一、病毒特征分析
1.病毒一般通过U盘等媒体感染,病毒首先更加系统日期,导致杀毒软件实时监控失效,同时进行感染;
2.系统进程中创建两个进程oduxyym.exe和veckdld.exe,相互保护,同时运行;
3.感染后在%systemboot%/system32下面创建隐藏的病毒文件:oduxyym.exe,veckdld.exe,upxdnd.dll,同时修改注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL中的CheckedValue键值,导致系统隐藏文件不能被全部显示,以保护自己;
4.在机器每个分区根目录下,均创建ymfqplr.exe,autorun.inf两个隐藏文件,当你打开分区时自动运行病毒进行感染;
5.在注册表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run中创建病毒自动运行键值。
6.把注册表HKEY_CURRENT_USER下所有的键修改为a******类似的东东,导致用户安装的程序尤其是卡巴、金山、360等杀毒软件不能运行。
二、病毒清除方法
据本人了解,目前还没有杀毒软件能够对这种病毒奏效,所以本人按照以下方法对病毒进行的手工清除:
1.结束病毒进程。打开任务管理器,找到oduxyym.exe和veckdld.exe进程,单击右键->结束进程树,快速的按同样方法,关闭另外一个进程,慢了,是结束不掉的。
2.显示出隐藏文件。打开注册表找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL在右边窗口中将CheckedValue删掉,再新建一个CheckedValue的DWORD值,将其值设为1。关闭注册表打开我的电脑—>工具->文件夹选项,将系统文件和所有文件都显示出来。
3.删除病毒文件。打开%systemRoot%/system32,找到oduxyym.exe,veckdld.exe,upxdnd.dll将其彻底删除;在我的电脑地址栏里输入D:回车,可以看到在D:根目录下面隐藏着前面分析的两个病毒文件,将其彻底删除。同样的办法将其他分区中的病毒文件彻底删除。这一步尤其要注意:不能使用双击或右键单击打开的方式,因为这样都会导致病毒程序重新运行,这样前面我们做的工作就前功尽弃了!
4.删除注册表中的自动运行项。将前面分析5中两个键值下的自动启动键值删除。
关闭注册表,重新启动计算机。
************************************************************************************************************************
最近出现了一种病毒,极其讨厌,通过映像劫持技术和双进程技术是机器几乎无法工作。大概现象为:
运行很多程序都无法启动,观察系统进程只是多了oduxyym.exe veckdld.exe两个进程。这时候,你就种病毒了,建议在进行修复操作前关闭其他所有的无关程序,断开网络连接,并建议将以下内容复制粘贴到记事本保存后以便操作。
首先:我们断开网络第一件事就是打开任务管理器,关闭多余的进程,XP一般只剩18个进程为正常,其他多余的所有进程需要关闭,oduxyym.exe veckdld.exe这两个进程关闭不了的时候,可以通过关闭EXPLROR .EXE后将看不到桌面,没关系,这时即可将oduxyym.exe veckdld.exe两个进程结束,然后再通过任务管理器的:文件-新建任务,打开C:/WINDOWS/EXPLROR.EXE,即可看到桌面,这时候就好办了,就是麻烦点。开始-运行:regedit回车,进入注册表:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RUN]将下列启动项删除:
| C:/WINDOWS/system32/.exe(默认,将此项清除即可) C:/WINDOWS/system32/oduxyym.exe(整字符串删除) C:/WINDOWS/system32/veckdld.exe(整字符串删除) C:/WINDOWS/system32/svpecld.exe(整字符串删除) |
打开注册表的:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]下面查看所有的*.exe的所有项,如果右边的值为:C:/WINDOWS/system32/oduxyym.exe的,请将整项删除(你会发现会有很多很多,慢慢的操作,细心点,别误操作),做完上边的工作,你就可以重启机器了,重启后进安全模式,将下面的命令以记事本另存为.bat的文件,双击运行即可清理系统中的病毒文件。
| @echo off del C:/WINDOWS/system32/mh103.dll /f /q /a del C:/WINDOWS/system32/nwizAsktao.dll /f /q /a del C:/WINDOWS/system32/nwiztlbb.dll /f /q /a del C:/WINDOWS/system32/MOSOU.dll /f /q /a del C:/WINDOWS/system32/nwizqjsj.dll /f /q /a del C:/WINDOWS/system32/EBSPI.dll /f /q /a del C:/WINDOWS/system32/moyu103.dll /f /q /a del D:/Autorun.inf /f /q /a del D:/ymfqplr.exe /f /q /a del e:/Autorun.inf /f /q /a del e:/ymfqplr.exe /f /q /a del f:/Autorun.inf /f /q /a del f:/ymfqplr.exe /f /q /a del g:/Autorun.inf /f /q /a del g:/ymfqplr.exe /f /q /a del c:/windows/system32/.exe /f /q /a del c:/windows/system32/oduxyym.exe /f /q /a del c:/windows/system32/veckdld.exe /f /q /a del c:/windows/system32/npkycryp.sys /f /q /a echo. & pause |
http://www.arswp.com/download/arswp/arswp.rar
另外,最近用USB设备传播的病毒越来越多,建议关闭自动播放功能,用一些工具进行免疫.
使用USB设备前先杀毒
本文引用自www.45it.com电
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
