该病毒是“德夫蠕虫”的变种V恶性蠕虫,会在受感染的电脑中.进行多个危险操作:强行关闭多个杀毒软件和windows自带防火墙的保护进程;连接特定的站点,下载大量的病毒等。
发现主机的杀毒软件被禁用了。杀度软件,防火墙全被禁用了,这下该怎么办呢?
翻了N多资料,终于还是被我找到了解决的办法了,现发了分享给大家。
关于该病毒
该病毒是“德夫蠕虫”的变种V恶性蠕虫,会在受感染的电脑中
.进行多个危险操作:强行关闭多个杀毒软件和windows自带防火墙的保护进程;连接特定的站点,下载大量的病毒;在各个盘符下释放Autorun.inf等病毒文件,试图可通过移动设备进行传播等。“德夫蠕虫”与AV终结者的破坏方式极为相似,严重威胁用户的电脑系统及网络个人财产的安全,还会导致电脑的安全性能下降,容易受到更多病毒的袭击。
如何手工清除该病毒:
STEP 1:结束病毒进程
调出任务管理器,找到可疑进程lsass.exe,结束掉
.当前用户的那个进程。无法结束的话可以在命令提示符状态下进行,在命令提示符状态下输入TASKLIST(察看当前进程),找到进程LSASS.EXE,记下其PID号,输入TASKKILL /PID process id(其中的process id 就是你刚刚记得的那个进程的PID)。
关于 tasklist , taskkill 的更多
.用法请参考:用Taskkill和NTSD结束掉顽固进程一文;
STEP 2:清除病毒文件
手动删除以下病毒文件:
c:program filescommon filesINTEXPLORE.pif
c:program filesinternet explorerINTEXPLORE.com
%system%debugdebugprogram.exe
%system%system32Anskya0.exe
%system%system32dxdiag.com
%system%system32MSCONFIG.com
%system%system32regedit.com
%system%system32LSASS.exe
%system%system32EXERT.exe
各个分区根目录
.下的"Autorun.inf"和"command.com"文件。
以上的步骤可以通过一个批处理完成:
===================================================
@echo off
echo 开始清除病毒文件………………
pause
attrib -h -s -r c:program filescommon filesINTEXPLORE.pif
attrib -h -s -r c:program filesinternet explorerINTEXPLORE.com
attrib -h -s -r %system%debugdebugprogram.exe
attrib -h -s -r %system%system32Anskya0.exe
attrib -h -s -r %system%system32dxdiag.com
attrib -h -s -r %system%system32MSCONFIG.com
attrib -h -s -r %system%system32regedit.com
attrib -h -s -r %system%system32LSASS.exe
attrib -h -s -r %system%system32EXERT.exe
attrib -h -s -r c:autorun.inf
attrib -h -s -r c:command.com
attrib -h -s -r d:a
.utorun.inf
attrib -h -s -r d:command.com
attrib -h -s -r e:autorun.inf
attrib -h -s -r e:command.com
attrib -h -s -r f:autorun.inf
attrib -h -s -r f:command.com
attrib -h -s -r g:autorun.inf
attrib -h -s -r g:command.com
attrib -h -s -r h:autorun.inf
attrib -h -s -r h:command.com
del /f /s /q c:program filescommon filesINTEXPLORE.pif
del /f /s /q c:program filesinternet explorerINTEXPLORE.com
del /f /s /q %system%debugdebugprogram.exe
del /f /s /q %system%system32Anskya0.exe
del /f /s /q %system%system32dxdiag.com
del /f /s /q %system%system32MSCONFIG.com
del /f /s /q %system%system32regedit.com
del /f /s /q %system%system32LSASS.exe
del /f /s /q %system%system32EXERT.exe
del /f /s /q c:autorun.inf
del /f /s /q c:co
.mmand.com
del /f /s /q d:autorun.inf
del /f /s /q d:command.com
del /f /s /q e:autorun.inf
del /f /s /q e:command.com
del /f /s /q f:autorun.inf
del /f /s /q f:command.com
del /f /s /q g:autorun.inf
del /f /s /q g:command.com
del /f /s /q h:autorun.inf
del /f /s /q h:command.com
echo 病毒文件清理完毕!
pause
===================================================
更多关于系统变量的资料请参考:系统变量(%SystemRoot% ,%windir% ,%temp%,%system%)的表示方法一文;
STEP 3:删除
.注册表启动项
打开注册表编辑器(如过无法打开可以先把regedit.exe改为regedit.com再运行),找到以下启动项并删除:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下面的ToP项
STEP 4:修复文
.件关联
打开注册表编辑器,找到以下项:
将HKEY_CLASSES_ROOT.exe的默认值修改为"exefile"(原来是windowsfile)
将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1"(原来是intexplore.com)
将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 的默认值修改为"C:Program FilesInternet ExplorerIEXPLORE.EXE"(
.原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT ftpshellopencommand和HKEY_CLASSES_ROOThtmlfileshellopennewcommand的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" %1" (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT htmlfileshellopencommand和HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为"C:Program FilesInternet Exploreriexplore.exe" –nohome”
将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
STEP 5:清除病毒添加
.的注册表项
打开注册表编辑器,删除以下项:
HKEY_CLASSES_ROOTWindowFilesCheck_Associations
HKEY_CURRENT_USERSoftwareVB and VBA Program SettingsCheck_Associations
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainCheck_Associations
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pifToP
STEP 6:恢复修改项
把regedit.com修改为regedit.exe,病毒清除
.完毕!重启计算机!
附 病毒档案:
病毒名称:Worm.Delf.18944.5C1FCD93.v
威胁级别:★★★
病毒类型:Win32病毒
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个通过移动设备传播
.的蠕虫病毒。病毒通过添加注册表系统服务项与自动运行项以
.跟随系统启动。连接网络下载病毒体到本机运行,下载的病毒体多为网络游戏盗号程序。并试图生成 Autorun.inf文件从而调用病毒体。关闭杀毒软件和系统防火墙,终止360安全卫士、木马克星等安全软件。