我的电脑中了global.exe 的病毒，登陆到xp页面后电脑音响有规律的发出滴滴声音，在屏幕上飘荡着一个“the computer is being attacked”貌似对话框的东西。请问版主如何删除？有没有专杀工具？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

下载SRENG工具然后扫描日志，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx
日志文件以附件形式发来
点击贴子右下角的“编辑”,然后就知道怎么发附件了

金山急救箱先处理一下，然后再发份日志上来
http://labs.duba.net/jjx.shtml

用XDelBox删除以下文件
C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\tskmgr.exe
C:\WINDOWS\system32\dllcache\rndll32.exe
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Media\rndll32.pif
以及各个硬盘分区下的
X:\Autorun.inf
X:\MS-DOS.com

以上list导入完毕之后，右键选择立即重起删除，
之后的关机过程可能要等待好几分钟的时间，甚至出现死机，可以强行关机重起。

重起删除后，残留的需要手动清除的病毒尸体还有：
文件夹
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}
还有病毒创建的一个可能文件名不确定的.tmp文件（Temp文件夹可以清空）
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

用SREng修复以下文件关联项：
.REG Error. [C:\WINDOWS\pchealth\Global.exe]

用SREng或者运行C:\WINDOWS\system32\regedt32.exe删除以下注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\WINDOWS\system\KEYBOARD.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
<><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explor
er\Run]
<sys><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>

运行regedt32.exe，找到类似于以下的映像劫持项，删除之，或者用IFEO清除工具：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\auto.exe]
<IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\autorun.exe]
<IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
FileExecution Options\autoruns.exe]
<IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\boot.exe]
<IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ctfmon.exe]
<IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\msconfig.exe]
<IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\procexp.exe]
<IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\taskmgr.exe]
<IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>

regedit.exe  svchost.exe explorer.exe 这三个文件需网上寻找正常文件替换回原目录下

我想请问一下5楼的
你给出的方法中好多文件 从日志中并没有发现啊，并且LZ的日志里也没体现出映像劫持等问题啊，你是怎么发现的？

我是在网上找的这种病毒的手动查杀方法，症状与他的相同

症状相同不代表中毒以后就一样，完全要根据它的日志来分析啊，万一删错东西咋办啊

----------------------------------------------------------------------------------------------------------------------------


c:\windows\system32\dllcache\clbcatq.dll
c:\windows\system32\dllcache\comres.dll
c:\windows\system32\dllcache\lpk.dll
c:\windows\system32\dllcache\sxs.dll
c:\windows\system32\dllcache\usp10.dll

这几个文件我建议你找相同系统版本的文件替换到c:\windows\system32\dllcache里，按道理说应该是加载system32下的，以防万一还是替换了吧，顺带也把c:\windows\system32里的也替换了，同时需要替换的还有这个 c:\windows\system32\srsvc.dll



这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
(如果提示文件不存在，不管他，直接继续下面的修复)
附件: 费 尔.rar(内附说明）
（右键选择“目标另存为”下载）
删除：
c:\windows\system32\dllcache\default.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
c:\progra~1\iefxz\iefxz.dll
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\fonts\fonts.exe
c:\windows\system\keyboard.exe
c:\documents and settings\all users\「开始」菜单\程序\启动\ctfmon.vbs
c:\program files\common files\baidu\baidu.html
c:\windows\system32\bhoplugin.dll
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
c:\MS-DOS.com
d:\MS-DOS.com
e:\MS-DOS.com
f:\MS-DOS.com

不论删除结果如何立即重启电脑

使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[SCRNSAVE.EXE]    <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[sys]    <C:\WINDOWS\Fonts\Fonts.exe>
[]    <C:\WINDOWS\system32\dllcache\Default.exe>
[]    <C:\WINDOWS\system\KEYBOARD.exe>
[]    <C:\WINDOWS\system32\dllcache\Default.exe>

    启动项目 －－　启动文件夹之如下项删除：
[ctfmon]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ctfmon.vbs>


    系统修复－－　浏览器加载项之如下项删除：
[IEFXZ]    <C:\PROGRA~1\IEfxz\iefxz.dll>
[IEFXZHelper]    <C:\PROGRA~1\IEfxz\iefxz.dll>
[百度一下所选文字 (&S)]    <C:\Program Files\Common Files\Baidu\Baidu.html>
[microsoft.com Class]    <C:\WINDOWS\system32\bhoplugin.dll>

    系统修复------文件关联  将错误的选上 然后修复下


SRENG工具的各项操作看这里：http://bbs.ikaka.com/showtopic-8545446.aspx


清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/show-77-1.html

杀毒软件升级至最新版本全盘杀。

日志里面没有扫描到计划任务  LZ按照9楼的方法删除文件之后，点开始------程序-----附件-------系统工具----计划程序里面看看 有无可疑程序

记得捎带的清空临时文件夹 开始----运行------%temp% 清空她。