maCskY,track the life

U盘病毒:Global.exe清理方案

by on Jun.12, 2008, under win32-xp

病毒名称 Worm.Win32.AutoRun.dcw
病毒类型 蠕虫(借助U盘传播)
病毒主体文件 autorun.inf,MS-DOS.com
病毒主体程序 Global.exe,boom.vbs,keyboard.exe,default.exe,fonts.exe

释放的文件

%systemroot%\cursors\boom.vbs
%systemroot%\system\keyboard.exe
%systemroot%\system32\dllcache\default.exe
%systemroot%\fonts\fonts.exe %systemroot%\system32\drivers\drivers.cab.exe
%systemroot%\fonts\fonts.exe %systemroot%\media\rndll32.pif
%systemroot%\pchealth\helpctr\binaries\helphost.com
%systemroot%\fonts\tskmgr.exe %systemroot%\pchealth\Global.exe
%systemroot%\system32\dllcache\autorun.inf
%systemroot%\system32\dllcache\system.exe
%systemroot%\system32\dllcache\svchost.exe
%systemroot%\system32\dllcache\Global.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
%systemroot%\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\Global.exe
各个盘符下的autorun.inf以及MS-DOS.com

清除步骤:

1.使用XDelBox1.7删除以下文件:

使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择“剪贴板导入不检查路径”,导入后右键菜单选择立刻重启删除。

提示:运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)

windows\fonts\fonts.exe
windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
\windows\remoteabc.exe
\windows\system32\dllcache\default.exe
\windows\system\keyboard.exe
\windows\system32\dllcache\rndll32.exe
\windows\system32\drivers\drivers.cab.exe
\windows\media\rndll32.pif
\windows\pchealth\helpctr\binaries\helphost.com
\windows\fonts\tskmgr.exe
\windows\system32\cdcd.sys
\MS-DOS.com和autorun.inf每个盘符下都有

2.删除重启后使用SREng修复下面各项:

启动项目–注册表如下项删除:

[sys] <C:\WINDOWS\Fonts\Fonts.exe>

[] <C:\WINDOWS\system32\dllcache\Default.exe>

[] <C:\WINDOWS\system\KEYBOARD.exe>

[] <C:\WINDOWS\system32\dllcache\Default.exe>

[MSConfig] <;C:\WINDOWS\system32\dllcache\rndll32.exe /auto>

[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>

[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>

[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>

[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>

[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>

[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>

[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>

[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>

启动项目–服务–Win32服务应用程序之如下项删除:

[2 / 32] <C:\WINDOWS\RemoteAbc.exe>

启动项目–服务–驱动程序之如下项删除:

[Cdsys / Cdsys] <\??\C:\WINDOWS\system32\cdcd.sys>

3.清理系统临时文件和IE临时文件夹、扫描系统

关键在于用冰刃IceSword解决进程守护的问题。就是必须要用“创建进程规则”的方法中止掉global.exe、system.exe,这两个病毒进程互相保护,一旦中止,后面的清除工作就好办多了。除这两个外,可能还有一些进程也要中止,可参看批处理里面的病毒文件名。

据说,安全模式下,大蜘蛛Dr Web 能干掉它,大家可以试试,本人自己没中过,无法进行相关测试

下载Dr.Web CureIt 到桌面,免安装的,直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
下载后立即断网杀毒

Random appear


http://berrymac.us/2008/win32-xp/global.xml

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • Twitter
  • RSS


1 Comment for this entry

  • Macsky.X
    July 12th, 2008 on 3:18 pm

    针对该病毒能引起变种,推荐:将必要的文件备份到其他盘符上,全格系统盘,重装,重装完成后,不可双击硬盘,从地址栏进入,清除autorun.inf,MS-DOS.com文件,一般即可。顺便在每个盘符下建立一个名为autorun.inf的文件夹,将其属性设为只读。

    Reply

Leave a Reply

Tag clouds

Popular Tags on Me

Looking for something?

Use the form below to search the site:

Still not finding what you're looking for?
Oh so sorry that I don't care what you are looking for.