:\autorun.inf
h:\autorun.inf

（如果不能运行，或运行不成功，请看下面三楼替换方案）

2.重启动系统后，建议使用SREng软件（官方下载：http://www.kztechs.com/sreng/index.html，在本帖附件里也有）修复系统。

2.1修复注册表
启动项目 －－ 注册表里如有以下项目必须删除之：
[sys] <C:\WINDOWS\Fonts\Fonts.exe>
[] <C:\WINDOWS\system32\dllcache\Default.exe>
[] <C:\WINDOWS\system\KEYBOARD.exe>
[] <C:\WINDOWS\system32\dllcache\Default.exe>
[MSConfig] <; C:\WINDOWS\system32\dllcache\rndll32.exe /auto>

2.2修复文件关联

2.3删除hosts文件


3.清理系统

3.1删除映像劫持项（建议使用"机器狗&映像劫持修复工具"软件,在本帖附件里有）
[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>
[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>
[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>
[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>

3.2删除服务项（如果有的话）
启动项目-- 服务--Win32服务应用程序：
[2 / 32] <C:\WINDOWS\RemoteAbc.exe>
启动项目-- 服务-- 驱动程序：
[Cdsys / Cdsys] <C:\WINDOWS\system32\cdcd.sys>

3.3清理系统临时文件和IE临时文件夹
建议使用超级兔子等清理工具，目的是清除残余病毒文件：
超级兔子：http://www.pctutu.com/
Windows清理助手：http://www.arswp.com/download/arswp/arswp.rar

3.4 修复“explorer.exe程序遇到问题需要关闭”的提示错误
在dos命令提示符下输入以下命令语句：
for %1 in (c:\windows\system32\*.dll) do regsvr32.exe /s %1


4.恢复优盘文件夹

4.1删除220K文件夹病毒

找出并删除伪装成文件夹的病毒程序（主要在优盘上，特点是文件大小都是220K），如果不能删除则参照下面命令执行。

4.2在dos命令提示符下恢复被隐藏的原文件夹

x:  (转到优盘所在盘符）
attrib -s -h -r  /s /d
注意，此命令只能在优盘盘符下使用，不能在C:盘盘符下使用，其他盘慎重使用。

至此ms-dos.com病毒被彻底清除，而且电脑被免疫。以上办法不是唯一的，但确实是有效的。
注意：为对付该病毒的变种，本贴将随时更新处理办法，请关注。

同时也请关注胡氏宗亲网（http://www.hszqw.com.cn)，全球胡姓宗亲的网上家园。保护好您的电脑，每天能够顺利登录胡氏宗亲网，不为病毒所烦恼，南山愿意为广大宗亲朋友提供服务。

本病毒解决方案已经更新，请见一楼上面的更新说明。南山

控制面板为空白的情况能否解决一下，谢谢

我用楼主的方法杀掉了病毒。谢谢了！楼主真强！