bmp病毒专杀

首先病毒WINDOWS里面出现类似338448m.bmp 136741M.BMP 235780m.bmp 之类的*.bmp的图片文件，.基本上杀毒软件都杀除不了这个,进入安全模式也无法删除，不仅仅是单一的BMP病毒，他还把木马下载器加了进去，在ie的进程中插入，只要机器是在网络环境，就会从指定网站下载木马程序，在system32目录，已经windows目录产生exe文件，继续插入其他进程！

试了几个常规方法，发现其他的都能禁止删除，除了bmp文件，所以这个病毒的核心就是这个随机产生的bmp文件以及对应的dll文件！*m.bmp是一个很霸道的木马或病毒,该程序处理起来有点棘手，因为它不以进程的方式加载，所以你在进程管理器中看不到它，它在系统启动时嵌入,其他进程中如系统进程explorer.exe,svhost.exe等中，由于它驻留在内存中，不论在常规模式还是在安全模式中你都没办法删除文件*m.bmp。它还在注册表中存在，键值是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="*m.bmp"，但你怎么也修改不了这个键值，把*m.bmp删了还会写回来。当进入安全模式时，情况也没有改观，注册表无法修改，*m.bmp删除不掉，大部分人这时就没办法了，只有重新安装系统的份了，但其实还是有办法解决的。

第一个方法，如果你的文件系统是FAT32的，你可以用DOS系统盘启动电脑（一般来说，病毒文件在DOS下或在带命令行的安全模式下都可以比较顺利地直接删除），这样你可以直接删除这个235780m.bmp文件了，使用命令DEL c:\windows\235780m.bmp，要是怀疑其他地方也有，就用DEL /s 235780m.bmp。如果在windows目录中看不到235780m.bmp，就使用命令ATTRIB -s -h -r c:\windows\235780m.bmp，将文件的属性去除,再用上诉方法删除之。

第二个方法，如果你的文件系统是NTFS的，就进入安全模式，找到windows文件夹中的235780m.bmp，将其后缀名改成dll，重起电脑，进入正常模式，就可以删除235780m.bmp了。再运行regedit，把那个"AppInit_DLLs"="235780m.bmp"清空，一切问题迎刃而解。这是因为虽然注册表还执行[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="235780m.bmp"，但文件已改成235780m.dll了，所以文件并没有启动，内存中也没有235780m.bmp了，该文件就可以很容易的删除了。

第三个方法，将硬盘挂在其他机器上，就可以轻松地将235780m.bmp删除了，记住回到自己机器上重起系统后清除注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="235780m.bmp"值。

查找你机器上和这个病毒相关的文件其实很简单，首先，你看看那个bmp的属性，什么时候修改生成的，然后用系统自带的查找工具，查找对应前后时间生成的所有文件就ok了。

说了半天，还有更好的一个方法，就是专杀，真好我收藏了一个，一个傻瓜似的，清除原理就是上面说的，不过是一键搞定～