网站首页 | 论坛首页 | 寻根系统 | 纪念馆
 
 
手工清除ms-dos.com病毒的方法讨论
[ 来源:胡氏宗亲网 | 编辑:南山 | 时间:2008-07-14 10:54:42 ]
胡氏宗亲网论坛 -> 数字广场 -> 手工清除ms-dos.com病毒的方法 [打印本页] 登录 -> 注册 -> 回复主题 -> 发表主题


南山 2008-05-27 16:40

作者:南山 胡氏宗亲网(http://www.hszqw.com.cn

关键字:global.exe、fonts.exe、keyboard.exe、ms-dos.com、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit关联、病毒防御、病毒免疫。

病毒自运行机制分析:ms-dos.com病毒主要是通过优盘传播。在没有病毒防护的情况下,autorun.inf可以自动运行ms-dos.com病毒程序,也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件,分布在不同的文件夹里,按Ctrl+Alt+Del键可以看到有:Global.exe、keyboard.exe、fonts.exe等病毒进程在运行,且互为保护无法中止这些进程;病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等;将优盘内的文件夹隐藏,用同名的220K病毒文件取代;在所有盘符下生成autorun.inf、ms-dos.com两个自动运行文件;不断产生“explorer程序遇到问题需要关闭”等出错提示;还可以通过局域网网络感染共享文件夹。

诊断与危害分析:通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关;查看各盘符根目录下有ms-dos.com文件;查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的220K病毒文件),即使格式化C盘,重装系统,稍不留意仍然会死灰复燃,前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。

清除方法:经过仔细分析病毒运行机制,发现必须要把防御此病毒作为解决问题的关键,否则不管采取何种措施,都是不会有效果的。仔细查出主要病毒文件所在,使用我提供的优化杀毒软件包十分钟就可以解决问题,以后的恢复文件相对就容易多了。

整个杀毒过程共分四个步骤进行:中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。(目前已经成功处理多例)

具体处理步骤和相关软件下载请到:http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016

南山(胡氏宗亲网http://www.hszqw.com.cn总版主)
2008.05.27发布
2008.07.08修改


关于手工处理ms-dos.com病毒的方法

经过断断续续的调试,终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐,可以弃之不用(放到第26楼去了)。以前病毒在暗处,我们在明处,防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机,在上面进行了几十次的调试,终于顺利完工。新的杀毒软件包一共只有四个文件,其中两个是辅助软件(sreng-2和冰刃IceSword122cn),另外两个,一是批处理文件(yereg-rd.bat),还有一个是注册表文件(killms.reg),都是只需点一下就可完成。

先说说裸机试验过程:

为摸清这个病毒的来龙去脉和了解杀毒效果,我先清装一台电脑,没有装任何杀毒软件,先做一个GHOST备份(调试过程中需要多次恢复原始状态),然后把病毒样本(ms-dos.com)和杀毒软件包拷贝进去。

准备就绪,开动。点击病毒文件ms-dos.com后就像是打开了潘多拉的盒子,瞬时间,一台完好的电脑立即被蹂躏得不成样。用sreng-2检查注册表,看到已经被加入了三个以上的自启动项目:sys、keyboard.exe、system.exe等,八九个不同名称的病毒文件分别生成在不同位置,映象劫持一共是8项,这就是为什么输入法消失、任务管理器和注册表编辑器失效的原因。用冰刃软件检查,发现多出了好几个病毒进程,包括global.exe、system.exe、default.exe等等,这时电脑已经运行缓慢,输入法失效,开始乱跳explorer出错窗口、莫名其妙跳出regedit注册表编辑器,噩梦从此开始。

由于我已经事先做了充分的准备,要的就是这个病毒的效果再现。下面我把经优化过的处理方案详细介绍如下,如果你的电脑上只有这一种病毒的话,我可以保证不出十分钟,药到病除,一切恢复到正常状态。

第一步还是中止该死的进程,我试图用批处理来中止,但是失败了。主要有几个关键进程互相保护很难对付,另外“taskkill”这条命令在WINDOWS XP HOME版本下不起作用,最后还是用冰刃IceSword122cn来解决掉。我以前也有介绍,就是必须要用“创建进程规则”的方法中止掉global.exe、system.exe,这两个病毒进程互相保护狼狈为奸,一旦中止,后面的清除工作就好办多了。除这两个外,可能还有一些进程也要中止,可参看批处理里面的病毒文件名。

