真实经历 网管清除病毒后的总结

　　通过分析，发现公司此次感染的病毒是一种恶意程序，安全厂商将这种病毒定位为：Trojan-Downloader.Win32.Delf.gen。病毒的变种发布速度很快，此变种能够针对大多数反病毒软件进行了相应的处理，以逃避被查杀。

　　该病毒程序通过在网页文件中插入恶意框架代码，通过多种系统或应用程序漏洞传播木马，还会释放利用系统自动运行功能的autorun.inf文件及相应文件。同时，多种病毒重复感染，能通过网络内部局域迅速传播。

　　病毒名称：Trojan-Downloader.Win32.Delf.gen

　　病毒类型：木马下载者

　　病毒行为：程序运行后，释放文件：%System%Systom.exe 　 %System%auToRun.inf

　　并在磁盘各个分区释放文件sos.exe和auToRun.inf，此次病毒大面积感染事件当中，除了以上介绍的主病毒外，还有多种不同病毒一起发作，造成公司多台计算机无法正常使用。

　　病毒故障处理过程：

　　11月22日~11月25日，公司感染病毒的计算机有PC09、PC03、PC28、PC30、PC12、PC11、PC46台，首先在PC09的计算机保护模式、纯DOS系统下查杀病毒后，仍旧不能恢复正常使用，通过注册表修改计算机策略，发现受感染的计算机后台运行有数十个非正常的Reg.exe的进程，无法结束进程。常规通过查杀病毒解决问题的方法不能能实现。

　　备份该PC重要数据，重新安装计算机编号为PC10的操作系统，打开D盘安装驱动时再次感染。尝试安装防病毒软件并升级病毒库，在安装过程中无法正常安装。替换其它防病毒软件提供多个文件感染病毒文件不能清除。

　　只能再次重装系统彻底，并在第一次安装的经验上，在安装系统之前在纯DOS下删除后%System%Systom.exe、%System%auToRun.inf以及D盘、E盘等相关的文件。格式化系统盘(处理的7台PC分别是C盘)后，通过：开始-->运行，输入cmd进行DOS命令窗口，使用DIR/A D：/E：/F：等检查是否发现有相关的病毒程序。如有，再次使用命令删除相关文件和文件目录。