手工清除ms-dos.com病毒的方法 [复制链接]

作者：南山 胡氏宗亲网（http://www.hszqw.com.cn）

本文发表以后，受到了广泛关注，至今已近8000次下载。为不影响胡氏宗亲网论坛的正常运作，该杀毒软件已经移到胡氏宗亲网首页争鸣栏目http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016，不需要注册，免费下载。南山欢迎各位朋友关注胡氏宗亲网，欢迎来论坛留言发帖。谢谢！

关键字：global.exe、fonts.exe、keyboard.exe、ms-dos.com、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit关联、病毒防御、病毒免疫。

病毒自运行机制分析：ms-dos.com病毒主要是通过优盘传播。在没有病毒防护的情况下，autorun.inf可以自动运行ms-dos.com病毒程序，也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件，分布在不同的文件夹里，按Ctrl+Alt+Del键可以看到有：Global.exe、keyboard.exe、fonts.exe等病毒进程在运行，且互为保护无法中止这些进程；病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等；将优盘内的文件夹隐藏，用同名的220K病毒文件取代；在所有盘符下生成autorun.inf、ms-dos.com两个自动运行文件；不断产生“explorer程序遇到问题需要关闭”等出错提示；还可以通过局域网网络感染共享文件夹。

诊断与危害分析：通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关；查看各盘符根目录下有ms-dos.com文件；查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒（如优盘上的220K病毒文件），即使格式化C盘，重装系统，稍不留意仍然会死灰复燃，前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危，由于没有专杀软件，防毒、杀毒苦不堪言，严重影响正常工作。

清除方法：经过仔细分析病毒运行机制，发现必须要把防御此病毒作为解决问题的关键，否则不管采取何种措施，都是不会有效果的。仔细查出主要病毒文件所在，使用我提供的优化杀毒软件包十分钟就可以解决问题，以后的恢复文件相对就容易多了。

整个杀毒过程共分四个步骤进行：中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。（目前已经成功处理多例）

具体处理步骤和相关软件下载请到：http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016

南山（胡氏宗亲网http://www.hszqw.com.cn总版主）
2008.05.27发布
2008.07.08修改


关于手工处理ms-dos.com病毒的方法

经过断断续续的调试，终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐，可以弃之不用（放到第26楼去了）。以前病毒在暗处，我们在明处，防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机，在上面进行了几十次的调试，终于顺利完工。新的杀毒软件包一共只有四个文件，其中两个是辅助软件（sreng-2和冰刃IceSword122cn），另外两个，一是批处理文件（yereg-rd.bat），还有一个是注册表文件（killms.reg），都是只需点一下就可完成。

先说说裸机试验过程：

为摸清这个病毒的来龙去脉和了解杀毒效果，我先清装一台电脑，没有装任何杀毒软件，先做一个GHOST备份（调试过程中需要多次恢复原始状态），然后把病毒样本（ms-dos.com)和杀毒软件包拷贝进去。

准备就绪，开动。点击病毒文件ms-dos.com后就像是打开了潘多拉的盒子，瞬时间，一台完好的电脑立即被蹂躏得不成样。用sreng-2检查注册表，看到已经被加入了三个以上的自启动项目：sys、keyboard.exe、system.exe等，八九个不同名称的病毒文件分别生成在不同位置，映象劫持一共是8项，这就是为什么输入法消失、任务管理器和注册表编辑器失效的原因。用冰刃软件检查，发现多出了好几个病毒进程，包括global.exe、system.exe、default.exe等等，这时电脑已经运行缓慢，输入法失效，开始乱跳explorer出错窗口、莫名其妙跳出regedit注册表编辑器，噩梦从此开始。

由于我已经事先做了充分的准备，要的就是这个病毒的效果再现。下面我把经优化过的处理方案详细介绍如下，如果你的电脑上只有这一种病毒的话，我可以保证不出十分钟，药到病除，一切恢复到正常状态。

