对联式悲哀 » 日志 » 新·打印店Global病毒解决办法
新·打印店Global病毒解决办法
MaaJiaa 发表于 2008-06-17 13:14:44
有部分杀毒之后的遗留问题之前被我漏掉,
详见《Global/MS-DOS/Boom.vbs病毒后遗症》
-------------------------------------------------------------------------
文中给出的链接可能要在每天23:00之前才能查看,
并且根据日月光华 BBS服务的稳定性,有时可能无法打开。
欢迎转载,但请保留头三行的作者和来源...
发信人: MaaJiaa (水泡..), 信区: Virus
标 题: 新·打印店病毒Global.exe解决傻瓜版
发信站: 日月光华 (2008年06月16日02:33:07 星期一), 站内信件
根据StriGes的测试报告整理的傻瓜版,大家一起撒花赞StriGes~~~~//bow
之前的那篇漏了太多内容,
尤其是这个开关机脚本C:\WINDOWS\Cursors\Boom.vbs
和病毒本体C:\WINDOWS\Help\microsoft.hlp
这两个都是用SREng扫描检查不出的项,却也是病毒最关键的两个东西
因此之前写的作废...
晚上在春晖门口靠小卖部那家打印店采样回来测试完毕。
卡巴斯基病毒库08-06-16 15:08:05 扫描U盘并不报毒,
只有激活病毒以后才会根据病毒的行为判断而报警(激活以后就难以干掉了)
【中毒症状】
1. U盘文件夹“消失”,被同名的exe文件“替代”,
2. 无法切换中文输入法
3. 开机/关机的速度变得很慢(因为要加载病毒脚本)
4. 进程中有Global.exe和Fonts.exe,结束进程马上自动恢复
5. 各个硬盘分区根目录下多出来autorun.inf和MS-DOS.com,用WinRAR或者7-zip之类软件可以看到,普通方式查看不到。
6. 其他一些不明显的症状...
【解决方法】
1. 用XDelBox删除以下文件(右键剪贴板导入不检查路径):
C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\tskmgr.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\rndll32.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\Cursors\Boom.vbs
以及各个硬盘分区下的
X:\Autorun.inf
X:\MS-DOS.com
以上list导入完毕之后,右键选择立即重起删除,
之后的关机过程可能要等待好几分钟的时间,甚至出现死机,可以强行关机重起。
重起删除后,残留的需要手动清除的病毒尸体还有:
文件夹C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}
文件夹C:\WINDOWS\system32\regedit.exe(可能有)
还有病毒创建的一个可能文件名不确定的.tmp文件(整个Temp可以清空)
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp
2. 将以下分割线之间的内容复制到记事本,保存为扩展名为.reg的文件,
然后运行“regedt32”
选择文件--导入,导入刚刚保存的.reg文件。
=============== .reg开始的分割线 ===============
Windows Registry Editor Version 5.00
; 以分号开头的行为注释的废话
; 清除病毒屏保
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="600"
"SCRNSAVE.EXE"=-
"AutoEndTasks"="0"
; 修复文件关联
[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
00,00,00
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""
; 删除开关机脚本
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts]
; 恢复显示com和exe的扩展名
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]
"NeverShowExt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"NeverShowExt"=-
; 清除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
"C:\WINDOWS\system\KEYBOARD.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"sys"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
; 清除映像劫持
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
; 恢复显示系统文件选项相关,这两个键的关系我还没搞太明白
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
; MUICache有什么用不大清楚,这一堆似乎不重要