第二步是用我编写的批处理程序(yereg-rd.bat)跑一遍,删除所有病毒文件,建立免疫文件夹。这次发表的最新修改处,主要是增加了对以前漏掉的病毒文件的处理:c:\windows\cursors\boom.vbs和c:\windows\system32\regedit.exe,还有一个C:\WINDOWS\Help\microsoft.hlp,这个文件危害好像不明显,但也不能让它成为漏网之鱼。很多朋友说开机有regedit.exe注册表编辑器跳出来,就是因为我上次漏掉了regedit.exe,假冒的注册表编辑器文件,真正的regedit.exe是在c:\windows里面,不是在c:\windows\system32里面。

第三步是用软件包里的sreng-2修复注册表编辑器的关联:打开sreng-2(可能有已经过期的提示,不要紧,把系统日期修改成2007年照样可用),别的都不用做,只把“系统修复--文件关联”做一下就可以了。重复点几下,当发现 .reg 的关联变成“regedit.exe”就正常了(如果第一步没有中止进程,这里也不可能恢复)。

第四步是清除注册表启动项和清除映像劫持项以及清除一些病毒残留。很简单,只需要将软件包里的“killms.reg”执行一下,导入注册表就可以了,这几步以前都要用手工和辅助软件配合来做,比较麻烦。现在省事多了。

这四个步骤做完,关机重启,你就会发现,这个该死的病毒已经被彻底清除完毕,一切都恢复了正常。如果以后再被优盘感染(可能性很大),继续按上面的步骤重复做。

总结一下几个关键点:必须先中止进程,否则根本没办法继续往下做第二步;然后是修复regedit注册表编辑器的关联,这是为做第四步创造前提条件。环环相扣,不能省略也不能提前做。

病毒清除完毕,恢复被隐藏的文件夹删除伪装的220K病毒文件夹就比较容易了,可参照以前的说明做。见第26楼的4.恢复优盘文件夹

我想说明的是,到七月三日,我试过一些免费的杀毒软件对此病毒根本就没有反应,但是诺顿的7.3升级包已经查出来并命名为:w32.sillyfdc病毒,而且可以将其隔离处理,包括global.exe、system.exe、default.exe、ms-dos.com等等,然而却不能清理启动项,映像劫持,修复关联。使用我下面的优化杀毒软件包(2008.07.08)就可以做到。南山欢迎广大宗亲朋友下载使用。效果好,请替我们胡氏宗亲网(http://www.hszqw.com.cn)做些广告宣传,效果不好,请在本帖后面跟帖指出问题现象,我再改进。

南山的联系方式:QQ:114412749 (杀毒专用QQ:749060963) E-mail:hxy123@gmail.com


描述:手工处理ms-dos.com病毒相关软件
附件: hszqw.com.cn.rar (2353 K) 下载次数:483 [删除]

描述:替代XDelBox1.7删除病毒文件
附件: remsdos.rar (2 K) 下载次数:132 [删除]

描述:最新清除ms-dos.com病毒软件
附件: killmsdos.rar (3929 K) 下载次数:272 [删除]

描述:最新清除ms-dos.com病毒软件
附件: hszqw.com.cn.rar (4887 K) 下载次数:104 [删除]


描述:2008.07.08最新清除ms-dos.com病毒软件下载:
(请注意,由于上传附件有限制,我将其拆成下面两个压缩文件,都要下载)

附件名称:msdos-1.rar
附件名称:msdos-1.rar 上传时间:2008-07-14 11:27:46
附件大小:2.103 M 下载次数:11142


附件名称:msdos-2.rar
附件名称:msdos-2.rar 上传时间:2008-07-14 11:30:25
附件大小:2.680 M 下载次数:10061




胡佰策 2008-05-28 07:38
厉害~~~ [s:7]


南山 2008-05-28 17:14
裸机试验查出的病毒文件和启动项:

文件 E:\hu-killa\hu-kill\MS-DOS.com 的分析结果:

文件基本信息:

文件大小:225280 字节
文件MD5:9ace69c9476c1773370f7032f9cf70e0

系统盘相同文件列表:

C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\pchealth\Global.exe
C:\MS-DOS.com

注册表启动项分析:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\WINDOWS\system\KEYBOARD.exe>
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
<sys><C:\WINDOWS\Fonts\Fonts.exe>

文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG Error. [C:\WINDOWS\pchealth\Global.exe]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

Autorun.inf
[C:\]
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
[D:\]
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com
Shell\Explore\command=MS-DOS.com
[E:\]
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\Open\command=MS-DOS.com