第一步还是中止该死的进程，我试图用批处理来中止，但是失败了。主要有几个关键进程互相保护很难对付，另外“taskkill”这条命令在WINDOWS XP HOME版本下不起作用，最后还是用冰刃IceSword122cn来解决掉。我以前也有介绍，就是必须要用“创建进程规则”的方法中止掉global.exe、system.exe，这两个病毒进程互相保护狼狈为奸，一旦中止，后面的清除工作就好办多了。除这两个外，可能还有一些进程也要中止，可参看批处理里面的病毒文件名。

第二步是用我编写的批处理程序（yereg-rd.bat）跑一遍，删除所有病毒文件，建立免疫文件夹。这次发表的最新修改处，主要是增加了对以前漏掉的病毒文件的处理：c:\windows\cursors\boom.vbs和c:\windows\system32\regedit.exe，还有一个C:\WINDOWS\Help\microsoft.hlp,这个文件危害好像不明显，但也不能让它成为漏网之鱼。很多朋友说开机有regedit.exe注册表编辑器跳出来，就是因为我上次漏掉了regedit.exe，假冒的注册表编辑器文件，真正的regedit.exe是在c:\windows里面，不是在c:\windows\system32里面。

第三步是用软件包里的sreng-2修复注册表编辑器的关联：打开sreng-2（可能有已经过期的提示，不要紧，把系统日期修改成2007年照样可用），别的都不用做，只把“系统修复--文件关联”做一下就可以了。重复点几下，当发现 .reg 的关联变成“regedit.exe”就正常了（如果第一步没有中止进程，这里也不可能恢复）。

第四步是清除注册表启动项和清除映像劫持项以及清除一些病毒残留。很简单，只需要将软件包里的“killms.reg”执行一下，导入注册表就可以了，这几步以前都要用手工和辅助软件配合来做，比较麻烦。现在省事多了。

这四个步骤做完，关机重启，你就会发现，这个该死的病毒已经被彻底清除完毕，一切都恢复了正常。如果以后再被优盘感染（可能性很大)，继续按上面的步骤重复做。

总结一下几个关键点：必须先中止进程，否则根本没办法继续往下做第二步；然后是修复regedit注册表编辑器的关联，这是为做第四步创造前提条件。环环相扣，不能省略也不能提前做。

病毒清除完毕，恢复被隐藏的文件夹删除伪装的220K病毒文件夹就比较容易了，可参照以前的说明做。见第26楼的4.恢复优盘文件夹

我想说明的是，到七月三日，我试过一些免费的杀毒软件对此病毒根本就没有反应，但是诺顿的7.3升级包已经查出来并命名为：w32.sillyfdc病毒，而且可以将其隔离处理，包括global.exe、system.exe、default.exe、ms-dos.com等等，然而却不能清理启动项，映像劫持，修复关联。使用我下面的优化杀毒软件包（2008.07.08）就可以做到。南山欢迎广大宗亲朋友下载使用。效果好，请替我们胡氏宗亲网（http://www.hszqw.com.cn）做些广告宣传，效果不好，请在本帖后面跟帖指出问题现象，我再改进。

南山的联系方式：QQ:114412749 （杀毒专用QQ:749060963） E-mail:hxy123@gmail.com


描述：手工处理ms-dos.com病毒相关软件
附件：  hszqw.com.cn.rar (2353 K) 下载次数:483 [删除]

描述：替代XDelBox1.7删除病毒文件
附件：  remsdos.rar (2 K) 下载次数:132 [删除]

描述：最新清除ms-dos.com病毒软件
附件：  killmsdos.rar (3929 K) 下载次数:272 [删除]

描述：2008.07.08最新清除ms-dos.com病毒软件
附件：  hszqw.com.cn.rar (4887 K) 下载次数:104 [删除]

[font=宋体]本杀毒软件已经移到胡氏宗亲网首页争鸣栏目。不需要注册，免费下载：
http://www.hszqw.com.cn/bencandy.php?fid=19&id=1016

