清除IO.pif病毒

发现主机的杀毒软件被禁用了。杀度软件，防火墙全被禁用了，这下该怎么办呢？
翻了N多资料，终于还是被我找到了解决的办法了，现发了分享给大家。
关于该病毒
该病毒是“德夫蠕虫”的变种V恶性蠕虫，会在受感染的电脑中.进行多个危险操作：强行关闭多个杀毒软件和windows自带防火墙的保护进程；连接特定的站点，下载大量的病毒；在各个盘符下释放Autorun.inf等病毒文件，试图可通过移动设备进行传播等。“德夫蠕虫”与AV终结者的破坏方式极为相似，严重威胁用户的电脑系统及网络个人财产的安全，还会导致电脑的安全性能下降，容易受到更多病毒的袭击。
如何手工清除该病毒：
STEP 1：结束病毒进程
调出任务管理器，找到可疑进程lsass.exe，结束掉.当前用户的那个进程。无法结束的话可以在命令提示符状态下进行，在命令提示符状态下输入TASKLIST（察看当前进程），找到进程LSASS.EXE，记下其PID号，输入TASKKILL /PID process id（其中的process id 就是你刚刚记得的那个进程的PID）。
关于 tasklist , taskkill 的更多.用法请参考：用Taskkill和NTSD结束掉顽固进程一文；
STEP 2：清除病毒文件
手动删除以下病毒文件：
c:program filescommon filesINTEXPLORE.pif
c:program filesinternet explorerINTEXPLORE.com
%system%debugdebugprogram.exe
%system%system32Anskya0.exe
%system%system32dxdiag.com
%system%system32MSCONFIG.com
%system%system32regedit.com
%system%system32LSASS.exe
%system%system32EXERT.exe
各个分区根目录.下的"Autorun.inf"和"command.com"文件。
以上的步骤可以通过一个批处理完成：
===================================================
@echo off
echo 开始清除病毒文件………………
pause
attrib -h -s -r c:program filescommon filesINTEXPLORE.pif
attrib -h -s -r c:program filesinternet explorerINTEXPLORE.com
attrib -h -s -r %system%debugdebugprogram.exe
attrib -h -s -r %system%system32Anskya0.exe
attrib -h -s -r %system%system32dxdiag.com
attrib -h -s -r %system%system32MSCONFIG.com
attrib -h -s -r %system%system32regedit.com
attrib -h -s -r %system%system32LSASS.exe
attrib -h -s -r %system%system32EXERT.exe
attrib -h -s -r c:autorun.inf
attrib -h -s -r c:command.com
attrib -h -s -r d:a.utorun.inf
attrib -h -s -r d:command.com
attrib -h -s -r e:autorun.inf
attrib -h -s -r e:command.com
attrib -h -s -r f:autorun.inf
attrib -h -s -r f:command.com
attrib -h -s -r g:autorun.inf
attrib -h -s -r g:command.com
attrib -h -s -r h:autorun.inf
attrib -h -s -r h:command.com
del /f /s /q c:program filescommon filesINTEXPLORE.pif
del /f /s /q c:program filesinternet explorerINTEXPLORE.com
del /f /s /q %system%debugdebugprogram.exe
del /f /s /q %system%system32Anskya0.exe
del /f /s /q %system%system32dxdiag.com
del /f /s /q %system%system32MSCONFIG.com
del /f /s /q %system%system32regedit.com
del /f /s /q %system%system32LSASS.exe
del /f /s /q %system%system32EXERT.exe
del /f /s /q c:autorun.inf
del /f /s /q c:co.mmand.com
del /f /s /q d:autorun.inf
del /f /s /q d:command.com
del /f /s /q e:autorun.inf
del /f /s /q e:command.com
del /f /s /q f:autorun.inf
del /f /s /q f:command.com
del /f /s /q g:autorun.inf
del /f /s /q g:command.com
del /f /s /q h:autorun.inf
del /f /s /q h:command.com
echo 病毒文件清理完毕！
pause
===================================================
更多关于系统变量的资料请参考：系统变量(%SystemRoot% ,%windir% ,%temp%,%system%)的表示方法一文；
STEP 3：删除.注册表启动项
打开注册表编辑器（如过无法打开可以先把regedit.exe改为regedit.com再运行），找到以下启动项并删除：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下面的ToP项

STEP 4：修复文.件关联
打开注册表编辑器，找到以下项：
将HKEY_CLASSES_ROOT.exe的默认值修改为"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1"(原来是intexplore.com)
将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 的默认值修改为"C:Program FilesInternet ExplorerIEXPLORE.EXE"(.原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT ftpshellopencommand和HKEY_CLASSES_ROOThtmlfileshellopennewcommand的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT htmlfileshellopencommand和HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" –nohome”
将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
STEP 5：清除病毒添加.的注册表项
打开注册表编辑器，删除以下项：
HKEY_CLASSES_ROOTWindowFilesCheck_Associations
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCheck_Associations
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainCheck_Associations
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pifToP

STEP 6：恢复修改项
把regedit.com修改为regedit.exe，病毒清除.完毕！重启计算机！
附 病毒档案：
病毒名称：Worm.Delf.18944.5C1FCD93.v
威胁级别：★★★
病毒类型：Win32病毒
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为：
这是一个通过移动设备传播.的蠕虫病毒。病毒通过添加注册表系统服务项与自动运行项以.跟随系统启动。连接网络下载病毒体到本机运行，下载的病毒体多为网络游戏盗号程序。并试图生成 Autorun.inf文件从而调用病毒体。关闭杀毒软件和系统防火墙，终止360安全卫士、木马克星等安全软件。