这个小小的病毒,花了我两天时间来处理,总算是解决了问题。本来是想通过自编批处理程序一次性搞定,以方便使用。但调试程序太费时间,尤其是注册表里面的启动项,映像劫持项一共是8项,用个小软件点一下就行了。

DOS环境下可以做很多事,比那些动辄就来个全盘扫毒的专杀程序,更加便捷有效。用我上面的办法处理这个老顽固病毒,最多20分钟就可以搞定,而且不会再被感染。(目前是这样,难说今后出来变种病毒。生命不息,杀毒不止,与病毒作斗争其乐无穷。)

南山 2008.05.28
2008.07.09修改


南山 2008-05-29 10:12
以下方案已停止使用,请见楼上更新说明。

最新修改:

如果发现XDelBox1.7不能正常运行,可用下面这个批处理文件代替执行,最好是在DOS环境下运行。

本程序取代XDelBox1.7删除病毒文件,做完以后请按照http://www.hszqw.com.cn/bbs/read.php?tid=7358的介绍从第2步骤继续。


南山 2008-06-03 10:39
这两天又做了一些修改。主要是发现开机有一个进程借“regedit.exe"(注册表编辑器)发作,导致上面办法全功尽弃,而且会跳出一个象枫叶样的窗口在屏幕上晃来晃去。

解决办法:用冰刃软件(IceSword120_cn)中止“global.exe”进程,这是杀毒的关键所在。不中止掉这个进程是无法继续下去的。而其他工具我也试过,感觉到还是这个软件最好用。你可以直接中止掉“global.exe”进程,也可以创建一个禁止进程的规则。

以后的处理方法和上面介绍的相同,只是我对批处理做了一点修改。对regedit.exe做了删除处理,建立一个regedit.exe文件夹,避免了开机后就发作的现象。

下午把相关软件发附件上来。

南山 2008.06.03


南山 2008-06-06 16:58
以下处理方法可以不用了,最新方法见上面。

手工清除ms-dos.com病毒的方法:

作者:南山 胡氏宗亲网(http://www.hszqw.com.cn
http://www.hszqw.com.cn/bbs/read.php?tid=7358

由于发现有的软件对NTFS格式系统支持不够完善,不能彻底删除病毒文件,故采用自编批处理程序取代之。再辅以其他手段,到目前为止,已经成功解决了大部分问题,有效制止了该病毒的蔓延。

具体步骤为:

1。必须强行中止“global.exe”进程,其他进程都可以中止,唯独这个进程必须用冰刃软件(IceSword120_cn)强行中止。可以在冰刃软件里创建一个禁止“global.exe”进程的规则,确定以后才能制止这个猖獗的病毒主进程,其他病毒进程只有在“global.exe”被中止后才能随之被中止。

2。用“机器狗&映像劫持修复工具”软件清理一下被映像劫持的项,一般有8项,只要被清除后不再冒出来,就说明上面的病毒进程确实已被中止。

3。用“SREng2”软件清理注册表启动项,把带有“Global.exe、keyboard.exe、fonts.exe”和“sys”的启动项都删掉。

4。用“remsdos.rar ”批处理程序中止其他进程、删除病毒程序、建立免疫子目录。

重新开机,再次检查进程、映像劫持、注册表启动项、病毒文件所在目录,你就会发现这个顽固的病毒已经被清除掉了,输入法恢复了正常。剩下的工作就是删除优盘220K病毒文件夹,把被病毒所隐藏的文件夹恢复正常。

说明:由于发现开机有一个进程借“regedit.exe"(注册表编辑器)发作,导致上面办法前功尽弃,而且会跳出一个带枫叶样的窗口在屏幕上晃来晃去,所以我在批处理程序中加入一句删除现有的“regedit.exe"文件,并附一个改了后缀的“regedit.com”文件,可以根据需要拷贝到c:\windows\,替代使用。

南山 2008.06.06

该病毒参考资料:http://security.ccidnet.com/art/1099/20080605/1467517_1.html


binw1111 2008-06-12 23:56
胡大大:
    本人小菜一只,下了你的软件包,也用了你的教的方法。
用"机器狗&映像劫持修复工具"软件删除了映像劫持项,终于可以用任务管理器了。
    之后,又使用SREng,按照你教程上说的亦步亦趋,可输入法却始终没找回来。我先清理了注册表,有 一个启动项怎么也删除不了,这个病毒在启动文件夹中,名字是:self.bat
在电脑里的径是:C:\Documents and Settings\All Users\「开始」菜单\程序\启动
    实在不知怎么样处理,特此请教。



                                辽宁省 虞无涯

                                            qq:76717230
                                            我的邮箱:binw1111.sohu.com


kof9708 2008-06-13 03:50
已经成功解决,不过关闭global那个程序光靠冰刃还不够,要靠globalexe killer.bat,再加上胡大大那些软件,药到病除,花了3小时才搞好的...


