dl1

簡介

dl1.exe是病毒名叫worm.win32.delf.cc（德芙）在任務管理里中的進程!

中此病毒的症狀為：

1.破壞安全模式

2.不能顯示隱藏檔案

3.結束常見防毒軟體以及常用防毒工具進程

4.監控視窗

5.IFEO映像劫持

6.可以通過移動存儲傳播

病毒運行後

在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面釋放一個同樣由8個數字和字母組成的組合的檔案名稱的dll 和一個同名的dat 檔案

我這裡是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll

該dll插入Explorer進程

解決方法

結束（包括但不限於）以下進程

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

常見的防毒軟體和一些安全工具都被他幹掉了

然後將這些exe通過IFEO進行映像劫持 指向c:\program files\common files\microsoft shared\msinfo\41115bdd.dat

監控帶有如下字樣的視窗 如果發現帶有如下字樣的視窗則馬上將其關閉

木馬

木馬

病毒

防毒

防毒

查毒

防毒

反病毒

專殺

專殺

卡巴斯基

江民

瑞星

卡卡社區

金山毒霸

金山社區

360安全

惡意軟體

流氓軟體

舉報

報警

殺軟

殺軟

防駭

以上這些監控和關閉視窗的工作全都是由插入Explorer進程的C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll操作的

比熊貓更狠 讓你找不到進程咯

然後在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

下面添加註冊表項目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]

達到開機啟動目的

而且那個dll會監控這個註冊表項目 如果被刪除則立即恢復

刪除鍵

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

破壞安全模式

修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue滴?x00000000

使得顯示不了隱藏檔案

釋放8668122F.exe（骨頭語：此檔案名稱在每台電腦上各不相同）和autorun.inf到除系統分區外的其他分區

然後通過Explorer進程連結網路下載一個自解壓檔案dl1.exe 到臨時資料夾

自解壓檔案釋放C:\WINDOWS\system\20290.exe

C:\WINDOWS\system\ad1309.exe

C:\WINDOWS\system\DiskFree_hy1.5.exe

C:\WINDOWS\system\dodolook027.exe等檔案

這裡面有驅動木馬 也有流氓軟體

所有的檔案都運行後

添加了如下檔案

C:\WINDOWS\system32\drivers\acpidisk.sys

C:\WINDOWS\system32\drivers\tolnfo47.sys

C:\WINDOWS\system32\drivers\vilpew30.sys

C:\WINDOWS\system32\drivers\ykagjt85.sys

C:\WINDOWS\system32\1b.dll

C:\WINDOWS\system32\48a69

C:\WINDOWS\system32\60e4.exe

C:\WINDOWS\system32\7df9.dll

C:\WINDOWS\system32\91b6.dll

C:\WINDOWS\system32\b60.dll

C:\WINDOWS\system32\bpjlgv91.dll

C:\WINDOWS\system32\df91.dll

C:\WINDOWS\system32\f91b.exe

C:\WINDOWS\system32\ieagent.exe

C:\WINDOWS\system32\mprmsgse.axz

C:\WINDOWS\system32\mscpx32r.det

C:\WINDOWS\system32\MSRundll.exe

C:\WINDOWS\system32\ntprint.dIl

C:\WINDOWS\system32\tolnfo47.dll

C:\WINDOWS\system32\tolnfo47.ini

C:\WINDOWS\system32\vilpew30.dll

C:\WINDOWS\system32\wingjt85.bin

C:\WINDOWS\system32\wingjt85.dll

C:\WINDOWS\system32\winkx.dll

C:\WINDOWS\system32\winlgv91.bin

C:\WINDOWS\system32\winpew30.bin

C:\WINDOWS\system32\winpew30.dll

C:\WINDOWS\system32\ykagjt85.dll

C:\WINDOWS\system32\cewrndm.dll

C:\WINDOWS\system32\tolnfo47.dll

C:\WINDOWS\system32\vilpew30.dll

C:\WINDOWS\system32\b60.dll

C:\WINDOWS\03.bmp

C:\WINDOWS\3fa.exe

C:\WINDOWS\41115BDD.hlp

C:\WINDOWS\fa7c.txt

C:\Program Files\Internet Explorer\PLUGINS\system2.jmp

C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys

還裝了兩個軟體 一個是adpush software 一個是disk free

==========================================================

dl1.exe病毒的刪除辦法

首先:進入任務管理器，結束掉explorer.exe的進程

然後:用winrar打開C:\Program Files\Common Files\Microsoft Shared\MSInfo

打開的方法是先啟動winrar程式，然後點打開-->一級一級的打開上面的目錄,在msinfo裡面會有個八位的exe執行檔案如:CF62255D.dll和CF62255D.exe。將其刪除

第三:啟動explorer.exe

第四:打開註冊表(開始-->運行-->regedit-->回車)

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下面就是被禁用的防毒軟體列表了，把相關的防毒軟體的名字刪掉就可以運行了

第五:運行你機子上有的防毒軟體，升級，全盤防毒，就OK了。

病毒名叫worm.win32.delf.cc(德芙)。有可能有變種，後面的,cc會變成其它的。