maCskY,track the life

病毒名称 Worm.Win32.AutoRun.dcw
病毒类型 蠕虫(借助U盘传播)
病毒主体文件 autorun.inf，MS-DOS.com
病毒主体程序 Global.exe，boom.vbs，keyboard.exe，default.exe，fonts.exe

释放的文件

%systemroot%\cursors\boom.vbs
%systemroot%\system\keyboard.exe
%systemroot%\system32\dllcache\default.exe
%systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe
%systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif
%systemroot%\pchealth\helpctr\binaries\helphost.com
%systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe
%systemroot%\system32\dllcache\autorun.inf
%systemroot%\system32\dllcache\system.exe
%systemroot%\system32\dllcache\svchost.exe
%systemroot%\system32\dllcache\Global.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe
各个盘符下的autorun.inf以及MS-DOS.com

清除步骤：

1.使用XDelBox1.7删除以下文件：

使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择“剪贴板导入不检查路径”，导入后右键菜单选择立刻重启删除。

提示:运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)

windows\fonts\fonts.exe
windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
\windows\remoteabc.exe
\windows\system32\dllcache\default.exe
\windows\system\keyboard.exe
\windows\system32\dllcache\rndll32.exe
\windows\system32\drivers\drivers.cab.exe
\windows\media\rndll32.pif
\windows\pchealth\helpctr\binaries\helphost.com
\windows\fonts\tskmgr.exe
\windows\system32\cdcd.sys
\MS-DOS.com和autorun.inf每个盘符下都有

2.删除重启后使用SREng修复下面各项：

启动项目–注册表如下项删除：

[sys] <C:\WINDOWS\Fonts\Fonts.exe>

[] <C:\WINDOWS\system32\dllcache\Default.exe>

[] <C:\WINDOWS\system\KEYBOARD.exe>

[] <C:\WINDOWS\system32\dllcache\Default.exe>

[MSConfig] <;C:\WINDOWS\system32\dllcache\rndll32.exe /auto>

[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>

[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>

[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>

[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>

[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>

[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>

[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>

[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>

启动项目–服务–Win32服务应用程序之如下项删除：

[2 / 32] <C:\WINDOWS\RemoteAbc.exe>

启动项目–服务–驱动程序之如下项删除：

[Cdsys / Cdsys] <\??\C:\WINDOWS\system32\cdcd.sys>

3.清理系统临时文件和IE临时文件夹、扫描系统

关键在于用冰刃IceSword解决进程守护的问题。就是必须要用“创建进程规则”的方法中止掉global.exe、system.exe，这两个病毒进程互相保护，一旦中止，后面的清除工作就好办多了。除这两个外，可能还有一些进程也要中止，可参看批处理里面的病毒文件名。

据说，安全模式下，大蜘蛛Dr Web 能干掉它，大家可以试试，本人自己没中过，无法进行相关测试

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
或
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
下载后立即断网杀毒

Lingoes Translator 灵格斯词霸 — 免费的词典与文本翻译软件

软件版本: 2.3.0 Beta

界面语言: 英/韩/日/中(简,繁)

运行环境: Win 2000/XP/2003/Vista + IE6 或以上版本

发布时间: 2008-05-10

文件大小: 6.86 MB

软件许可: 免费

预装词典: 维科英汉/汉英词典(简), 海词在线词典, 译典通在线词典, Google网络释义

修改：

默认的屏幕取词方式已改为 “Ctrl+鼠标右键”

从旧版本升级的用户, 无需卸载旧版本, 只要覆盖安装到原来的目录下, 即可保留原有的词典及配置.

支持 Adobe Acrobat PDF 和 Firefox 3 取词

本人极度推荐的词霸，感觉比金山词霸好多了，而且是免费的。

下载地址