南山 2008-06-13 19:56
binw1111朋友:你可能同时中了两种病毒。后一种病毒尚不清楚运行机制,无法回答。输入法没有恢复,你可以在其他电脑上拷贝一个正常的 Internat.exe 文件 到相应目录里试试。正常的Internat.exe 应该是在c:\windows\system里。有可能被病毒文件替换掉了。
南山


目录 2008-06-14 08:08
强!!!!!!!


kaugummi 2008-06-14 11:28
本人现在就是中了这种病毒,无奈电脑里面有好多重要文件,不能全部格式化,怎么办呢,好着急!


syjda2008 2008-06-16 09:53
大师,呵呵!最近 有没有什么能防御这种病毒的软件呢?比如像360一样,可以防止auto自动运行,谢大师点拨


yimingyong 2008-06-16 20:55
我中了怎么杀不了啊


skydove 2008-06-19 12:28
牛啊~~~


weiwei 2008-06-20 01:40
谢谢大师啊. 不甚感激. 


摔倒了不哭 2008-06-20 19:19
南山,你好。我这里杀完毒后,发现掉了很多程序,只能重新安装吗?比如说,office找不到了,即使找到安装目录,也不能打开winword.exe怎么办呢?


南山 2008-06-20 19:33
你说的这种情况我也遇到过。那是在杀毒之前OFFICE就出现了需要重新安装的提示,这也是这个病毒造成的后果,估计正常文件被破坏了。还好,你只需先把office卸载,再找一张office安装盘重新安装,一切都会恢复正常的。我遇到过三例类似情况,拿到我这里来的时候就是这样。请先按照上面的介绍,杀完毒,再重装一下OFFICE。南山


朱峰 2008-06-22 20:49
U盘文件删除用的“显示隐藏系统文件到右键”这个工具一安装就把删除的病毒启动项又启动了,怎么办?


南山 2008-06-22 21:32
按照上面所介绍的再重新做一遍,不要用甚至可以删除掉这个工具,估计被染上了病毒。注意,关键是中止global.exe进程。你说的这种情况我也遇到过,但不是由于这个工具造成的。这也是难缠之处。网上有人说搞了五个小时最后还是重装系统。南山


南山 2008-06-22 21:37
另外,请关注一下其他国内外著名的杀毒软件对此是不是已经有了解决的办法。
现在又有报告说,控制面板也被禁止了,一片空白。我也遇到过一例,会不会是变种病毒出现了。
南山


南山 2008-06-24 16:46
今天下午在QQ上帮“摔倒了不哭”朋友彻底解决了这个病毒。总结如下:

1.上次她按照我说的办法都做对了,但忽视了优盘上的220K病毒文件夹的清理,导致前功尽弃,病毒卷土重来。

2.的确如7楼所说,有的进程只用冰刃软件不能解决,原因是里面还有其他进程互相保护。她这一例就有“system.exe"和“global.exe”两个进程。

3.我的批处理程序里少写了对一个病毒文件的处理,让它成了漏网之鱼,祸害不小。

4.现在虽然能处理病毒,感觉对此病毒的防御仍有薄弱之处。

此病毒可从三方面(优盘和硬盘的自动运行、感染局域网内共享文件夹、点击220K病毒文件夹)传播,主要是220K病毒程序点击后发作。如果有实时专杀软件,一旦发现立即删除,就不会等它发作以后再来清除。

好像到现在各个杀毒公司还没有研究出专杀方法,所以我这个半手工解决方案已经有了好几百次下载,欢迎继续讨论,寻找更好的解决方案。

南山 2008.06.24

修改后的批处理文件:请见楼上更新说明


huzikai 2008-07-03 16:44
南山大大请教你一下,我按照你的方法杀过毒以后,又重装了系统现在出现有些安装软件无法打开的问题,比如说NERO,点开后出现报错调试或关闭。winrar压缩文档的图标上还有乱码。我又全部格式化所有盘以后问题依旧,请帮帮我这是怎么回事啊。万分感谢~~


南山 2008-07-03 20:51
huzikai 朋友:

    这个病毒的顽固之处就在它以多种形式存在,其中每个盘上都有autorun.inf还有许多220K的病毒文件,加上遍布各个角落的不同名称的病毒,只要有一个漏网之鱼,一切都会前功尽弃。最初我也是花了好长时间来对付它,和你同样的郁闷。后来我琢磨出了对付它的办法,就是必须先把所有病毒进程中止掉,然后再用自编的批处理,把所有的病毒文件删掉,建立同名的文件夹避免再次感染,最后用一些辅助软件清理启动项,注册表,除恶务尽,经我亲手处理的不下20例之多,在QQ上也帮很多网友解决掉这个病毒。最近几天,我正在通过裸机试验,查清它的运行机制,把批处理程序修改的更加完善。告诉大家,诺顿杀毒软件的最新版,已经可以识别和清除autorun.inf和ms-dos,com这两个病毒文件。对其他主要病毒文件是否有效识别清除,要看我明天的试验结果。

    你发帖所说的情况,我感到很纳闷。应该说按照我说的几个步骤做下来,就可以清除并免疫。QQ上有的网友清理有反复,主要是优盘上没有清理干净。你说的情况可能是C盘和其他盘有交叉感染,我也曾经遇到过,重装系统后,千万不能去双击其他盘符,一点就完蛋。要用右键或用资源管理器打开,或直接格式化。另外,你最好不要用以前下载的软件包(可能已经被感染),要重新下载一次。

南山 2008.07.04


shadowsese 2008-07-05 11:16
胡大大:
    我按照你的方法试了一下,发现输入法和任务管理器都正常了,而且也没有什么异常的进程以及其他的东西,可是每次开机,那个REGEDIT.EXE文件夹还是会自动打开,每次用其他杀毒软件,例如360扫描时,这个文件夹也会自动打开,搞不懂..请胡大大指教啊


南山 2008-07-05 16:29
你用这个修改过的批处理再试一下:晚上QQ联系.


胡铁华 2008-07-05 22:43
这个我看了半天还是没弄懂,不知这个病毒有什么特征,危害在哪些方面。我现在新装了个卡巴斯基V7。0,应该不会有病毒了吧。原来我的文件中总是有个HY的木马,只要是文件包,都会有这样一个文件,手工删了,下次又有,这次装了卡巴斯基V7。0,就没出现了,你所说的那个“autorun.inf”也见过!在插入优盘时有提示,我一般都是退出提示后再从“我的电脑”中进入优盘,好象没什么事,不过我现在是只要机子运行变慢了就重装一次程序,笨人用笨法子!
这次装了这个卡巴斯基V7。0后,出现一个新情况,中华胡姓网就不能上了,一上就报警,点击“拒绝”,然后就转变是英文字幕的网页了,有时又能上,但我不敢久留,因为再点击又报警,主要是不能点击“中华胡姓论坛”,一点就有反应,真谓是“有求必应”啊!


南山 2008-07-08 20:28
下面杀毒方法已经更新,请见一楼更新日期,这里是保存旧文章,

1. 使用XDelBox1.7(官方下载:http://www.dodudou.com/down/,在本帖附件里也有)删除以下病毒文件:

说明:复制下面所有病毒文件(包括文件的路径),到待删除文件列表里,点击右键选择"剪贴板导入不检查路径"导入,一定要选“抑制再生”,不选“备份文件”。然后全部选定待删除文件,点击右键选择“立刻重启执行删除”,电脑重启进入DOS界面进行删除和免疫处理。
该软件支持 C 盘格式:FAT32、NTFS格式、NTFS带压缩,不支持最新 Windows Vista ,不支持系统盘非C盘。

c:\windows\fonts\fonts.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
c:\windows\remoteabc.exe
c:\windows\system32\dllcache\default.exe
c:\windows\system\keyboard.exe
c:\windows\system32\dllcache\rndll32.exe
c:\windows\system32\drivers\drivers.cab.exe
c:\windows\media\rndll32.pif
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\fonts\tskmgr.exe
c:\windows\system32\cdcd.sys
C:\MS-DOS.com
D:\MS-DOS.com
E:\MS-DOS.com
F:\MS-DOS.com
g:\MS-DOS.com
h:\MS-DOS.com
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
g:\autorun.inf
h:\autorun.inf

(如果不能运行,或运行不成功,请看下面三楼替换方案)

