作者：南山 胡氏宗亲网（http://www.hszqw.com.cn）
本文发表以后，受到了广泛关注，至今已近8000次下载。为不影响胡氏宗亲网论坛的正常运作，该杀毒软件已经移到胡氏宗亲网首页争鸣栏目http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016，不需要注册，免费下载。南山欢迎各位朋友关注胡氏宗亲网，欢迎来论坛留言发帖。谢谢！
关键字：global.exe、fonts.exe、keyboard.exe、ms-dos.com、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit关联、病毒防御、病毒免疫。
病毒自运行机制分析：ms-dos.com病毒主要是通过优盘传播。在没有病毒防护的情况下，autorun.inf可以自动运行ms-dos.com病毒程序，也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件，分布在不同的文件夹里，按Ctrl+Alt+Del键可以看到有：Global.exe、keyboard.exe、fonts.exe等病毒进程在运行，且互为保护无法中止这些进程；病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等；将优盘内的文件夹隐藏，用同名的220K病毒文件取代；在所有盘符下生成autorun.inf、ms-dos.com两个自动运行文件；不断产生“explorer程序遇到问题需要关闭”等出错提示；还可以通过局域网网络感染共享文件夹。
诊断与危害分析：通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关；查看各盘符根目录下有ms-dos.com文件；查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒（如优盘上的220K病毒文件），即使格式化C盘，重装系统，稍不留意仍然会死灰复燃，前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危，由于没有专杀软件，防毒、杀毒苦不堪言，严重影响正常工作。
清除方法：经过仔细分析病毒运行机制，发现必须要把防御此病毒作为解决问题的关键，否则不管采取何种措施，都是不会有效果的。仔细查出主要病毒文件所在，使用我提供的优化杀毒软件包十分钟就可以解决问题，以后的恢复文件相对就容易多了。
整个杀毒过程共分四个步骤进行：中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。（目前已经成功处理多例）
具体处理步骤和相关软件下载请到：http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016
南山（胡氏宗亲网http://www.hszqw.com.cn总版主）
2008.05.27发布
2008.07.08修改

关于手工处理ms-dos.com病毒的方法
经过断断续续的调试，终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐，可以弃之不用（放到第26楼去了）。以前病毒在暗处，我们在明处，防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机，在上面进行了几十次的调试，终于顺利完工。新的杀毒软件包一共只有四个文件，其中两个是辅助软件（sreng-2和冰刃IceSword122cn），另外两个，一是批处理文件（yereg-rd.bat），还有一个是注册表文件（killms.reg），都是只需点一下就可完成。
先说说裸机试验过程：
为摸清这个病毒的来龙去脉和了解杀毒效果，我先清装一台电脑，没有装任何杀毒软件，先做一个GHOST备份（调试过程中需要多次恢复原始状态），然后把病毒样本（ms-dos.com)和杀毒软件包拷贝进去。
准备就绪，开动。点击病毒文件ms-dos.com后就像是打开了潘多拉的盒子，瞬时间，一台完好的电脑立即被蹂躏得不成样。用sreng-2检查注册表，看到已经被加入了三个以上的自启动项目：sys、keyboard.exe、system.exe等，八九个不同名称的病毒文件分别生成在不同位置，映象劫持一共是8项，这就是为什么输入法消失、任务管理器和注册表编辑器失效的原因。用冰刃软件检查，发现多出了好几个病毒进程，包括global.exe、system.exe、default.exe等等，这时电脑已经运行缓慢，输入法失效，开始乱跳explorer出错窗口、莫名其妙跳出regedit注册表编辑器，噩梦