手工清除ms-dos。com病毒的方法
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
手工清除病毒的方法
中毒现象:每隔30秒飞出一个飘动的图片,写着“your computer is being attacked”(您的计算机受到攻击),还不停地发出噔噔的声音。有时开机有一个进程借“regedit.exe"(注册表编辑器)发作,跳出一个象枫叶样的窗口在屏幕上晃来晃去。不能切换中英文输入,输入法失效和优盘文件夹丢失。查看各盘符根目录下有 文件;查看进程有:Global.exe、keyboard、fonts.exe等进程,即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的220K病毒文件),即使格式化C盘,重装系统,稍不留意仍然会死灰复燃,前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。
杀毒需要的文件:
一共有四个文件:sreng-2,冰刃IceSword122cn ,yereg-rd.bat ,yereg-rd.bat。
第一步运行“冰刃IceSword122cn”,中止该死的进程。
第二步运行“yereg-rd.bat”,删除所有病毒文件,建立免疫文件夹。
第三步运行“sreng-2”,修复注册表编辑器的关联。打开sreng-2(可能有已经过期的提示,不要紧,把系统日期修改成2007年照样可用),别的都不用做,只把“系统修复--文件关联”做一下就可以了。重复点几下,当发现 .reg 的关联变成“regedit.exe”就正常了(如果第一步没有中止进程,这里也不可能恢复)。
第四步运行“killms.reg”,导入注册表,清除注册表启动项和清除映像劫持项以及清除一些病毒残留。
总结一下几个关键点:必须先中止进程,否则根本没办法继续往下做第二步;然后是修复regedit注册表编辑器的关联,这是为做第四步创造前提条件。环环相扣,不能省略也不能提前做。
具体的杀毒方法和原理分析
关键字:global.exe、fonts.exe、keyboard.exe、、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit 关联、病毒防御、病毒免疫。
病毒自运行机制分析:病毒主要是通过优盘传播。在没有病毒防护的情况下,autorun.inf可以自动运行病毒程序,也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件,分布在不同的文件夹里,按Ctrl+Alt+Del键可以看到有:Global.exe、keyboard.exe、fonts.exe等病毒进程在运行,且互为保护无法中止这些进程;病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等;将优盘内的文件夹隐藏,用同名的220K病毒文件取代;在所有盘符下生成autorun.inf、两个自动运行文件;不断产生“explorer程序遇到问题需要关闭”等出错提示;还可以通过局域网网络感染共享文件夹。
诊断与危害分析:通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关;查看各盘符根目录下有 文件;查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的220K病毒文件),即使格式化C盘,重装系统,稍不留意仍然会死灰复燃,前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。
清除方法:经过仔细分析病毒运行机制,发现必须要把防御此病毒作为解决问题的关键,否则不管采取何种措施,都是不会有效果的。仔细查出主要病毒文件所在,使用我提供的优化杀毒软件包十分钟就可以解决问题,以后的恢复文件相对就容易多了。
整个杀毒过程共分四个步骤进行:
中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。(目前已经成功处理多例)
关于手工处理病毒的方法
经过断断续续的调试,终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐,可以弃之不用(放到第26楼去了)。以前病毒在暗处,我们在明处,防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机,在上面进行了几十次的调试,终于顺利完工。新的杀毒软件包一共只有四个文件:sreng-2,冰刃IceSword122cn ,yereg-rd.bat ,yereg-rd.bat。其中两个是辅助软件(sreng-2和冰刃IceSword122cn),另外两个,
一是批处理文件(yereg-rd.bat),还有一个是注册表文件(killms.reg),都是只需点一下就可完成。
先说说裸机试验过程:
为摸清这个病毒的来龙去脉和了解杀毒效果,我先清装一台电脑,没有装任何杀毒软件,先做一个GHOST备份(调试过程中需要多次恢复原始状态),然后把病毒样本()和杀毒软件包拷贝进去。
准备就绪,开动。点击病毒文件后就像是打开了潘多拉的盒子,瞬时间,一台完好的电脑立即被蹂躏得不成样。用sreng-2检查注册表,看到已经被加入了三个以上的自启动项目:sys、keyboard.exe、system.exe等,八九个不同名称的病毒文件分别生成在不同位置,映象劫持一共是8项,这就是为什么输入法消失、任务管理器和注册表编辑器失效的原因。用冰刃软件检查,发现多出了好几个病毒进程,包括global.exe、system.exe、default.exe等等,这时电脑已经运行缓慢,输入法失效,开始乱跳explorer 出错窗口、莫名其妙跳出regedit注册表编辑器,噩梦从此开始。
由于我已经事先做了充分的准备,要的就是这个病毒的效果再现。下面我把经优化过的处理方案详细介绍如下,如果你的电脑上只有这一种病毒的话,我可以保证不出十分钟,药到病除,一切恢复到正常状态。
第一步还是中止该死的进程,我试图用批处理来中止,但是失败了。主要有几个关键进程互相保护很难对付,另外“taskkill”这条命令在WINDOWS XP HOME版本下不起作用,最后还是用冰刃IceSword122cn来解决掉。我以前也有介绍,就是必须要用“创建进程规则”的方法中止掉global.exe、system.exe,这两个病毒进程互相保护狼狈为奸,一旦中止,后面的清除工作就好办多了。除这两个外,可能还有一些进程也要中止,可参看批处理里面的病毒文件名。
第二步是用我编写的批处理程序(yereg-rd.bat)跑一遍,删除所有病毒文件,建立免疫文件夹。这次发表的最新修改处,主要是增加了对以前漏掉的病毒文件的处理:c:\windows\cursors\boom.vbs和c:\windows\system32\regedit.exe,还有一个C:\WINDOWS\Help\microsoft.hlp,这个文件危害好像不明显,但也不能让它成为漏网之鱼。很多朋友说开机有regedit.exe注册表编辑器跳出来,就是因为我上次漏掉了