ymfqplr.exe,autorun.inf,oduxyym.exe,veckdld.exe清除办法

 一、病毒特征分析
      1.病毒一般通过U盘等媒体感染,病毒首先更加系统日期,导致杀毒软件实时监控失效,同时进行感染;
      2.系统进程中创建两个进程oduxyym.exe和veckdld.exe,相互保护,同时运行;
      3.感染后在%systemboot%/system32下面创建隐藏的病毒文件:oduxyym.exe,veckdld.exe,upxdnd.dll,同时修改注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL中的CheckedValue键值,导致系统隐藏文件不能被全部显示,以保护自己;
      4.在机器每个分区根目录下,均创建ymfqplr.exe,autorun.inf两个隐藏文件,当你打开分区时自动运行病毒进行感染;
      5.在注册表HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run中创建病毒自动运行键值。
      6.把注册表HKEY_CURRENT_USER下所有的键修改为a******类似的东东,导致用户安装的程序尤其是卡巴、金山、360等杀毒软件不能运行。 


 二、病毒清除方法
      据本人了解,目前还没有杀毒软件能够对这种病毒奏效,所以本人按照以下方法对病毒进行的手工清除:
      1.结束病毒进程。打开任务管理器,找到oduxyym.exe和veckdld.exe进程,单击右键->结束进程树,快速的按同样方法,关闭另外一个进程,慢了,是结束不掉的。
      2.显示出隐藏文件。打开注册表找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL在右边窗口中将CheckedValue删掉,再新建一个CheckedValue的DWORD值,将其值设为1。关闭注册表打开我的电脑—>工具->文件夹选项,将系统文件和所有文件都显示出来。
      3.删除病毒文件。打开%systemRoot%/system32,找到oduxyym.exe,veckdld.exe,upxdnd.dll将其彻底删除;在我的电脑地址栏里输入D:回车,可以看到在D:根目录下面隐藏着前面分析的两个病毒文件,将其彻底删除。同样的办法将其他分区中的病毒文件彻底删除。这一步尤其要注意:不能使用双击或右键单击打开的方式,因为这样都会导致病毒程序重新运行,这样前面我们做的工作就前功尽弃了!
      4.删除注册表中的自动运行项。将前面分析5中两个键值下的自动启动键值删除。
     关闭注册表,重新启动计算机。
 

************************************************************************************************************************

最近出现了一种病毒,极其讨厌,通过映像劫持技术和双进程技术是机器几乎无法工作。大概现象为:

  运行很多程序都无法启动,观察系统进程只是多了oduxyym.exe veckdld.exe两个进程。这时候,你就种病毒了,建议在进行修复操作前关闭其他所有的无关程序,断开网络连接,并建议将以下内容复制粘贴到记事本保存后以便操作。

  首先:我们断开网络第一件事就是打开任务管理器,关闭多余的进程,XP一般只剩18个进程为正常,其他多余的所有进程需要关闭,oduxyym.exe veckdld.exe这两个进程关闭不了的时候,可以通过关闭EXPLROR .EXE后将看不到桌面,没关系,这时即可将oduxyym.exe veckdld.exe两个进程结束,然后再通过任务管理器的:文件-新建任务,打开C:/WINDOWS/EXPLROR.EXE,即可看到桌面,这时候就好办了,就是麻烦点。开始-运行:regedit回车,进入注册表:

  [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RUN]将下列启动项删除:

 C:/WINDOWS/system32/.exe(默认,将此项清除即可)

C:/WINDOWS/system32/oduxyym.exe(整字符串删除)

C:/WINDOWS/system32/veckdld.exe(整字符串删除)

C:/WINDOWS/system32/svpecld.exe(整字符串删除)

  然后,看到启动项差不多干净之后,再查看映像劫持下面的东东

  打开注册表的:[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options]下面查看所有的*.exe的所有项,如果右边的值为:C:/WINDOWS/system32/oduxyym.exe的,请将整项删除(你会发现会有很多很多,慢慢的操作,细心点,别误操作),做完上边的工作,你就可以重启机器了,重启后进安全模式,将下面的命令以记事本另存为.bat的文件,双击运行即可清理系统中的病毒文件。

 @echo off
del C:/WINDOWS/system32/mh103.dll /f /q /a
del C:/WINDOWS/system32/nwizAsktao.dll /f /q /a
del C:/WINDOWS/system32/nwiztlbb.dll /f /q /a
del C:/WINDOWS/system32/MOSOU.dll /f /q /a
del C:/WINDOWS/system32/nwizqjsj.dll /f /q /a
del C:/WINDOWS/system32/EBSPI.dll /f /q /a
del C:/WINDOWS/system32/moyu103.dll /f /q /a
del D:/Autorun.inf    /f /q /a
del D:/ymfqplr.exe    /f /q /a
del e:/Autorun.inf    /f /q /a
del e:/ymfqplr.exe    /f /q /a
del f:/Autorun.inf    /f /q /a
del f:/ymfqplr.exe    /f /q /a
del g:/Autorun.inf    /f /q /a
del g:/ymfqplr.exe    /f /q /a
del c:/windows/system32/.exe    /f /q /a
del c:/windows/system32/oduxyym.exe    /f /q /a
del c:/windows/system32/veckdld.exe    /f /q /a
del c:/windows/system32/npkycryp.sys    /f /q /a
echo. & pause
  将上面的步骤做完后,重启机器,升级杀软全盘杀毒,卸载重新安装QQ ,下载Windows清理助手升级更新后清理系统:
http://www.arswp.com/download/arswp/arswp.rar

  另外,最近用USB设备传播的病毒越来越多,建议关闭自动播放功能,用一些工具进行免疫.
使用USB设备前先杀毒

本文引用自www.45it.com电

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值