对联式悲哀 » 日志 » Global.exe/Fonts.exe病毒解决方法
Global.exe/Fonts.exe病毒解决方法
MaaJiaa 发表于 2008-06-01 01:03:29
2008年6月17日更新:
本篇只是根据SREng扫描报告而写,遗漏了重要内容,已作废...
新的解决方法见《新·打印店Global病毒解决方法》
2008年7月17日更新:
一些杀完毒之后的遗留问题请参考《Global/MS-DOS/Boom.vbs病毒后遗症》
=====================================
欢迎转载,但请保留:
作者:MaaJiaa@日月光华 参考:日月光华BBS Virus版
肆虐FD打印店的Global.exe病毒,利用U盘自动播放(Autorun)功能传播。
将U盘下所有文件夹改为系统和隐藏属性,用病毒伪装的exe文件代替,
映像劫持,造成常用杀毒软件、任务管理器、输入法等等无法启动……
P.S. 关于AutoRun和U盘使用以及杀毒后遗症等的更多讨论见《U盘使用Tips总结》
【典型症状】
1。U盘内文件“丢失”:其实是U盘内所有文件夹被加上了隐藏和系统属性,再以文件夹名.exe的病毒文件来冒充。
2。无法输入中文:ctfmon.exe被病毒映像劫持。
3。屏幕上有“This computer is being attacked”字样的对话框飞来飞去,如下图所示。对于这一点,除了恶趣味,再找不出其他词来形容了。
【需要用到的工具】
SREng
下载地址:http://www.kztechs.com/sreng/download.html
使用方法:http://www.kztechs.com/sreng/help2/
XDelBox
下载地址:http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0
【解决方法】
用XDelBox删除以下文件(选择重起后删除,若提示文件找不到,无视之):
C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
以及各个硬盘分区下的
X:\MS-DOS.com
X:\Autorun.inf
用SREng修复文件关联项
.REG Error. [C:\WINDOWS\pchealth\Global.exe]
同样用SREng或者运行C:\WINDOWS\system32\regedt32.exe删除以下注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
<><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<sys><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
运行regedt32.exe,找到类似于以下的映像劫持项,即Log启动项里带IFEO的项,删除之:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
<IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
<IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\autoruns.exe]
<IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
<IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
<IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
<IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
<IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
<IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>
P.S. 通常xxx.exe的主键下会有一个名为debugger的字符串值,删除这个即可。
个人觉得可以对于xxx.exe这样的主键也可以整个都删除。
注册表操作建议先导出备份。
另外这些映像劫持也可以用IFEO修复工具修复(我没用过),
下载地址:http://www.dodudou.com/down/download.php?fname=./02.常用工具/IFEO.rar
之后用杀毒软件全盘扫描一下,
另外再看看有没有C:\WINDOWS\system32\regedit.exe,图标是一个文件夹,有的话删除之,
正确的regedit.exe应该在C:\WINDOWS\下面。
(感谢StriGes@日月光华提供regedit.exe的相关信息 - 此链接只能在每天23:00以前打开)
