瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » global.exe 是什么病毒啊?怎样删除?
我是小飞侠他 - 2009-8-19 11:10:00
我的电脑中了global.exe 的病毒,登陆到xp页面后电脑音响有规律的发出滴滴声音,在屏幕上飘荡着一个“the computer is being attacked”貌似对话框的东西。请问版主如何删除?有没有专杀工具?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
sinoer - 2009-8-19 11:13:00
下载SRENG工具然后扫描日志,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
日志文件以附件形式发来
点击贴子右下角的“编辑”,然后就知道怎么发附件了
我是小飞侠他 - 2009-8-19 11:19:00


引用:
原帖由 sinoer 于 2009-8-19 11:13:00 发表
下载SRENG工具然后扫描日志,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
日志文件以附件形式发来
点击贴子右下角的“编辑”,然后就知道怎么发附件了


附件: SREngLOG.log
是昔流芳 - 2009-8-19 11:44:00
金山急救箱先处理一下,然后再发份日志上来
http://labs.duba.net/jjx.shtml
性能最佳 - 2009-8-19 11:48:00
用XDelBox删除以下文件
C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\tskmgr.exe
C:\WINDOWS\system32\dllcache\rndll32.exe
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Media\rndll32.pif
以及各个硬盘分区下的
X:\Autorun.inf
X:\MS-DOS.com

以上list导入完毕之后,右键选择立即重起删除,
之后的关机过程可能要等待好几分钟的时间,甚至出现死机,可以强行关机重起。

重起删除后,残留的需要手动清除的病毒尸体还有:
文件夹
C:\WINDOWS\system32\dllcache\Recycler.645FF040-5081-101B-9F08-00AA002F954E}
还有病毒创建的一个可能文件名不确定的.tmp文件(Temp文件夹可以清空)
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

用SREng修复以下文件关联项:
.REG Error. [C:\WINDOWS\pchealth\Global.exe]

用SREng或者运行C:\WINDOWS\system32\regedt32.exe删除以下注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<><C:\WINDOWS\system\KEYBOARD.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
<><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<><C:\WINDOWS\system32\dllcache\Default.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explor
er\Run]
<sys><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>

运行regedt32.exe,找到类似于以下的映像劫持项,删除之,或者用IFEO清除工具:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\auto.exe]
<IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\autorun.exe]
<IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
FileExecution Options\autoruns.exe]
<IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\boot.exe]
<IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ctfmon.exe]
<IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\msconfig.exe]
<IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\procexp.exe]
<IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\taskmgr.exe]
<IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>
是昔流芳 - 2009-8-19 11:50:00
regedit.exe  svchost.exe explorer.exe 这三个文件需网上寻找正常文件替换回原目录下
merrk_chuan - 2009-8-19 12:09:00
我想请问一下5楼的
你给出的方法中好多文件 从日志中并没有发现啊,并且LZ的日志里也没体现出映像劫持等问题啊,你是怎么发现的?
性能最佳 - 2009-8-19 12:18:00
我是在网上找的这种病毒的手动查杀方法,症状与他的相同
merrk_chuan - 2009-8-19 13:24:00
症状相同不代表中毒以后就一样,完全要根据它的日志来分析啊,万一删错东西咋办啊

----------------------------------------------------------------------------------------------------------------------------


c:\windows\system32\dllcache\clbcatq.dll
c:\windows\system32\dllcache\comres.dll
c:\windows\system32\dllcache\lpk.dll
c:\windows\system32\dllcache\sxs.dll
c:\windows\system32\dllcache\usp10.dll

这几个文件我建议你找相同系统版本的文件替换到c:\windows\system32\dllcache里,按道理说应该是加载system32下的,以防万一还是替换了吧,顺带也把c:\windows\system32里的也替换了,同时需要替换的还有这个 c:\windows\system32\srsvc.dll



这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
(如果提示文件不存在,不管他,直接继续下面的修复)
附件: 费 尔.rar(内附说明)
(右键选择“目标另存为”下载)
删除:
c:\windows\system32\dllcache\default.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
c:\progra~1\iefxz\iefxz.dll
c:\windows\pchealth\helpctr\binaries\helphost.com
c:\windows\fonts\fonts.exe
c:\windows\system\keyboard.exe
c:\documents and settings\all users\「开始」菜单\程序\启动\ctfmon.vbs
c:\program files\common files\baidu\baidu.html
c:\windows\system32\bhoplugin.dll
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
c:\MS-DOS.com
d:\MS-DOS.com
e:\MS-DOS.com
f:\MS-DOS.com

不论删除结果如何立即重启电脑

使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[SCRNSAVE.EXE]    <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[sys]    <C:\WINDOWS\Fonts\Fonts.exe>
[]    <C:\WINDOWS\system32\dllcache\Default.exe>
[]    <C:\WINDOWS\system\KEYBOARD.exe>
[]    <C:\WINDOWS\system32\dllcache\Default.exe>

    启动项目 -- 启动文件夹之如下项删除:
[ctfmon]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ctfmon.vbs>


    系统修复-- 浏览器加载项之如下项删除:
[IEFXZ]    <C:\PROGRA~1\IEfxz\iefxz.dll>
[IEFXZHelper]    <C:\PROGRA~1\IEfxz\iefxz.dll>
[百度一下所选文字 (&S)]    <C:\Program Files\Common Files\Baidu\Baidu.html>
[microsoft.com Class]    <C:\WINDOWS\system32\bhoplugin.dll>

    系统修复------文件关联  将错误的选上 然后修复下


SRENG工具的各项操作看这里:http://bbs.ikaka.com/showtopic-8545446.aspx


清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/show-77-1.html

杀毒软件升级至最新版本全盘杀。
基牛 - 2009-8-19 17:48:00
日志里面没有扫描到计划任务  LZ按照9楼的方法删除文件之后,点开始------程序-----附件-------系统工具----计划程序里面看看 有无可疑程序:kaka1:

记得捎带的清空临时文件夹 开始----运行------%temp% 清空她。
~聪明豆 - 2009-8-19 17:54:00
应该属于一种木马下载器之类的程序吧.并且无法删除,因为还有其他隐藏进程,相互守护。 用冰刃禁止新的进程创建,再去结束病毒进程,容易判断,病毒主体文件位于: C:\WINDOWS\system\KEYBOARD.exe C:\WINDOWS\system32\dllcache\Default.exe C:\WINDOWS\Fonts\Fonts.exe C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe 每个分区根目录下有autorun.inf和ms-dos.com 结束所有病毒进程后直接删除文件即可,最后再去删除启动项即可。
梨落雪 - 2009-8-19 18:30:00
好像是种木马下载器的工具
专杀工具看下这个:http://www.hy1993.com/upfile/soft/2009316154141310.rar
1
查看完整版本: global.exe 是什么病毒啊?怎样删除?
© 2000 - 2025 Rising Corp. Ltd.