手工清除ms–doscom病毒的方法.docVIP

手工清除病毒的方法 中毒现象：每隔30秒飞出一个飘动的图片，写着“your computer is being attacked”（您的计算机受到攻击），还不停地发出噔噔的声音。有时开机有一个进程借“regedit.exe（注册表编辑器）发作，跳出一个象枫叶样的窗口在屏幕上晃来晃去。不能切换中英文输入，输入法失效和优盘文件夹丢失。查看各盘符根目录下有文件；查看进程有：Global.exe、keyboard、fonts.exe等进程，即可确定电脑已被此病毒感染。由于其他盘上还有病毒（如优盘上的220K病毒文件），即使格式化C盘，重装系统，稍不留意仍然会死灰复燃，前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危，由于没有专杀软件，防毒、杀毒苦不堪言，严重影响正常工作。 杀毒需要的文件： 一共有四个文件：sreng-2，冰刃IceSword122cn ，yereg-rd.bat ，yereg-rd.bat。 第一步运行“冰刃IceSword122cn”，中止该死的进程。 第二步运行“yereg-rd.bat”，删除所有病毒文件，建立免疫文件夹。 第三步运行“sreng-2”，修复注册表编辑器的关联。打开sreng-2（可能有已经过期的提示，不要紧，把系统日期修改成2007年照样可用），别的都不用做，只把“系统修复--文件关联”做一下就可以了。重复点几下，当发现 .reg 的关联变成“regedit.exe”就正常了（如果第一步没有中止进程，这里也不可能恢复）。 第四步运行“killms.reg”， 导入注册表，清除注册表启动项和清除映像劫持项以及清除一些病毒残留。 总结一下几个关键点：必须先中止进程，否则根本没办法继续往下做第二步；然后是修复regedit注册表编辑器的关联，这是为做第四步创造前提条件。环环相扣，不能省略也不能提前做。 具体的杀毒方法和原理分析 关键字：global.exe、fonts.exe、keyboard.exe、、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit关联、病毒防御、病毒免疫。 病毒自运行机制分析：病毒主要是通过优盘传播。在没有病毒防护的情况下，autorun.inf可以自动运行病毒程序，也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件，分布在不同的文件夹里，按Ctrl+Alt+Del键可以看到有：Global.exe、keyboard.exe、fonts.exe等病毒进程在运行，且互为保护无法中止这些进程；病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等；将优盘内的文件夹隐藏，用同名的220K病毒文件取代；在所有盘符下生成autorun.inf、两个自动运行文件；不断产生“explorer程序遇到问题需要关闭”等出错提示；还可以通过局域网网络感染共享文件夹。 诊断与危害分析：通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关；查看各盘符根目录下有文件；查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒（如优盘上的220K病毒文件），即使格式化C盘，重装系统，稍不留意仍然会死灰复燃，前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危，由于没有专杀软件，防毒、杀毒苦不堪言，严重影响正常工作。 清除方法：经过仔细分析病毒运行机制，发现必须要把防御此病毒作为解决问题的关键，否则不管采取何种措施，都是不会有效果的。仔细查出主要病毒文件所在，使用我提供的优化杀毒软件包十分钟就可以解决问题，以后的恢复文件相对就容易多了。 整个杀毒过程共分四个步骤进行： 中止病毒进程、删除病毒文件并免疫、恢复注册表编辑器关联、清理启动项等。（目前已经成功处理多例） 关于手工处理病毒的方法 经过断断续续的调试，终于把对付这个病毒的优化杀毒软件包做好了。以前的处理方法过于繁琐，可以弃之不用（放到第26楼去了）。以前病毒在暗处，我们在明处，防不胜防。现在对这个病毒的一举一动都已经了如指掌。因为我开了一个裸机，在上面进行了几十次的调试，终于顺利完工。新的杀毒软件包一共只有四个文件：sreng-2，冰刃IceSword122cn ，yereg-rd.bat ，yereg-rd.bat。其中两个是辅助软件（sreng-2和冰刃IceSword122cn），另外两个，一是批处理文件（yereg-rd.bat），还有一个是注册表文件（killms.reg），都是只需点一下就可完成。 先说说裸机试验过程： 为摸清这个病毒的来龙去脉和了解杀毒效果，我先清装一台电脑，没有装任何杀毒软件，先做一