终于发现dl1.exe病毒完整解决方法了dl1.exe是病毒名叫worm.win32.delf.cc(德芙)在任务管理里中的进程！中此病毒的症状为：1.破坏安全模式2.不能显示隐藏文件3.结束常见杀毒软件以及常用杀毒工具进程4.监控窗口5.IFEO映像劫持6.可以通过移动存储传播病毒运行后在c:程序文件公共文件 Microsoft shared MSInfo 下面释放一个同样由8个数字和字母组成的组合的文件名的动态链接库和一个同名的数字式录音带(数字音频tape)DOS文件名数据文件文件我这里是c: program files common files Microsoft shared MSInfo 41115 BDD。动态链接库该动态链接库插入探险家进程结束（包括但不限于)以下进程360rpt.exe360Safe.exe360tray.exeadam.exeAgentSvr.exeAppSvc32.exeautoruns.exeavgrssvc.exeAvMonitor.exeavp.comavp.exeCCenter.execcSvcHst.exeFileDsty.exeFTCleanerShell.exeHijackThis.exeIceSword.exeiparmo.exeIparmor.exeisPwdSvc.exekabaload.exeKaScrScn .教员公用室KASMain.exeKASTask.exeKAV32.exeKAVDX.exeKAVPFW.exeKAVSetup.exeKAVStart.exeKISLnchr.exeKMailMon.exeKMFilter.exeKPFW32.exeKPFW32X.exeKPFWSvc.exeKRegEx.exeKRepair .计算机输出缩微胶片KsLoader.exeKVCenter.kxpKvDetect.exeKvfwMcl.exeKVMonXP.kxpKVMonXP_1.kxpkvol.exekvolself.exeKvReport.kxpKVScan.kxpKVSrvXP.exeKVStub.kxpkvupload.exekvwsc.exeKvXP.kxpKvXP_1.kxpKWatch.exeKWatch9x.exeKWatchX.exeloaddll.exeMagicSet.exemcconsol.exemmqczj.exemmsk.exeNAVSetup.exenod32krn.exenod32kui.exePFW.exePFWLiveUpdate.exeQHSET.exeRas.exeRav.exeRavMon.exeRavMonD.exeRavStub.exeRavTask.exeRegClean.exerfwcfg.exeRfwMain.exerfwProxy.exerfwsrv.exeRsAgent.exeRsaupd.exeruniep.exesafelive.exescan32.exeshcfg32.exeSmartUp.exeSREng.exesymlcsvc.exeSysSafe.exeTrojanDetector.exeTrojanwall.exeTrojDie.kxpUIHost.exeUmxAgent.exeUmxAttachment.exeUmxCfg.exeUmxFwHlp.exeUmxPol.exe上传.EXE.exeWoptiClean.exezxsweep.exe常见的杀毒软件和一些安全工具都被他干掉了然后将这些可执行程序的扩展名通过IFEO进行映像劫持指向c: program files common files Microsoft shared msinfo 41115 BDD。数字式录音带(digital audio tape)DOS文件名数据文件监控带有如下字样的窗口如果发现带有如下字样的窗口则马上将其关闭木马木馬病毒杀毒殺毒查毒防毒反病毒专杀專殺卡巴斯基江民瑞星卡卡社区金山毒霸金山社区360安全恶意软件流氓软件举报报警杀软殺軟防駭以上这些监控和关闭窗口的工作全都是由插入探险家进程的c: program files common files Microsoft shared MSInfo 41115 BDD。动态链接库操作的比熊猫更狠让你找不到进程咯然后在HKEY _ LOCAL _ MACHINE SOFTWARE Microsoft Windows current version Explorer shell execute钩子下面添加注册表项目{ 15bd 4111-4111-5BDD-115B-111 BD 1115 BDD } C: program files common files Microsoft shared MSINFO 41115 BDD。dll[不适用]达到开机启动目的而且那个动态链接库会监控这个注册表项目如果被删除则立即恢复删除键HKLM系统控制集001 控制安全引导最小 { 4d 36 e 967-E325-11CE-BF C1-08002 be 10318 }HKLM系统控制集001 控制安全引导网络 { 4d 36 e 967-E325-11CE-BF C1-08002 be 10318 }HKLM系统当前控制集控制安全引导最低限度 { 4d 36 e 967-E325-11CE-BF C1-08002 be 10318 }HKLM系统当前控制集控制安全引导网络 { 4d 36 e 967-E325-11CE-BF C1-08002 be 10318 }破坏安全模式修改HKLM软件微软 Windows 当前版本资源管理器高级文件夹隐藏显示所有检查值滴？