新的扫描日志

这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除：
C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\DOCUME~1\Ly\LOCALS~1\Temp\REMOVE~1.BAT
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\Fonts\fonts.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com

记住！！！！不论删除结果如何，继续下面操作：
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
    <><C:\WINDOWS\system32\dllcache\Default.exe>  []
    <><C:\WINDOWS\system32\dllcache\Default.exe>  []
    <360safeuninst><C:\DOCUME~1\Ly\LOCALS~1\Temp\REMOVE~1.BAT>  []
    <IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
    <IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
    <IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
    <IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>  []
    <IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>  []
    <IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>  []
    <IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
    <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
————————————————————————————————————
在扫日志的SRENG工具》系统修复》文件关联》修复文件关联


————————————————————————————————————
再重启电脑，反复检查，操作相关，

————————————————————————————————————
再重启电脑，

用下载的“清理临时文件工具ATF-Cleaner-cn”，全选所有项目，点击“立即清理”
下载：http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手，清理你那系统。
记得打打系统漏洞补丁

还是没有办法用输入法，现在优盘可以写入正常的文件了，但是输入法还是很郁闷的没有反映
新的日志

下载附件，解压后复制里面的ctfmon.exe粘贴到c:\windows\system32\文件夹内  然后开始-运行 ctfmon.exe

还是没有办法用输入法，现在优盘可以写入正常的文件了，但是输入法还是很郁闷的没有反映
新的日志

输入法不见，这里看看：
http://bbs.ikaka.com/showtopic-8419041.aspx

手工清除ms-dos.com病毒的方法----南山
作者：南山 胡氏宗亲网（http://www.hszqw.com.cn）

关键字：global.exe、fonts.exe、keyboard.exe、ms-dos.com、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit关联、病毒防御、病毒免疫。

病毒自运行机制分析：ms-dos.com病毒主要是通过优盘传播。在没有病毒防护的情况下，autorun.inf可以自动运行ms-dos.com病毒程序，也可以通过点击伪装的xxxx文件夹.exe(220K)运行后产生以上病毒文件，分布在不同的文件夹里，按Ctrl+Alt+Del键可以看到有：Global.exe、KEYBOARD.exe、fonts.exe等病毒进程在运行，且互为保护无法中止这些进程；病毒通过映像劫持破坏输入法、任务管理器、注册表编辑器等；将优盘内的文件夹隐藏，用同名的220K病毒文件取代；在所有盘符下生成autorun.inf、ms-dos.com两个自动运行文件；不断产生“explorer程序遇到问题需要关闭”等出错提示；还可以通过局域网网络感染共享文件夹。

诊断与危害分析：通过输入法失效和优盘文件夹丢失可以初步判断与此病毒有关；查看各盘符根目录下有ms-dos.com文件；查看Global.exe、keyboard、fonts.exe等进程即可确定电脑已被此病毒感染。由于其他盘上还有病毒（如优盘上的220K病毒文件），即使格式化C盘，重装系统，稍不留意仍然会死灰复燃，前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危，由于没有专杀软件，防毒、杀毒苦不堪言，严重影响正常工作。

清除方法：经过仔细分析病毒运行机制，发现必须要把防御此病毒作为解决问题的关键，否则不管采取何种措施，都是不会有效果的。仔细查出主要病毒文件所在，决定使用XDelBox1.7（文件删除终结者）软件，就可以在dos状态下删除病毒文件并形成免疫文件，从而避免了此病毒的再次感染。以后的清理工作就可以顺利进行，相对容易多了。

整个杀毒过程共分四个步骤进行：删除病毒文件、修复注册表、清理系统、恢复丢失文件。（目前已经成功处理多例）

具体处理步骤和相关软件下载请到：http://www.hszqw.com.cn/bbs/read.php?tid=7358

南山（胡氏宗亲网http://www.hszqw.com.cn总版主）
2008.05.27