[搬家]Global/MS-DOS/Boom.vbs病毒后遗症

原 http://maajiaa.ycool.com/post.2906341.html

首先恭喜该病毒上周终于荣登卡巴斯基每周病毒报告的首位
卡巴对其命名为Worm.Win32.Autorun.eed
既然卡巴能查它了，清除病毒的工作大概可以简单很多，安全模式下全盘扫描是王道！
手动杀毒方法见《新· 打印店Global病毒解决方案》
一些早期发现的病毒后遗症修复脚本也在上面这个链接里有说明。

以下这些是前几天帮同学杀毒时发现的某版本MS-DOS.com(大小为220K)后遗症，
其中有些后遗症其他版本也有而且相当恶心，例如修改exe文件…
我想说，要是你中毒已经很久，估计硬盘里能改的exe都已经被病毒改了一遍
最省事的办法还是重装吧，格C盘重装，其他盘里面的那些exe都别要了。

1. 病毒会修改运行过的exe文件

更新杀毒软件病毒库，安全模式下全盘扫描，
如果能查出exe被感染那最好，选择“清除病毒”而不是“删除文件”试试
查不出的话，对于该病毒会修改exe文件的问题，除了重装，
我目前也不知道还有没有别的办法解决…
或许可以用filemon监视到底是哪个进程在修改exe，
或许是这些exe互相改来改去…

08年8月2日更新：
这些被修改的exe卡巴斯基可以正常清除，报警为worm.win32.Huhk.c
在任务管理器里面结束掉explorer.exe进程，
然后文件–新建任务–浏览，找到卡巴斯基的主程序avp.exe运行，执行全盘扫描
其它杀毒软件可以也类似操作。

2. 一些漏掉的映像劫持项

运行SREng（下载地址及使用方法见官方页面），找到[启动项目 -- 注册表项]
里面如果还有其他形如<IFEO[xxx.exe]>的项，把那些删掉。
这个是某些版本的Global会遗留的问题，映像劫持office系列，photoshop等等软件，
造成Word/PowerPoint/Photoshop等程序无法使用。

3. 控制面板被全面禁用

可以运行组策略编辑器gpedit.msc，
找到[用户配置 -- 管理模板 -- 控制面板]，在这里面随便改一改，
例如把每一项先启用组策略然后再改回未配置…

Home版XP没有组策略编辑器，需要手动修改注册表
病毒到底做了哪些修改我不清楚，
只能照着MS_Windows版精华区x-13-19的帖子改…
MS_Windows精华区的这篇贴子有详细说明 (其中有几项遗漏)，
但是其中[HKEY_USER\用户名\]可以换成[HKEY_CURRENT_USER\]
P.S. 该链接只能每天23点以前查看，大家也可以Google 注册表+控制面板…

我对照了我自己的系统，发现默认情况下
system主键下没有东西，Network这个主键不存在
所以给一个一步到位的方法：
运行cmd，然后输入：

reg export HKCU\Software\Microsoft\Windows\CurrentVersion\Policies backup.reg

这一步是备份，防止误删，
成功后会在 C:\Documents and Settings\当前用户名\ 这个目录下生成backup.reg的文件，
需要恢复时双击导入注册表即可。接下来：

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /va
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Network

P.S. 关于reg命令的详细情况请自行调用帮助参数 reg /?

4. 其他不明后遗症

例如压缩包不能打开，photoshop被禁用，都是提示“管理员限制”
不知道是病毒改了什么地方，我目前还没有解决…

[搬家]一个对付Global/MS-DOS.com的批处理

原 http://maajiaa.ycool.com/post.2887690.html

发信人: MaaJiaa (Google又好了？), 信区: Virus
标  题: 写好了·对付Global的批处理
发信站: 日月光华 (2008年06月17日19:02:13 星期二), 站内信件

将以下分割线之间的内容复制到记事本，另存为扩展名为.bat的文件
打印店回来按住Shift键插入U盘，然后双击这个.bat，之后就不用担心Global病毒了…
之后再双击或者右键打开/右键资源管理器命令进入U盘，可能弹出选择打开方式，
这只是Autorun.inf删掉以后的后遗症，拔下来重插U盘即可。

其他病毒的话，因为U盘里面所有文件已经都没有隐藏和系统属性，
自己看着删….

