dl1.exe病毒怎么删除

2017-03-21

当我们电脑中dl1.exe病毒,特别难删除,我们该怎么办呢?下面是小编整理的一些关于dl1.exe病毒怎么删除的相关资料,供你参考。

dl1.exe病毒删除的方法:

dl1.exe是病毒名叫worm.win32.delf.cc(德芙)它通常隐藏在任务管理器里

中此病毒的症状为:

1.破坏安全模式

2.不能显示隐藏文件

3.结束常见杀毒软件以及常用杀毒工具进程

4.监控窗口

5.IFEO映像劫持

6.可以通过移动存储传播

病毒运行后:

在C:Program FilesCommon FilesMicrosoft SharedMSInfo下面释放一个同样由8个数字和字母组成的组合的文件名的dll 和一个同名的dat 文件

我这里是C:Program FilesCommon FilesMicrosoft SharedMSInfo41115BDD.dll

该dll插入Explorer进程

结束(包括但不限于)以下进程

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.COM

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

nod32krn.exe

nod32kui.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

RavStub.exe

RavTask.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwProxy.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

runiep.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.exe

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

常见的杀毒软件和一些安全工具都被他干掉了

然后将这些exe通过IFEO进行映像劫持 指向c:program filescommon filesmicrosoft sharedmsinfo41115bdd.dat

监控带有如下字样的窗口 如果发现带有如下字样的窗口则马上将其关闭

木马

木馬

病毒

杀毒

殺毒

查毒

防毒

反病毒

专杀

專殺

卡巴斯基

江民

瑞星

卡卡社区

金山毒霸

金山社区

360安全

恶意软件

流氓软件

举报

报警

杀软

殺軟

防駭

以上这些监控和关闭窗口的工作全都是由插入Explorer进程的C:Program FilesCommon FilesMicrosoft SharedMSInfo41115BDD.dll操作的

比熊猫更狠 让你找不到进程咯

然后在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

下面添加注册表项目 <{15BD4111-4111-5BDD-115B-111BD1115BDD}> [N/A]

达到开机启动目的

而且那个dll会监控这个注册表项目 如果被删除则立即恢复

删除键

HKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}

破坏安全模式

修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue滴?x00000000

使得显示不了隐藏文件

释放8668122F.exe(骨头语:此文件名在每台电脑上各不相同)和autorun.inf到除系统分区外的其他分区

然后通过Explorer进程链接网络下载一个自解压文件dl1.exe 到临时文件夹

自解压文件释放C:WINDOWSsystem20290.exe

C:WINDOWSsystemad1309.exe

C:WINDOWSsystemDiskFree_hy1.5.exe

C:WINDOWSsystemdodolook027.exe等文件

这里面有驱动木马 也有流氓软件

所有的文件都运行后

添加了如下文件

C:WINDOWSsystem32driversacpidisk.sys

C:WINDOWSsystem32driverstolnfo47.sys

C:WINDOWSsystem32driversvilpew30.sys

C:WINDOWSsystem32driversykagjt85.sys

C:WINDOWSsystem321b.dll

C:WINDOWSsystem3248a69

C:WINDOWSsystem3260e4.exe

C:WINDOWSsystem327df9.dll

C:WINDOWSsystem3291b6.dll

C:WINDOWSsystem32b60.dll

C:WINDOWSsystem32bpjlgv91.dll

C:WINDOWSsystem32df91.dll

C:WINDOWSsystem32f91b.exe

C:WINDOWSsystem32ieagent.exe

C:WINDOWSsystem32mprmsgse.axz

C:WINDOWSsystem32mscpx32r.det

C:WINDOWSsystem32MSRundll.exe

C:WINDOWSsystem32ntprint.dIl

C:WINDOWSsystem32tolnfo47.dll

C:WINDOWSsystem32tolnfo47.ini

C:WINDOWSsystem32vilpew30.dll

C:WINDOWSsystem32wingjt85.bin

C:WINDOWSsystem32wingjt85.dll

C:WINDOWSsystem32winkx.dll

C:WINDOWSsystem32winlgv91.bin

C:WINDOWSsystem32winpew30.bin

C:WINDOWSsystem32winpew30.dll

C:WINDOWSsystem32ykagjt85.dll

C:WINDOWSsystem32cewrndm.dll

C:WINDOWSsystem32tolnfo47.dll

C:WINDOWSsystem32vilpew30.dll

C:WINDOWSsystem32b60.dll

C:WINDOWS3.bmp

C:WINDOWS3fa.exe

C:WINDOWS41115BDD.hlp

C:WINDOWSfa7c.txt

C:Program FilesInternet ExplorerPLUGINSsystem2.jmp

C:Program FilesInternet ExplorerPLUGINSSystemKb.sys

还装了两个软件 一个是adpush software 一个是disk free

==========================================================

dl1.exe病毒的删除办法

首先:进入任务管理器,结束掉explorer.exe的进程

然后:用winrar打开C:Program FilesCommon FilesMicrosoft SharedMSInfo

打开的方法是先启动winrar程序,然后点打开-->一级一级的打开上面的目录,在msinfo里面会有个八位的exe执行文件如:CF62255D.dll和CF62255D.exe。将其删除

第三:启动explorer.exe

第四:打开注册表(开始-->运行-->regedit-->回车)

在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options下面就是被禁用的杀毒软件列表了,把相关的杀毒软件的名字删掉就可以运行了

第五:运行你机子上有的杀毒软件,升级,全盘杀毒,就OK了。

病毒名叫worm.win32.delf.cc(德芙)。有可能有变种,后面的,cc会变成其它的。

更多相关阅读

最新发布的文章