《手工清除ms–doscom病毒的方法》由会员分享,可在线阅读,更多相关《手工清除ms–doscom病毒的方法(8页珍藏版)》请在金锄头文库上搜索。
1、手工清除 ms- 病毒的方法中毒现象:每隔 30 秒飞出一个飘动的图片,写着“your computer is being attacked”(您的计算机受到攻击),还不停地发出噔噔的声音。有时开机有一个进程借“regedit.exe(注册表编辑器)发作,跳出一个象枫叶样的窗口在屏幕上晃来晃去。不能切换中英文输入,输入法失效和优盘文件夹丢失。查看各盘符根目录下有 ms- 文件;查看进程有:Global.exe、keyboard、fonts.exe 等进程,即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的 220K 病毒文件),即使格式化 C 盘,重装系统,稍不留意仍然会死灰复燃,前
2、功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。杀毒需要的文件:一共有四个文件:sreng-2 ,冰刃 IceSword122cn ,yereg-rd.bat ,yereg-rd.bat。第一步运行“冰刃 IceSword122cn”,中止 该死的进程。第二步运行“yereg-rd.bat”,删除所有病毒文件,建立免疫文件夹。第三步运行“sreng-2”,修复注册表编辑器的关联。打开sreng-2(可能有已经过 期的提示,不要紧,把系统日期修改成 2007 年照样可用),别的都不用做,只把“系统修复-文件关联”做一下就可以了。重复点几
3、下,当发现 .reg 的关联变成“regedit.exe”就正常了(如果第一步没有中止进程,这里也不可能恢复)。第四步运行“killms.reg” , 导入注册表,清除注册表启动项和清除映像劫持项以及清除一些病毒残留。总结一下几个关键点:必须先中止进程,否则根本没办法继续往下做第二步;然后是修复 regedit 注册表编辑器的关联,这是为做第四步创造前提条件。环环相扣,不能省略也不能提前做。具体的杀毒方法和原理分析关键字:global.exe、fonts.exe 、keyboard.exe、ms-、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法
4、、220K 文件夹、映像劫持、regedit 关联、病毒防御、病毒免疫。病毒自运行机制分析:ms- 病毒主要是通过优盘传播。在没有病毒防护的情况下,autorun.inf 可以自动运行 ms- 病毒程序,也可以通过点击伪装的 xxxx 文件夹.exe(220K)运行后产生以上病毒文件,分布在不同的文件夹里,按 Ctrl+Alt+Del 键可以看到有:Global.exe、keyboard.exe、fonts.exe 等病毒进程在运行,且互为保护无法中止这些进程;病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等;将优盘内的文件夹隐藏,用同名的 220K 病毒文件取代;在所有盘符下生成aut
5、orun.inf、ms- 两个自动运行文件;不断 产生“explorer 程序遇到问题需要关闭” 等出错提示;还可以通过局域网网络感染共享文件夹。诊断与危害分析:通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关;查看各盘符根目录下有 ms- 文件;查看 Global.exe、keyboard、fonts.exe 等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的220K 病毒文件),即使格式化 C 盘,重装系统,稍不留意仍然会死灰复燃,前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。清除方法:经过仔细分析病毒运
6、行机制,发现必须要把防御此病毒作为解决问题的关键,否则不管采取何种措施,都是不会有效果的。仔细查出主要病毒文件所在,使用我提供的优化杀毒软件包十分钟就可以解决问题,以后的恢复文件相对就容易多了。整个杀毒过程共分四个步骤进行:中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。 (目前已经成功处理多例)关于手工处理 ms- 病毒的方法经过断断续续的调试,终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐,可以弃之不用(放到第 26 楼去了)。以前病毒在暗处,我们在明处,防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机,在上面进行了几十次的调试,