P.S. 这个东西只针对打印店回来的U盘，不是帮已经中毒的电脑杀毒…
       已经中毒的电脑如果要杀毒，参考《新·打印店Global病毒解决办法》

===============我是分割线===============

@echo *********************************************
@echo 1. 自动清除U盘中的autorun.inf和MS-DOS.com
@echo 2. 自动去掉U盘中所有文件的系统/隐藏/只读属性
@echo 3. 自动匹配文件夹名清除由病毒生成的文件夹.exe
@echo
@echo        撒花感谢vinsonlv@RYGH~~~~
@echo *********************************************
@set /p x=请输入U盘的盘符：
%x%:
del /f /a autorun.inf
del /f /a MS-DOS.com
attrib -s -h -r * /s /d
for /f “delims=” %%i in (‘dir/b/ad’) do del %%i.exe
@echo Finished!

===============我是分割线===============

P.P.S. 写得好小白啊…-,-bbb

[搬家]新·打印店Global病毒解决办法

08-07-17日更新：
有部分杀毒之后的遗留问题之前被我漏掉，
详见《Global/MS-DOS/Boom.vbs 病毒后遗症》

————————————————————————-

发信人: MaaJiaa (水泡..), 信区: Virus
标 题: 新·打印店病毒Global.exe解决傻瓜版
发信站: 日月光华 (2008年06月16日02:33:07 星期一), 站内信件

根据StriGes@RYGH的测试报告整理的傻瓜版，大家一起撒花赞StriGes~~~~//bow
之前的那篇漏了太多内容，
尤其是这个开关机脚本C:\WINDOWS\Cursors\Boom.vbs
和病毒本体C:\WINDOWS\Help\microsoft.hlp
这两个都是用SREng扫描检查不出的项，却也是病毒最关键的两个东西
因此之前写的作废…

晚上在春晖门口靠小卖部那家打印店采样回来测试完毕。
卡巴斯基病毒库08-06-16 15:08:05 扫描U盘并不报毒，
只有激活病毒以后才会根据病毒的行为判断而报警（激活以后就难以干掉了）

【中毒症状】

1. U盘文件夹“消失”，被同名的exe文件“替代”，
2. 无法切换中文输入法
3. 开机/关机的速度变得很慢（因为要加载病毒脚本）
4. 进程中有Global.exe和Fonts.exe，结束进程马上自动恢复
5. 各个硬盘分区根目录下多出来autorun.inf和MS-DOS.com，用WinRAR或者7-zip之类软件可以看到，普通方式查看不到。
6. 其他一些不明显的症状…

【解决方法】

1. 用XDelBox删除以下文件（右键剪贴板导入不检查路径）：

C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\tskmgr.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\rndll32.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\Cursors\Boom.vbs

以及各个硬盘分区下的

X:\Autorun.inf
X:\MS-DOS.com

以上list导入完毕之后，右键选择立即重起删除，
之后的关机过程可能要等待好几分钟的时间，甚至出现死机，可以强行关机重起。

重起删除后，残留的需要手动清除的病毒尸体还有：
文件夹C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B- 9F08-00AA002F954E}
文件夹C:\WINDOWS\system32\regedit.exe（可能有）
还有病毒创建的一个可能文件名不确定的.tmp文件（整个Temp可以清空）
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

2. 将以下分内容复制到记事本，保存为扩展名为.reg的文件，然后运行“regedt32”，选择文件–导入，导入刚刚保存的.reg文件。

Windows Registry Editor Version 5.00
; 以分号开头的行为注释的废话
;
; 清除病毒屏保
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="600"
"SCRNSAVE.EXE"=-
"AutoEndTasks"="0"
;
; 修复文件关联
[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
00,00,00
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""
;
; 删除开关机脚本
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts]
;
; 恢复显示com和exe的扩展名
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]
"NeverShowExt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"NeverShowExt"=-
;
; 清除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
"C:\WINDOWS\system\KEYBOARD.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"sys"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
;
; 清除映像劫持
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
;
; 恢复显示系统文件选项相关，这两个键的关系我还没搞太明白
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
;
; MUICache有什么用不大清楚，这一堆似乎不重要
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"=-
"C:\WINDOWS\system32\dllcache\Default.exe"=-"C:\WINDOWS\Fonts\Fonts.exe"=-
;
; 不知道Global在干什么
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components#CONTENT#]
@=""
"Source"=-
"SubscribedURL"=-
"FriendlyName"=-
"Flags"=-
"Position"=-
"CurrentState"=-
"OriginalStateInfo"=-
"RestoredStateInfo"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=-
"Settings"=-
"GeneralFlags"=-
;
; 还是不知道在干什么
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableStatusMessages"=-
;
; 清除残留信息
[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

