终于发现dl1.exe病毒完整解决方法了

 更新时间:2007年06月04日 00:00:00   作者:  
dl1.exe是病毒名叫worm.win32.delf.cc(德芙)在任务管理里中的进程! 

中此病毒的症状为: 
1.破坏安全模式 
2.不能显示隐藏文件 
3.结束常见杀毒软件以及常用杀毒工具进程 
4.监控窗口 
5.IFEO映像劫持 
6.可以通过移动存储传播 

病毒运行后 
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件 
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 
该dll插入Explorer进程 
结束(包括但不限于)以下进程 
360rpt.exe 
360Safe.exe 
360tray.exe 
adam.exe 
AgentSvr.exe 
AppSvc32.exe 
autoruns.exe 
avgrssvc.exe 
AvMonitor.exe 
avp.com 
avp.exe 
CCenter.exe 
ccSvcHst.exe 
FileDsty.exe 
FTCleanerShell.exe 
HijackThis.exe 
IceSword.exe 
iparmo.exe 
Iparmor.exe 
isPwdSvc.exe 
kabaload.exe 
KaScrScn.SCR 
KASMain.exe 
KASTask.exe 
KAV32.exe 
KAVDX.exe 
KAVPFW.exe 
KAVSetup.exe 
KAVStart.exe 
KISLnchr.exe 
KMailMon.exe 
KMFilter.exe 
KPFW32.exe 
KPFW32X.exe 
KPFWSvc.exe 
KRegEx.exe 
KRepair.COM 
KsLoader.exe 
KVCenter.kxp 
KvDetect.exe 
KvfwMcl.exe 
KVMonXP.kxp 
KVMonXP_1.kxp 
kvol.exe 
kvolself.exe 
KvReport.kxp 
KVScan.kxp 
KVSrvXP.exe 
KVStub.kxp 
kvupload.exe 
kvwsc.exe 
KvXP.kxp 
KvXP_1.kxp 
KWatch.exe 
KWatch9x.exe 
KWatchX.exe 
loaddll.exe 
MagicSet.exe 
mcconsol.exe 
mmqczj.exe 
mmsk.exe 
NAVSetup.exe 
nod32krn.exe 
nod32kui.exe 
PFW.exe 
PFWLiveUpdate.exe 
QHSET.exe 
Ras.exe 
Rav.exe 
RavMon.exe 
RavMonD.exe 
RavStub.exe 
RavTask.exe 
RegClean.exe 
rfwcfg.exe 
RfwMain.exe 
rfwProxy.exe 
rfwsrv.exe 
RsAgent.exe 
Rsaupd.exe 
runiep.exe 
safelive.exe 
scan32.exe 
shcfg32.exe 
SmartUp.exe 
SREng.exe 
symlcsvc.exe 
SysSafe.exe 
TrojanDetector.exe 
Trojanwall.exe 
TrojDie.kxp 
UIHost.exe 
UmxAgent.exe 
UmxAttachment.exe 
UmxCfg.exe 
UmxFwHlp.exe 
UmxPol.exe 
UpLive.EXE.exe 
WoptiClean.exe 
zxsweep.exe 
常见的杀毒软件和一些安全工具都被他干掉了 
然后将这些exe通过IFEO进行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat 

监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭 
木马 
木馬 
病毒 
杀毒 
殺毒 
查毒 
防毒 
反病毒 
专杀 
專殺 
卡巴斯基 
江民 
瑞星 
卡卡社区 
金山毒霸 
金山社区 
360安全 
恶意软件 
流氓软件 
举报 
报警 
杀软 
殺軟 
防駭 

以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的 
比熊猫更狠 让你找不到进程咯 
然后在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 
下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A] 
达到开机启动目的 
而且那个dll会监控这个注册表项目 如果被删除则立即恢复 

删除键 
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 
破坏安全模式 

修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue滴?x00000000 
使得显示不了隐藏文件 

释放8668122F.exe(骨头语:此文件名在每台电脑上各不相同)和autorun.inf到除系统分区外的其他分区 


然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹 
自解压文件释放C:\WINDOWS\system\20290.exe 
C:\WINDOWS\system\ad1309.exe 
C:\WINDOWS\system\DiskFree_hy1.5.exe 
C:\WINDOWS\system\dodolook027.exe等文件 
这里面有驱动木马 也有流氓软件 
所有的文件都运行后 
添加了如下文件 

C:\WINDOWS\system32\drivers\acpidisk.sys 
C:\WINDOWS\system32\drivers\tolnfo47.sys 
C:\WINDOWS\system32\drivers\vilpew30.sys 
C:\WINDOWS\system32\drivers\ykagjt85.sys 
C:\WINDOWS\system32\1b.dll 
C:\WINDOWS\system32\48a69 
C:\WINDOWS\system32\60e4.exe 
C:\WINDOWS\system32\7df9.dll 
C:\WINDOWS\system32\91b6.dll 
C:\WINDOWS\system32\b60.dll 
C:\WINDOWS\system32\bpjlgv91.dll 
C:\WINDOWS\system32\df91.dll 
C:\WINDOWS\system32\f91b.exe 
C:\WINDOWS\system32\ieagent.exe 
C:\WINDOWS\system32\mprmsgse.axz 
C:\WINDOWS\system32\mscpx32r.det 
C:\WINDOWS\system32\MSRundll.exe 
C:\WINDOWS\system32\ntprint.dIl 
C:\WINDOWS\system32\tolnfo47.dll 
C:\WINDOWS\system32\tolnfo47.ini 
C:\WINDOWS\system32\vilpew30.dll 
C:\WINDOWS\system32\wingjt85.bin 
C:\WINDOWS\system32\wingjt85.dll 
C:\WINDOWS\system32\winkx.dll 
C:\WINDOWS\system32\winlgv91.bin 
C:\WINDOWS\system32\winpew30.bin 
C:\WINDOWS\system32\winpew30.dll 
C:\WINDOWS\system32\ykagjt85.dll 
C:\WINDOWS\system32\cewrndm.dll 
C:\WINDOWS\system32\tolnfo47.dll 
C:\WINDOWS\system32\vilpew30.dll 
C:\WINDOWS\system32\b60.dll 
C:\WINDOWS\03.bmp 
C:\WINDOWS\3fa.exe 
C:\WINDOWS\41115BDD.hlp 
C:\WINDOWS\fa7c.txt 
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp 
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 
还装了两个软件 一个是adpush software 一个是disk free 


========================================================== 

dl1.exe病毒的删除办法 


首先:进入任务管理器,结束掉explorer.exe的进程 
然后:用winrar打开C:\Program Files\Common Files\Microsoft Shared\MSInfo 
打开的方法是先启动winrar程序,然后点打开-->一级一级的打开上面的目录,在msinfo里面会有个八位的exe执行文件如:CF62255D.dll和CF62255D.exe。将其删除 
第三:启动explorer.exe 
第四:打开注册表(开始-->运行-->regedit-->回车) 
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File  Execution Options下面就是被禁用的杀毒软件列表了,把相关的杀毒软件的名字删掉就可以运行了 
第五:运行你机子上有的杀毒软件,升级,全盘杀毒,就OK了。 
        病毒名叫worm.win32.delf.cc(德芙)。有可能有变种,后面的,cc会变成其它的。

相关文章

最新评论