7、终于顺利完工。新的杀毒软件包一共只有四个文件:sreng-2 ,冰刃 IceSword122cn ,yereg-rd.bat ,yereg-rd.bat。其中两个是 辅助软件(sreng-2和冰刃 IceSword122cn),另外两个,一是批处理文件(yereg-rd.bat),还有一个是注册表文件(killms.reg),都是只需点一下就可完成。先说说裸机试验过程:为摸清这个病毒的来龙去脉和了解杀毒效果,我先清装一台电脑,没有装任何杀毒软件,先做一个 GHOST 备份(调试过程中需要多次恢复原始状态),然后把病毒样本(ms-)和杀毒软件包拷贝进去。准备就绪,开动。点击病毒文件 ms- 后就
8、像是打开了潘多拉的盒子,瞬时间,一台完好的电脑立即被蹂躏得不成样。用 sreng-2 检查 注册表,看到已经被加入了三个以上的自启动项目:sys、keyboard.exe 、system.exe 等,八九个不同名称的病毒文件分别生成在不同位置,映象劫持一共是 8 项,这就是为什么输入法消失、任务管理器和注册表编辑器失效的原因。用冰刃软件检查,发现多出了好几个病毒进程,包括global.exe、system.exe、default.exe 等等, 这时电脑已经运行缓慢,输入法失效,开始乱跳 explorer 出错窗口、莫名其妙跳出 regedit 注册表编辑器,噩梦从此开始。由于我已经事先做了充
9、分的准备,要的就是这个病毒的效果再现。下面我把经优化过的处理方案详细介绍如下,如果你的电脑上只有这一种病毒的话,我可以保证不出十分钟,药到病除,一切恢复到正常状态。第一步还是中止该死的进程,我试图用批处理来中止,但是失败了。主要有几个关键进程互相保护很难对付,另外“taskkill”这条命令在 WINDOWS XP HOME 版本下不起作用,最后还是用冰刃 IceSword122cn 来解决掉。我以前也有介绍,就是必须要用“创建进程规则” 的方法中止掉global.exe、system.exe,这两个病毒进程互相保 护狼狈为奸,一旦中止,后面的清除工作就好办多了。除这两个外,可能还有一些进程也
10、要中止,可参看批处理里面的病毒文件名。第二步是用我编写的批处理程序(yereg-rd.bat)跑一遍,删除所有病毒文件,建立免疫文件夹。这次发表的最新修改处,主要是增加了对以前漏掉的病毒文件的处理:c:windowscursorsboom.vbs 和c:windowssystem32regedit.exe,还有一个C:WINDOWSHelpmicrosoft.hlp,这个文件危害好像不明显,但也不能让它成为漏网之鱼。很多朋友说开机有 regedit.exe注册表编辑器跳出来,就是因为我上次漏掉了 regedit.exe,假冒的注册表编辑器文件,真正的 regedit.exe 是在c:windo
11、ws 里面,不是在 c:windowssystem32 里面。第三步是用软件包里的 sreng-2 修复注册表编辑器的关联:打开 sreng-2(可能有已 经过期的提示,不要紧,把系统日期修改成 2007 年照样可用),别的都不用做,只把“系统修复-文件关联”做一下就可以了。重复点几下,当发现 .reg 的关联变成“regedit.exe”就正常了(如果第一步没有中止进程,这里也不可能恢复)。第四步是清除注册表启动项和清除映像劫持项以及清除一些病毒残留。很简单,只需要将软件包里的“killms.reg”执行一下,导入注册表就可以了,这几步以前都要用手工和辅助软件配合来做,比较麻烦。现在省事多了。这四个步骤做完,关机重启,你就会发现,这个该死的病毒已经被彻底清除完毕,一切都恢复了正常。如果以后再被优盘感染(可能性很大),继续按上面的步骤重复做。总结一下几个关键点:必须先中止进程,否则根本没办法继续往下做第二步;然后是修复 regedit 注册表编辑器的关联,这是为做第四步创造前提条件。环环相扣,不能省略也不能提前做。病毒清除完毕,恢复被隐藏的文件夹删除伪装的 220K 病毒文件夹就比较容易了,可参照以前的说明做。