我一共接到过三起“控制面板为空白”的报告，其中一起我是亲眼所见，两起是网友在QQ上告诉我的。这种现象的出现肯定是和一个晃来晃去的浮动窗口有关，即每隔几秒钟出现一个蓝色背景的浮动窗口在桌面上漂浮，上面写着“this computer is being attacked ”（本电脑正在受到攻击 ），用我上面的软件处理后不会出现了，但控制面板会变成空白（什么也没有），许多文件都打不开了。

我奇怪的是，为什么在我的裸机试验中并没有出现过这种现象，而确实是有人反映过，我也见过一例，只是当时没有在意，电脑重装了，病毒样本也就消失了。今天在网上找了一天也没有找到病毒样本。

请哪位电脑有这种现象（控制面板空白，文件打不开）的朋友，把用Seng-2智能扫描后的报告发给我一下。对照多份报告兴许能看出些名堂来。另外，建议你重新建一个有管理员权限的用户（假如能建的话），我估计病毒已经修改了你的用户（管理员）权限，所以说了也白说。

今天又下载了最新360安全卫士杀毒软件（4.18.1008）做试验，可以查出有可疑项，但仍然是处理不了，开机重启，病毒照样存在。据说卡巴斯基最新版能杀，我下载一个7.0没有激活码试验不成。

南山 2008.07.13

我用楼主的方法杀掉了病毒。谢谢了！楼主真强！

控制面板为空白的情况能否解决一下，谢谢

本病毒解决方案已经更新，请见一楼上面的更新说明。南山

下面杀毒方法已经更新，请见一楼更新日期，这里是保存旧文章，

1. 使用XDelBox1.7（官方下载：http://www.dodudou.com/down/，在本帖附件里也有）删除以下病毒文件：

  说明：复制下面所有病毒文件（包括文件的路径），到待删除文件列表里，点击右键选择"剪贴板导入不检查路径"导入，一定要选“抑制再生”，不选“备份文件”。然后全部选定待删除文件，点击右键选择“立刻重启执行删除”，电脑重启进入DOS界面进行删除和免疫处理。
  该软件支持 C 盘格式：FAT32、NTFS格式、NTFS带压缩，不支持最新 Windows Vista ，不支持系统盘非C盘。

c:\windows\fonts\fonts.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
c:\windows\remoteabc.exe
c:\windows\system32\dllcache\default.exe
c:\windows\system\keyboard.exe
c:\windows\system32\dllcache\rndll32.exe
c:\windows\system32\drivers\drivers.cab.exe
c:\windows\media\rndll32.pif
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\fonts\tskmgr.exe
c:\windows\system32\cdcd.sys
C:\MS-DOS.com
D:\MS-DOS.com
E:\MS-DOS.com
F:\MS-DOS.com
g:\MS-DOS.com
h:\MS-DOS.com
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
g:\autorun.inf
h:\autorun.inf

（如果不能运行，或运行不成功，请看下面三楼替换方案）

2.重启动系统后，建议使用SREng软件（官方下载：http://www.kztechs.com/sreng/index.html，在本帖附件里也有）修复系统。

2.1修复注册表
启动项目 －－ 注册表里如有以下项目必须删除之：
[sys] <C:\WINDOWS\Fonts\Fonts.exe>
[] <C:\WINDOWS\system32\dllcache\Default.exe>
[] <C:\WINDOWS\system\KEYBOARD.exe>
[] <C:\WINDOWS\system32\dllcache\Default.exe>
[MSConfig] <; C:\WINDOWS\system32\dllcache\rndll32.exe /auto>

2.2修复文件关联

2.3删除hosts文件


3.清理系统

3.1删除映像劫持项（建议使用"机器狗&映像劫持修复工具"软件,在本帖附件里有）
[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>
[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>
[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>
[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>

3.2删除服务项（如果有的话）
启动项目-- 服务--Win32服务应用程序：
[2 / 32] <C:\WINDOWS\RemoteAbc.exe>
启动项目-- 服务-- 驱动程序：
[Cdsys / Cdsys] <C:\WINDOWS\system32\cdcd.sys>

3.3清理系统临时文件和IE临时文件夹
建议使用超级兔子等清理工具，目的是清除残余病毒文件：
超级兔子：http://www.pctutu.com/
Windows清理助手：http://www.arswp.com/download/arswp/arswp.rar

