U盘病毒：Global.exe，boom.vbs，keyboard.exe，default.exe，fonts.exe清理方案

本文用到的下载包：蠕虫清理包.rar
『Worm.Win32.AutoRun.dcw 蠕虫清理包』
病毒名称：Worm.Win32.AutoRun.dcw
病毒类型：蠕虫(借助U盘传播)
病毒主体文件：autorun.inf，MS-DOS.com
病毒主体程序：Global.exe，boom.vbs，keyboard.exe，default.exe，fonts.exe

 

进程文件:keyboard.exe
进程名称:keyboard
描述:keyboard.exe是木马病毒“密影”(hack.logspy.e) 释放出来的文件，通常出现在system32目录下，同时还会有odbcinst.dll、odbckey.dll几个文件，建议使用杀毒软件进行扫描。
出品者:未知
属于:hack.logspy.e
系统进程:否
后台进程:是
使用网络:是
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否 

清除步骤：
1.使用XDelBox1.7删除以下文件：
　　使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择“剪贴板导入不检查路径”，导入后右键菜单选择立刻重启删除。
　　提示:运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)
　　c:\windows\fonts\fonts.exe
　　c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\system.exe
　　c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\svchost.exe
　　c:\windows\system32\dllcache\recycler.{645ff040-5081-101b-9f08-00aa002f954e}\global.exe
　　c:\windows\remoteabc.exe
　　c:\windows\system32\dllcache\default.exe
　　c:\windows\system\keyboard.exe
　　c:\windows\system32\dllcache\rndll32.exe
　　c:\windows\system32\drivers\drivers.cab.exe
　　c:\windows\media\rndll32.pif
　　c:\windows\pchealth\helpctr\binaries\helphost.com
　　c:\windows\fonts\tskmgr.exe
　　c:\windows\system32\cdcd.sys
　　C:\MS-DOS.com
　　D:\MS-DOS.com
　　E:\MS-DOS.com
　　F:\MS-DOS.com
　　g:\MS-DOS.com
　　c:\autorun.inf
　　d:\autorun.inf
　　e:\autorun.inf
　　f:\autorun.inf
　　g:\autorun.inf
2.删除重启后使用SREng修复下面各项：
　　启动项目--注册表如下项删除：
　　[sys] <C:\WINDOWS\Fonts\Fonts.exe>
　　[] <C:\WINDOWS\system32\dllcache\Default.exe>
　　[] <C:\WINDOWS\system\KEYBOARD.exe>
　　[] <C:\WINDOWS\system32\dllcache\Default.exe>
　　[MSConfig] <;C:\WINDOWS\system32\dllcache\rndll32.exe /auto>
　　[IFEO[auto.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
　　[IFEO[autorun.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
　　[IFEO[autoruns.exe]] <C:\WINDOWS\system32\drivers\drivers.cab.exe>
　　[IFEO[boot.exe]] <C:\WINDOWS\Fonts\fonts.exe>
　　[IFEO[ctfmon.exe]] <C:\WINDOWS\Fonts\Fonts.exe>
　　[IFEO[msconfig.exe]] <C:\WINDOWS\Media\rndll32.pif>
　　[IFEO[procexp.exe]] <C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
　　[IFEO[taskmgr.exe]] <C:\WINDOWS\Fonts\tskmgr.exe>
　　启动项目--服务--Win32服务应用程序之如下项删除：
　　[2 / 32] <C:\WINDOWS\RemoteAbc.exe>
　　启动项目--服务--驱动程序之如下项删除：
　　[Cdsys / Cdsys] <\??\C:\WINDOWS\system32\cdcd.sys>
3.清理系统临时文件和IE临时文件夹、扫描系统：
运行 ATF-Cleaner，arswp ，按提示操作。