x00000000使得显示不了隐藏文件释放8668122F.exe(骨头语：此文件名在每台电脑上各不相同)和autorun.inf到除系统分区外的其他分区然后通过探险家进程链接网络下载一个自解压文件dl1.exe到临时文件夹自解压文件释放C:WINDOWSsystem20290.exeC:WINDOWSsystemad1309.exec: WINDOWS system disk free _ hy 1.5。可执行程序的扩展名c: WINDOWS system dodo look 027。可执行程序的扩展名等文件这里面有驱动木马也有流氓软件所有的文件都运行后添加了如下文件c: WINDOWS system32 drivers acpidisk。[计]系统复制命令（system的简写）c: WINDOWS system32 drivers to nfo 47。[计]系统复制命令（system的简写）c: WINDOWS system32 drivers vilpew 30。[计]系统复制命令（system的简写）c: WINDOWS system32 drivers ykagjt 85。[计]系统复制命令（system的简写）C:WINDOWSsystem321b.dllC:WINDOWSsystem3248a69C:WINDOWSsystem3260e4.exeC:WINDOWSsystem327df9.dllC:WINDOWSsystem3291b6.dllC:WINDOWSsystem32b60.dllc: WINDOWS system32 bpjlgv 91。动态链接库C:WINDOWSsystem32df91.dllC:WINDOWSsystem32f91b.exec: WINDOWS system32 ie代理。可执行程序的扩展名c: WINDOWS system32 mprmsgse。axzc: WINDOWS system32 MSC px 32 r . detc: WINDOWS system32 msrundll。可执行程序的扩展名c: WINDOWS system32 nt print。直接接入线路c: WINDOWS system32 tolnfo 47。动态链接库c: WINDOWS system32 tolnfo 47。初始化设置文件的后缀名c: WINDOWS system32 vilpew 30。动态链接库c: WINDOWS system32 wing JT 85箱子c: WINDOWS system32 wing JT 85动态链接库C:WINDOWSsystem32winkx.dllc: WINDOWS system32 winlgv 91。箱子c: WINDOWS system32 winpew 30。箱子c: WINDOWS system32 winpew 30。动态链接库c: WINDOWS system32 ykagjt 85。动态链接库c: WINDOWS system32 cewrndm。动态链接库c: WINDOWS system32 tolnfo 47。动态链接库c: WINDOWS system32 vilpew 30。动态链接库C:WINDOWSsystem32b60.dllC:WINDOWS3.bmpC:WINDOWS3fa.exeC:WINDOWS41115BDD.hlpC:WINDOWSfa7c.txtc: program files internet explorer PLUGINS system 2。jmpc: program files internet explorer PLUGINS system kb。[计]系统复制命令（system的简写）还装了两个软件一个是广告推送软件一个是磁盘空闲==========================================================dl1.exe病毒的删除办法首先：进入任务管理器，结束掉explorer.exe的进程然后：用winrar打开c: program files common files Microsoft shared MSInfo打开的方法是先启动winrar程序，然后点打开-一级一级的打开上面的目录，在msinfo里面会有个八位的可执行程序的扩展名执行文件如：CF62255D.dll和CF62255D.exe。将其删除第三：启动explorer.exe第四：打开注册表（开始-运行-注册表编辑-回车)在HKEY _ LOCAL _ MACHINE SOFTWARE Microsoft windows nt current version ImageFileExecutionOptions下面就是被禁用的杀毒软件列表了，把相关的杀毒软件的名字删掉就可以运行了第五：运行你机子上有的杀毒软件，升级，全盘杀毒，就好了。病毒名叫worm.win32.delf.cc(德芙)。有可能有变种，后面的，抄送会变成其它的。