簡介
dl1.exe是病毒名叫worm.win32.delf.cc(德芙)在任務管理里中的進程!
中此病毒的症狀為:
1.破壞安全模式
2.不能顯示隱藏檔案
3.結束常見防毒軟體以及常用防毒工具進程
4.監控視窗
5.IFEO映像劫持
6.可以通過移動存儲傳播
病毒運行後
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面釋放一個同樣由8個數字和字母組成的組合的檔案名稱的dll 和一個同名的dat 檔案
我這裡是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
該dll插入Explorer進程
解決方法
結束(包括但不限於)以下進程
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe
常見的防毒軟體和一些安全工具都被他幹掉了
然後將這些exe通過IFEO進行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat
監控帶有如下字樣的視窗 如果發現帶有如下字樣的視窗則馬上將其關閉
木馬
木馬
病毒
防毒
防毒
查毒
防毒
反病毒
專殺
專殺
卡巴斯基
江民
瑞星
卡卡社區
金山毒霸
金山社區
360安全
惡意軟體
流氓軟體
舉報
報警
殺軟
殺軟
防駭
以上這些監控和關閉視窗的工作全都是由插入Explorer進程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的
比熊貓更狠 讓你找不到進程咯
然後在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
下面添加註冊表項目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
達到開機啟動目的
而且那個dll會監控這個註冊表項目 如果被刪除則立即恢復
刪除鍵
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破壞安全模式
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue滴?x00000000
使得顯示不了隱藏檔案
釋放8668122F.exe(骨頭語:此檔案名稱在每台電腦上各不相同)和autorun.inf到除系統分區外的其他分區
然後通過Explorer進程連結網路下載一個自解壓檔案dl1.exe 到臨時資料夾
自解壓檔案釋放C:\WINDOWS\system\20290.exe
C:\WINDOWS\system\ad1309.exe
C:\WINDOWS\system\DiskFree_hy1.5.exe
C:\WINDOWS\system\dodolook027.exe等檔案
這裡面有驅動木馬 也有流氓軟體
所有的檔案都運行後
添加了如下檔案
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\tolnfo47.sys
C:\WINDOWS\system32\drivers\vilpew30.sys
C:\WINDOWS\system32\drivers\ykagjt85.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
還裝了兩個軟體 一個是adpush software 一個是disk free
==========================================================
dl1.exe病毒的刪除辦法
首先:進入任務管理器,結束掉explorer.exe的進程
然後:用winrar打開C:\Program Files\Common Files\Microsoft Shared\MSInfo
打開的方法是先啟動winrar程式,然後點打開-->一級一級的打開上面的目錄,在msinfo裡面會有個八位的exe執行檔案如:CF62255D.dll和CF62255D.exe。將其刪除
第三:啟動explorer.exe
第四:打開註冊表(開始-->運行-->regedit-->回車)
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下面就是被禁用的防毒軟體列表了,把相關的防毒軟體的名字刪掉就可以運行了
第五:運行你機子上有的防毒軟體,升級,全盤防毒,就OK了。
病毒名叫worm.win32.delf.cc(德芙)。有可能有變種,後面的,cc會變成其它的。