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"=-
"C:\WINDOWS\system32\dllcache\Default.exe"=-"C:\WINDOWS\Fonts\Fonts.exe"=-
; 不知道Global在干什么
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components#CONTENT#]
@=""
"Source"=-
"SubscribedURL"=-
"FriendlyName"=-
"Flags"=-
"Position"=-
"CurrentState"=-
"OriginalStateInfo"=-
"RestoredStateInfo"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=-
"Settings"=-
"GeneralFlags"=-
; 还是不知道在干什么
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableStatusMessages"=-
; 清除残留信息
[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
=============== .reg 完毕的分割线 ===============
4. 建议运行“sigverif”检查文件的数字签名,如果有未经签名验证的文件,
从别人的机器上拷一个过来覆盖原文件。
(关于explorer.exe被替换的问题,参考snowflurry发的那篇帖子)
附我用的有点麻烦的方法:
我发现我的explorer.exe被替换,
于是我打开任务管理器,结束explorer.exe的进程,
然后任务管理器--文件--新建任务--浏览,
找到C:\WINDOW\explorer.exe删除,
再找到从别人那里拷过来的正确的explorer.exe
将它复制到C:\WINDOWS下面,选中打开--确定。
5. 防毒从养成良好的U盘使用习惯开始,推荐阅读《U盘使用Tips总结》
6. 对于U盘里面“消失不见”的文件夹,可以运行(其中X为U盘盘符):
attrib -s -h -r X:\* /s /d
7. 防止再次中招,打印回来的U盘可以用这个批处理文件来清理。
最新评论
-
2008-06-18 07:32:04
explorer.exe版本不一样可能会造成问题...
话说前段时间有个家伙给我贴了个图说helphost用XDelBox删了后又出现。。一看后缀名隐藏了。。删的是helphost.exe ...helphost.exe是正常文件吧~~
所以说还是剪贴板直接导入list好啊...
的确explorer.exe版本不一样可能会有兼容性问题,
而且版本不一样还不一定能复制过去
我当时是因为开着卡巴,卡巴有项功能可以监视进程行为,
然后自动创建备份用来恢复该进程做出的所有修改
于是原来的explorer.exe就被卡巴备份了
关于explorer被替换一直觉得有些棘手唉~~~ -
2008-06-20 19:29:10 匿名 221.12.*.*
baidu来的,照着做了,确实有用!感谢啊。。
-
2008-08-01 12:49:20 匿名 211.158.*.*
方法很好, 我补充一下
控制面板的问题,regsvr32 Appwiz.cpl regsvr32 Jscript.dll regsvr32 Mshtml.dll regsvr32 Msi.dll regsvr32 Mshtmled.dll regsvr32 "c:\Program Files\Common Files\System\Ado\Msado15.dll" regsvr32 "c:\Program Files\Common Files\System\Ole DB\Oledb32.dll
可以这样恢复控制面板如果是被病毒修改注册表被禁用的,会有提示“被管理员限制”之类,修复方法见《Global/MS-DOS/Boom.vbs病毒后遗症》那贴...
如果出错提示是rundll32.exe出错,除了regsvr32重新注册一遍dll之外,也有可能是rundll32.exe的映像劫持还没被删掉。
谢谢补充~~ -
2008-08-01 12:52:13
有可能双击打不开 盘符
打开 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。随后返回到“编辑文件类型”窗口,选中“open”,设为默认值,确定。现在再打开分区或文件夹看下,是不是已恢复正常?
可以这样恢复把Autorun.inf删掉以后重起电脑就不会双击打不开了。
实际上是病毒利用Autorun.inf把open和explorer菜单都指向到了MS-DOS.com -
2008-08-01 13:08:50
到于 winrar找不开的问题
也很简单
可能病毒修改了系统哪个设置,不准winrar.exe
打开rar等类型的文件
我们只要到winrar目录,把winrar.exe 改成其他的名字,比如1.exe winrar程序一样可以运行
而,其他rar等类型的文件打开时选择打开方式
就浏览 始终选择这个1.exe打开就OK了
嘿嘿是通过组策略限制RAR文件的打开,Photoshop不能用也是被组策略限制的,
XP Home版没有组策略编辑器的情况下我不知道应该修改哪个注册表键值。
你说的情况是映像劫持,给程序改个名字就可以运行,
(映像劫持的解决用SREng把启动项里面IFEO开头的删掉就好了)