3.4 修复“explorer.exe程序遇到问题需要关闭”的提示错误
在dos命令提示符下输入以下命令语句：
for %1 in (c:\windows\system32\*.dll) do regsvr32.exe /s %1


4.恢复优盘文件夹

4.1删除220K文件夹病毒

找出并删除伪装成文件夹的病毒程序（主要在优盘上，特点是文件大小都是220K），如果不能删除则参照下面命令执行。

4.2在dos命令提示符下恢复被隐藏的原文件夹

x:  (转到优盘所在盘符）
attrib -s -h -r  /s /d
注意，此命令只能在优盘盘符下使用，不能在C:盘盘符下使用，其他盘慎重使用。

至此ms-dos.com病毒被彻底清除，而且电脑被免疫。以上办法不是唯一的，但确实是有效的。
注意：为对付该病毒的变种，本贴将随时更新处理办法，请关注。

同时也请关注胡氏宗亲网（http://www.hszqw.com.cn)，全球胡姓宗亲的网上家园。保护好您的电脑，每天能够顺利登录胡氏宗亲网，不为病毒所烦恼，南山愿意为广大宗亲朋友提供服务。

这个我看了半天还是没弄懂，不知这个病毒有什么特征，危害在哪些方面。我现在新装了个卡巴斯基V7。0，应该不会有病毒了吧。原来我的文件中总是有个HY的木马，只要是文件包，都会有这样一个文件，手工删了，下次又有，这次装了卡巴斯基V7。0，就没出现了，你所说的那个“autorun.inf”也见过！在插入优盘时有提示，我一般都是退出提示后再从“我的电脑”中进入优盘，好象没什么事，不过我现在是只要机子运行变慢了就重装一次程序，笨人用笨法子！
这次装了这个卡巴斯基V7。0后，出现一个新情况，中华胡姓网就不能上了，一上就报警，点击“拒绝”，然后就转变是英文字幕的网页了，有时又能上，但我不敢久留，因为再点击又报警，主要是不能点击“中华胡姓论坛”，一点就有反应，真谓是“有求必应”啊！

你用这个修改过的批处理再试一下:晚上QQ联系.

胡大大:
      我按照你的方法试了一下,发现输入法和任务管理器都正常了,而且也没有什么异常的进程以及其他的东西,可是每次开机,那个REGEDIT.EXE文件夹还是会自动打开,每次用其他杀毒软件,例如360扫描时,这个文件夹也会自动打开,搞不懂..请胡大大指教啊

huzikai 朋友：

        这个病毒的顽固之处就在它以多种形式存在，其中每个盘上都有autorun.inf还有许多220K的病毒文件，加上遍布各个角落的不同名称的病毒，只要有一个漏网之鱼，一切都会前功尽弃。最初我也是花了好长时间来对付它，和你同样的郁闷。后来我琢磨出了对付它的办法，就是必须先把所有病毒进程中止掉，然后再用自编的批处理，把所有的病毒文件删掉，建立同名的文件夹避免再次感染，最后用一些辅助软件清理启动项，注册表，除恶务尽，经我亲手处理的不下20例之多，在QQ上也帮很多网友解决掉这个病毒。最近几天，我正在通过裸机试验，查清它的运行机制，把批处理程序修改的更加完善。告诉大家，诺顿杀毒软件的最新版，已经可以识别和清除autorun.inf和ms-dos,com这两个病毒文件。对其他主要病毒文件是否有效识别清除，要看我明天的试验结果。

        你发帖所说的情况，我感到很纳闷。应该说按照我说的几个步骤做下来，就可以清除并免疫。QQ上有的网友清理有反复，主要是优盘上没有清理干净。你说的情况可能是C盘和其他盘有交叉感染，我也曾经遇到过，重装系统后，千万不能去双击其他盘符，一点就完蛋。要用右键或用资源管理器打开，或直接格式化。另外，你最好不要用以前下载的软件包（可能已经被感染），要重新下载一次。

南山 2008.07.04