中华网络安全联盟    作者：瑞星    来源：瑞星    时间：2006-9-1

    病毒名称：诡秘下载器变种CXW（Trojan.DL.Delf.cxw）
    病毒类型：流氓软件
    病毒危害级别：★★★☆

    病毒发作现象及危害：

    该病毒运行后会从黑客指定的网站下载指令并运行，会将用户IE浏览器的主页锁定为一个名叫“7939上网导航”的网站，以提高该网站的访问量。该病毒会试图禁止多种安全工具软件运行，并会造成一些主流杀毒软件运行不正常。它还会自动从http//down.Viru??ky.com下载新的病毒并运行。

    手工清除：

    一、清除内存中的病毒

    在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程，单击鼠标右键，选择“结束进程”。

   “Explore.exe”进程被结束后将会看不到桌面图标和任务栏，这时按住Ctrl+Alt+Del键，启动任务管理器，点击菜单“文件”－》“新建任务（运行…）”，输入“explorer.exe”，点击“确定”。

   二、删除病毒文件

   1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

   2、进入Windows系统文件目录下（默认为C:\Windows\System32），删除掉“realplayer.exe”、“brlmon.dll”（部分变种dll文件的名称为ravmon.dll）两个文件。

   三、修复注册表

   1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。

   2、打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，在右边的窗格中找到“Realplayer.exe”一项，将其删除。

   3、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在右边的窗格中找到“Realplayer.exe”一项，将其删除。

   4、打开HKEY_LOCAL_MACHINE\SOFTWARE，将其下的“Microsoft NT”目录整个删除（包含其下的子项）。

   5、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft，将其下的“RunDown”目录整个删除（包含其下的子项）。

   四、修复IE首页

   打开IE浏览器，点击菜单“工具”－》“Internet选项”，打开“常规”选项页，在“主页”处自行设置IE的主页地址。

   用杀毒软件清除：

   由于该病毒变种繁多，DLL文件名称不固定，手工清除有一定困难，建议用户使用瑞星杀毒软件进行清除。清除该病毒时需注意以下两点：

   1、必须在杀毒软件的查杀目标中勾选“内存”

   由于该病毒会注入到系统进程当中，因此查杀该病毒必须先对内存进行检查，否则可能出现查杀失败。

   2、杀毒后需重新启动计算机

   瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启动计算机即可清除该病毒。