大虾们请帮忙啊。。。。怎么清除virus.win32.Delf.bh

tf8379

怎么清除virus.win32.Delf.bh这个病毒啊，大家给个方法啊。。。。。

孤独的我

C:\WINDOWS\system\logo_1.exe（仿威金）感染EXE文件 会通过U盘传播。
一、病毒特征：
注册自己以实现开机自动运行。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]  
<C:\WINDOWS\system\logo_1.exe>   
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]  
<C:\WINDOWS\system\logo_1.exe>   

每个盘根目录下生成
X:\go.exe
X:\autorun.inf

二、最恶心的部分介绍下.. by mopery 《－－具体可参考mopery大虾的大作
logo_1.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\system\SYSTEM32.vxd.dat
X为某个盘..
运行命令后感染X盘里的所有 .exe 文件...
感染后还会释放一个同名文件后辍为 .exe.tmp
如果中毒的电脑打开 我的电脑 时.. logo_1.exe 会连网下载⒏个木马程序..
分别为:
C:\WINDOWS\system\jwm.exe
C:\WINDOWS\system\mhh.exe
C:\WINDOWS\system\ztd.exe
C:\WINDOWS\system\mir.exe
C:\WINDOWS\system\wo3.exe
C:\WINDOWS\system\ienet.exe
C:\WINDOWS\system\wol.exe
C:\WINDOWS\system\wll.exe

被感染的文件..头部写入: 19,738 字节 尾部写入:5 字节

地址=00407F80
反汇编=MOV EDX,2_.0040847C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油！！！！！！

作者留下的..

三、清除指南：

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键 我的电脑 ，属性，系统还原，在所有驱动器上关闭系统还原 打勾即可。   
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

2.用强制删除工具 冰刃 下载地址:  /html/soft/20061018/309.html
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭  

C:\WINDOWS\system\logo_1.exe
C:\WINDOWS\system\SYSTEM32.vxd
C:\WINDOWS\system\SYSTEM32.dat
C:\WINDOWS\system\jwm.exe
C:\WINDOWS\system\mhh.exe
C:\WINDOWS\system\ztd.exe
C:\WINDOWS\system\mir.exe
C:\WINDOWS\system\wo3.exe
C:\WINDOWS\system\ienet.exe
C:\WINDOWS\system\wol.exe
C:\WINDOWS\system\wll.exe
C:\Autorun.inf
C:\go.exe
D:\Autorun.inf
D:\go.exe
E:\Autorun.inf
E:\go.exe
F:\Autorun.inf
F:\go.exe
如果还有G H盘等依次输入  
G:\autorun.inf
G:\go.exe 等。不再赘述。

重启计算机 然后再进入安全模式执行如下的操作  
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng2 删除如下各项  
下载地址：
http://www.kuaisha.com/html/muma/20061018/339.html

启动项目 -->注册表 的如下项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]  
<C:\WINDOWS\system\logo_1.exe>   
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]  
<C:\WINDOWS\system\logo_1.exe>

飘蓝一尘

^_^ 我学习一下吧

需要ICEW跟SRE并用啊，有点寒

[ 本帖最后由 飘蓝一尘 于 2007-4-30 09:30 编辑 ]