2.重启动系统后,建议使用SREng软件(官方下载:http://www.kztechs.com/sreng/index.html,在本帖附件里也有)修复系统。

2.1修复注册表
启动项目 -- 注册表里如有以下项目必须删除之:
[sys] <C:\WINDOWS\Fonts\Fonts.exe>
[] <C:\WINDOWS\system32\dllcache\Default.exe>
[] <C:\WINDOWS\system\KEYBOARD.exe>
[] <C:\WINDOWS\system32\dllcache\Default.exe>
[MSConfig] <; C:\WINDOWS\system32\dllcache\rndll32.exe /auto>

2.2修复文件关联

2.3删除hosts文件


3.清理系统

3.1删除映像劫持项(建议使用"机器狗&映像劫持修复工具"软件,在本帖附件里有)
[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>
[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>
[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>
[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>

3.2删除服务项(如果有的话)
启动项目-- 服务--Win32服务应用程序:
[2 / 32] <C:\WINDOWS\RemoteAbc.exe>
启动项目-- 服务-- 驱动程序:
[Cdsys / Cdsys] <C:\WINDOWS\system32\cdcd.sys>

3.3清理系统临时文件和IE临时文件夹
建议使用超级兔子等清理工具,目的是清除残余病毒文件:
超级兔子:http://www.pctutu.com/
Windows清理助手:http://www.arswp.com/download/arswp/arswp.rar

3.4 修复“explorer.exe程序遇到问题需要关闭”的提示错误
在dos命令提示符下输入以下命令语句:
for %1 in (c:\windows\system32\*.dll) do regsvr32.exe /s %1


4.恢复优盘文件夹

4.1删除220K文件夹病毒

找出并删除伪装成文件夹的病毒程序(主要在优盘上,特点是文件大小都是220K),如果不能删除则参照下面命令执行。

4.2在dos命令提示符下恢复被隐藏的原文件夹

x: (转到优盘所在盘符)
attrib -s -h -r /s /d
注意,此命令只能在优盘盘符下使用,不能在C:盘盘符下使用,其他盘慎重使用。

至此ms-dos.com病毒被彻底清除,而且电脑被免疫。以上办法不是唯一的,但确实是有效的。
注意:为对付该病毒的变种,本贴将随时更新处理办法,请关注。

同时也请关注胡氏宗亲网(http://www.hszqw.com.cn),全球胡姓宗亲的网上家园。保护好您的电脑,每天能够顺利登录胡氏宗亲网,不为病毒所烦恼,南山愿意为广大宗亲朋友提供服务。


南山 2008-07-08 21:25
本病毒解决方案已经更新,请见一楼上面的更新说明。南山


chairmenyi 2008-07-10 20:24
控制面板为空白的情况能否解决一下,谢谢


ok455 2008-07-12 08:41
我用楼主的方法杀掉了病毒。谢谢了!楼主真强!


南山 2008-07-13 16:58
我一共接到过三起“控制面板为空白”的报告,其中一起我是亲眼所见,两起是网友在QQ上告诉我的。这种现象的出现肯定是和一个晃来晃去的浮动窗口有关,即每隔几秒钟出现一个蓝色背景的浮动窗口在桌面上漂浮,上面写着“this computer is being attacked ”(本电脑正在受到攻击 ),用我上面的软件处理后不会出现了,但控制面板会变成空白(什么也没有),许多文件都打不开了。

我奇怪的是,为什么在我的裸机试验中并没有出现过这种现象,而确实是有人反映过,我也见过一例,只是当时没有在意,电脑重装了,病毒样本也就消失了。今天在网上找了一天也没有找到病毒样本。

请哪位电脑有这种现象(控制面板空白,文件打不开)的朋友,把用Seng-2智能扫描后的报告发给我一下。对照多份报告兴许能看出些名堂来。另外,建议你重新建一个有管理员权限的用户(假如能建的话),我估计病毒已经修改了你的用户(管理员)权限,所以说了也白说。

今天又下载了最新360安全卫士杀毒软件(4.18.1008)做试验,可以查出有可疑项,但仍然是处理不了,开机重启,病毒照样存在。据说卡巴斯基最新版能杀,我下载一个7.0没有激活码试验不成。

南山 2008.07.13

南山联系方式:QQ:114412749 (杀毒专用QQ:749060963) E-mail:hxy123@gmail.com



查看完整版本: [-- 手工清除ms-dos.com病毒的方法 --] [-- top --]

】【打印】【 繁体】【投稿】【续投】【/】【关闭】【评论】 【返回顶部】 
热门文章
最新文章
推荐文章
相关文章
 
首 页
Copyright 2006-2007 http://www.hszqw.com.cn all rights reserved
浙ICP备11010805号-1 浙公网安备 33010802003028号 TIME 0.073749 second(s)