4. 建议运行“sigverif” 检查文件的数字签名，如果有未经签名验证的文件，
　从别人的机器上拷一个过来覆盖原文件。
　（关于explorer.exe被替换的问题，参考snowflurry发的那篇帖子）
　附我用的有点麻烦的方法：
　我发现我的explorer.exe被替换，
　于是我打开任务管理器，结束explorer.exe 的进程，
　然后任务管理器–文件–新建任务–浏览，
　找到C:\WINDOW\explorer.exe删除，
　再找到从别人那里拷过来的正确的explorer.exe
　将它复制到C:\WINDOWS下面，选中打开–确定。

5. 防毒从养成良好的U盘使用习惯开始，推荐阅读《U盘使用Tips总结》

6. 对于U盘里面“消失不见”的文件夹，可以运行（其中X为U盘盘符）：

attrib -s -h -r X:\* /s /d

7. 防止再次中招，打印回来的U盘可以用这个批处理文件来清理。

[搬家]Global.exe/Fonts.exe病毒解决方法

原 http://maajiaa.ycool.com/post.2878083.html

2008年6月17日更新：
本篇只是根据SREng扫描报告而写，遗漏了重要内容，已作废…
新的解决方法见《新·打印店Global病毒解决方法》

2008年7月17日更新：
一些杀完毒之后的遗留问题请参考《Global/MS-DOS/Boom.vbs 病毒后遗症》

=====================================

肆虐FD打印店的Global.exe病毒，利用U盘自动播放（Autorun）功能传播。
将U盘下所有文件夹改为系统和隐藏属性，用病毒伪装的exe文件代替，
映像劫持，造成常用杀毒软件、任务管理器、输入法等等无法启动……
P.S. 关于AutoRun和U盘使用以及杀毒后遗症等的更多讨论见《U盘使用Tips总结》

【典型症状】

1. U盘内文件“丢失”：其实是U盘内所有文件夹被加上了隐藏和系统属性，再以[文件夹名.exe]的病毒文件来冒充。
2. 无法输入中文：ctfmon.exe被病毒映像劫持。
3. 屏幕上有“This computer is being attacked”字样的对话框飞来飞去，如下图所示。对于这一点，除了恶趣味，再找不出其他词来形容了。

　

【需要用到的工具】

SREng
下载地址：http://www.kztechs.com/sreng/download.html
使用方法：http://www.kztechs.com/sreng/help2/

XDelBox
下载地址：http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0

【解决方法】

用XDelBox删除以下文件（选择重起后删除，若提示文件找不到，无视之）：

C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe

以及各个硬盘分区下的

X:\MS-DOS.com
X:\Autorun.inf

用SREng修复文件关联项

.REG  Error. [C:\WINDOWS\pchealth\Global.exe]

同样用SREng或者运行C:\WINDOWS\system32\regedt32.exe删除以下注册表启动项

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <><C:\WINDOWS\system32\dllcache\Default.exe>
    <><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <><C:\WINDOWS\system32\dllcache\Default.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <sys><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>

运行regedt32.exe，找到类似于以下的映像劫持项，即Log启动项里带IFEO的项，删除之：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
    <IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\autoruns.exe]
    <IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
    <IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
    <IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
    <IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
    <IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>

P.S. 通常xxx.exe的主键下会有一个名为debugger的字符串值，删除这个即可。
　　人觉得可以对于xxx.exe这样的主键也可以整个都删除。
　　注册表操作建议先导出备份。
　　另外这些映像劫持也可以用IFEO修复工具修复（我没用过），
　　下载地址：http://www.dodudou.com /down/download.php?fname=./02.常用工具/IFEO.rar

之后用杀毒软件全盘扫描一下，另外再看看有没有C:\WINDOWS\system32\regedit.exe，图标是一个文件夹，有的话删除之，正确的regedit.exe应该在C:\WINDOWS\下面。

（感谢StriGes@RYGH提供regedit.exe的相关信息）