更改主页，根本改不过来，系统变慢，极其恶毒
下面是我在网上查到的信息

3448病毒的清除，用SREng2专杀~记住：3348.com是恶意网站
发表时间: 2006-10-29 18:24    作者: office    来源: 我的杂货铺 — 个人门户

这是近几天刚发作一病毒，主要是通过网页传播，打开载有病毒的网页就会自动下载一个11.jpg至用户的TEMP文件夹，这是一个dll文件，下载后马上会被插入到系统explorer.exe、QQ.exe等进程中。
据观察：11.jpg将自己复制到时system32文件夹里，复制名称是随机生成的**.dll

      本人有幸中得，黄山、雅虎助手、360安全卫士等清除软件都派不上用场，因为只要运行这些程序（这类程序大都带有kill名称的进程），病毒就自动给你关机了，同时删除了这些软件。

      病毒的危害还没有完全掌握，目前就是修改你的主页为w ww.3448.co m，只要修改成功就怎么也改不回来了，极是讨厌，经查这个网站刚开始运行，是一个网址导航站，这个站长真厉害，也不怕被举报做牢。

由于刚开始发作，网上查杀经验不多，各大病毒厂商还没有侦测。

处理方法：

1、备份系统盘的数据，重做一下系统吧，这是最有效快捷的办法。

2、自己慢慢查找相关作恶的dll文件删除，前提是熟练工：）

3、安全模式下运行黄山IE修复器或雅虎助手、360安全卫士等清除软件处理，然后手工删除相关DLL文件，保护浏览器。

4、下载以下附件解压后，双击SRENG2，点“启动项目，服务，点“驱动程序”，勾选“隐藏已认证的微软服务”选中病毒服务，ScriptBlocking Service WintUPp，选择“删除服务”，点“设置”选择“否”

运行SREng2,使用“启动项目”－注册表－选中以下的项删除
RUNDLL32.EXE C:\WINDOWS\system32\supdate2.dll
RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll

删除以下
C:\WINDOWS\system32\supdate2.dll
C:\WINDOWS\system32\msibm\cfsys.dll

运行SREng2,使用：系统修复－文件关联--全选--修复

在 C盘下查找HOSTS,用记事本打开删除这一项：127.0.0.1 bf.welcome.vnet.cn



多谢分享,楼主的思路是正确的,只是这个病毒生成的文件名是随机的,所以按这些提供的这些名称找文件是不可能的.

分享一下我的经验：

这个病毒每修改一次主页都会在C盘根目录下产生一个**.dll及一个乱码命名的文件，这是掩人耳目的，删了这些文件根本不管用，在启动服务项多了一个5y，删了也不管用，随删随生。

我按楼上的办法，先使用sreng2仔细研究了半天不正常的服务，发现在system32目录里有一个d6voh.dll的可疑文件，是通过rundll32.exe运行的，删了半天删不掉，最后好不容易改名改后缀成功，这个作恶的东西立马不发作了。

我是在这个位置找到的这个文件，自己在sreng2里试着找一下：
名称                                                  数据
5y            C:\WINDOWS\system32\rundll32.exe d6voh.dll Rundll32

前提是首先要找到罪魁祸首11.jpg文件删除，在C:\Documents and Settings\用户名\Local Settings\Temp这个文件夹里