U盤病毒：Global.exe，boom.vbs，keyboard.exe，default.exe，fonts.exe清理方案

知識藏園 2012-01-09

展開全文

本文用到的下載包：蠕蟲清理包.rar
『Worm.Win32.AutoRun.dcw 蠕蟲清理包』
病毒名稱：Worm.Win32.AutoRun.dcw
病毒類型：蠕蟲(借助U盤傳播)
病毒主體文件：autorun.inf，MS-DOS.com
病毒主體程序：Global.exe，boom.vbs，keyboard.exe，default.exe，fonts.exe

進程文件:keyboard.exe
進程名稱:keyboard
描述:keyboard.exe是木馬病毒“密影”(hack.logspy.e) 釋放出來的文件，通常出現(xiàn)在system32目錄下，同時還會有odbcinst.dll、odbckey.dll幾個文件，建議使用殺毒軟件進行掃描。
出品者:未知
屬于:hack.logspy.e
系統(tǒng)進程:否
后臺進程:是
使用網(wǎng)絡(luò):是
硬件相關(guān):否
常見錯誤:未知
內(nèi)存使用:未知
安全等級:0
間諜軟件:否
廣告軟件:否
病毒:否
木馬:否

清除步驟：
1.使用XDelBox1.7刪除以下文件：
　　使用說明：刪除時復(fù)制所有要刪除文件的路徑，在待刪除文件列表里點擊右鍵選擇“剪貼板導(dǎo)入不檢查路徑”，導(dǎo)入后右鍵菜單選擇立刻重啟刪除。
　　提示:運行xdelbox前最好卸載所有可移動存儲介質(zhì)(包括U盤,MP3,手機存儲卡等)
　　c:\windows\fonts\fonts.exe
　　c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
　　c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
　　c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
　　c:\windows\remoteabc.exe
　　c:\windows\system32\dllcache\default.exe
　　c:\windows\system\keyboard.exe
　　c:\windows\system32\dllcache\rndll32.exe
　　c:\windows\system32\drivers\drivers.cab.exe
　　c:\windows\media\rndll32.pif
　　c:\windows\pchealth\helpctr\binaries\helphost.com
　　c:\windows\fonts\tskmgr.exe
　　c:\windows\system32\cdcd.sys
　　C:\MS-DOS.com
　　D:\MS-DOS.com
　　E:\MS-DOS.com
　　F:\MS-DOS.com
　　g:\MS-DOS.com
　　c:\autorun.inf
　　d:\autorun.inf
　　e:\autorun.inf
　　f:\autorun.inf
　　g:\autorun.inf
2.刪除重啟后使用SREng修復(fù)下面各項：
　　啟動項目--注冊表如下項刪除：
　　[sys] <C:\WINDOWS\Fonts\Fonts.exe>
　　[] <C:\WINDOWS\system32\dllcache\Default.exe>
　　[] <C:\WINDOWS\system\KEYBOARD.exe>
　　[] <C:\WINDOWS\system32\dllcache\Default.exe>
　　[MSConfig] <;C:\WINDOWS\system32\dllcache\rndll32.exe /auto>
　　[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
　　[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
　　[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
　　[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>
　　[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>
　　[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>
　　[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
　　[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>
　　啟動項目--服務(wù)--Win32服務(wù)應(yīng)用程序之如下項刪除：
　　[2 / 32] <C:\WINDOWS\RemoteAbc.exe>
　　啟動項目--服務(wù)--驅(qū)動程序之如下項刪除：
　　[Cdsys / Cdsys] <\??\C:\WINDOWS\system32\cdcd.sys>
3.清理系統(tǒng)臨時文件和IE臨時文件夾、掃描系統(tǒng)：
運行 ATF-Cleaner，arswp ，按提示操作。