ymfqplr.exe,autorun.inf,oduxyym.exe,veckdld.exe清除办法

最新推荐文章于 2022-02-25 23:45:16 发布

Bill Adams

最新推荐文章于 2022-02-25 23:45:16 发布

阅读量1.3k

点赞数

分类专栏：查杀病毒DIY 文章标签：杀毒软件任务 c 工作工具网络

查杀病毒DIY 专栏收录该内容

15 篇文章 0 订阅

订阅专栏

一、病毒特征分析
      1.病毒一般通过U盘等媒体感染，病毒首先更加系统日期，导致杀毒软件实时监控失效，同时进行感染；
      2.系统进程中创建两个进程oduxyym.exe和veckdld.exe，相互保护，同时运行；
      3.感染后在%systemboot%/system32下面创建隐藏的病毒文件:oduxyym.exe,veckdld.exe,upxdnd.dll，同时修改注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL中的CheckedValue键值，导致系统隐藏文件不能被全部显示，以保护自己；
      4.在机器每个分区根目录下，均创建ymfqplr.exe，autorun.inf两个隐藏文件，当你打开分区时自动运行病毒进行感染；
      5.在注册表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run中创建病毒自动运行键值。
      6.把注册表HKEY_CURRENT_USER下所有的键修改为a******类似的东东，导致用户安装的程序尤其是卡巴、金山、360等杀毒软件不能运行。

二、病毒清除方法
      据本人了解，目前还没有杀毒软件能够对这种病毒奏效，所以本人按照以下方法对病毒进行的手工清除：
      1.结束病毒进程。打开任务管理器，找到oduxyym.exe和veckdld.exe进程，单击右键->结束进程树，快速的按同样方法，关闭另外一个进程，慢了，是结束不掉的。
      2.显示出隐藏文件。打开注册表找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL在右边窗口中将CheckedValue删掉，再新建一个CheckedValue的DWORD值，将其值设为1。关闭注册表打开我的电脑—>工具－>文件夹选项，将系统文件和所有文件都显示出来。
      3.删除病毒文件。打开%systemRoot%/system32，找到oduxyym.exe,veckdld.exe,upxdnd.dll将其彻底删除；在我的电脑地址栏里输入D:回车，可以看到在D:根目录下面隐藏着前面分析的两个病毒文件，将其彻底删除。同样的办法将其他分区中的病毒文件彻底删除。这一步尤其要注意：不能使用双击或右键单击打开的方式，因为这样都会导致病毒程序重新运行，这样前面我们做的工作就前功尽弃了！
      4.删除注册表中的自动运行项。将前面分析5中两个键值下的自动启动键值删除。
     关闭注册表，重新启动计算机。

************************************************************************************************************************

最近出现了一种病毒，极其讨厌，通过映像劫持技术和双进程技术是机器几乎无法工作。大概现象为：

　　运行很多程序都无法启动，观察系统进程只是多了oduxyym.exe veckdld.exe两个进程。这时候，你就种病毒了，建议在进行修复操作前关闭其他所有的无关程序，断开网络连接，并建议将以下内容复制粘贴到记事本保存后以便操作。

　　首先：我们断开网络第一件事就是打开任务管理器，关闭多余的进程，XP一般只剩18个进程为正常，其他多余的所有进程需要关闭，oduxyym.exe veckdld.exe这两个进程关闭不了的时候，可以通过关闭EXPLROR .EXE后将看不到桌面，没关系，这时即可将oduxyym.exe veckdld.exe两个进程结束，然后再通过任务管理器的：文件-新建任务，打开C:/WINDOWS/EXPLROR.EXE，即可看到桌面，这时候就好办了，就是麻烦点。开始-运行：regedit回车，进入注册表：

　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RUN]将下列启动项删除：

C:/WINDOWS/system32/.exe（默认，将此项清除即可）

C:/WINDOWS/system32/oduxyym.exe（整字符串删除）

C:/WINDOWS/system32/veckdld.exe（整字符串删除）

C:/WINDOWS/system32/svpecld.exe（整字符串删除）

　　然后，看到启动项差不多干净之后，再查看映像劫持下面的东东

　　打开注册表的：[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]下面查看所有的*.exe的所有项，如果右边的值为：C:/WINDOWS/system32/oduxyym.exe的，请将整项删除（你会发现会有很多很多，慢慢的操作，细心点，别误操作），做完上边的工作，你就可以重启机器了，重启后进安全模式，将下面的命令以记事本另存为.bat的文件，双击运行即可清理系统中的病毒文件。

@echo off
del C:/WINDOWS/system32/mh103.dll /f /q /a
del C:/WINDOWS/system32/nwizAsktao.dll /f /q /a
del C:/WINDOWS/system32/nwiztlbb.dll /f /q /a
del C:/WINDOWS/system32/MOSOU.dll /f /q /a
del C:/WINDOWS/system32/nwizqjsj.dll /f /q /a
del C:/WINDOWS/system32/EBSPI.dll /f /q /a
del C:/WINDOWS/system32/moyu103.dll /f /q /a
del D:/Autorun.inf    /f /q /a
del D:/ymfqplr.exe    /f /q /a
del e:/Autorun.inf    /f /q /a
del e:/ymfqplr.exe    /f /q /a
del f:/Autorun.inf    /f /q /a
del f:/ymfqplr.exe    /f /q /a
del g:/Autorun.inf    /f /q /a
del g:/ymfqplr.exe    /f /q /a
del c:/windows/system32/.exe    /f /q /a
del c:/windows/system32/oduxyym.exe    /f /q /a
del c:/windows/system32/veckdld.exe    /f /q /a
del c:/windows/system32/npkycryp.sys    /f /q /a
echo. & pause

　　将上面的步骤做完后，重启机器，升级杀软全盘杀毒，卸载重新安装ＱＱ，下载Windows清理助手升级更新后清理系统：
http://www.arswp.com/download/arswp/arswp.rar

　　另外，最近用USB设备传播的病毒越来越多,建议关闭自动播放功能,用一些工具进行免疫.
使用USB设备前先杀毒

本文引用自www.45it.com电