您的位置:程序门 -> windows专区 -> 安全技术/病毒



如何iywdqdf.exe病毒?


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


如何iywdqdf.exe病毒?
发表于:2007-06-04 09:28:38 楼主
最近中了iywdqdf.exe病毒,希望大伙帮个忙,给点提示,给点答案,在这里谢谢了!
发表于:2007-06-04 10:51:201楼 得分:0
http://hi.baidu.com/lydai/blog/item/00a54c10315305fdc3ce7915.html
发表于:2007-06-04 10:54:092楼 得分:0
打开开始-> 运行-> 输入cmd  
再输出入tasklist
可以查看到iywdqdf.exe   进程及它的子进程dmecvcm.exe这时候要用命令杀掉该进程,命令如下:
taskkill   /f   /t   /pid   num   后面的num   为iywdqdf.exe进程的pid号我的为   3242   这时候,两个进程iywdqdf.exe   及dmecvcm.exe两个进程都会被杀掉,进程杀死了下面就是找文件。最简单的方法就是用搜索,记得这时候别双击硬盘盘符,在每一个盘符下面都有autorun.inf   及kocmbcd.exe程序,找到病毒文件删除吧。记得啊,这时候不能够双击盘符.用资源管理器找文件,找到删除.还要删除临时文件c:/windows/temp   c:/windows/tasks   最好的办法是删除文伯的同时,就新建一个文本文档,命名与病毒名字相同。另还有一些dll文件,这些dll文件,因为病毒修改电脑时间为1980-11-15,所以这些dll文件的日期都为1980-11-15很好认,找到删除,这些dll文件在c:/windows/system32里面。多找一下。全部病毒找完后,记住把任务计划里面的sa.dat去掉,同时新建一个文本文档命名为sa.dat.再查看开机启动项,去掉启动的病毒程序。
这个病毒会改注册表,把里面的隐藏文件那个选项给改了,这时候得改注册表了.

我把正常的写出来:

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"regpath "= "software\\microsoft\\windows\\currentversion\\explorer\\advanced "
"text "= "@shell32.dll,-30500 "
"type "= "radio "
"checkedvalue "=dword:00000001
"valuename "= "hidden "
"defaultvalue "=dword:00000002
"hkeyroot "=dword:80000001
"helpid "= "shell.hlp#51105 "

就是那个ckeckvalue被改了,应该是被改为了0,改回来,改为1.


重启电脑就ok了,
发表于:2007-06-04 11:25:493楼 得分:0
有专杀工具,从网上下载吧
发表于:2007-06-04 11:26:374楼 得分:0
这个好像不行噢,我试过,最严重的是不能进入安全模式,能进入那就好了,可以搞定他
发表于:2007-06-04 11:29:195楼 得分:0
现在病毒漫天飞
发表于:2007-06-04 11:49:056楼 得分:0
这几天,我打开一个朋友的个人网站,就中了,真是悔气
发表于:2007-06-04 11:51:237楼 得分:0
http://hi.baidu.com/lydai/blog/item/00a54c10315305fdc3ce7915.html
发表于:2007-06-04 11:56:418楼 得分:0
晕,我今天也中了,把进程删除,再下载个专杀
发表于:2007-06-04 12:08:359楼 得分:0
问题是进程关不掉,关掉又运行
发表于:2007-06-04 13:12:4410楼 得分:0
关注
发表于:2007-06-04 13:42:2211楼 得分:0
这个病毒是由autorun   和kocmbcd文件触发
搜索autorun   和kocmbcd文件,两个都是隐藏文件,分区根目录下面一个分区个一个,全删掉!!!彻底删掉
如果显示隐藏文件失败,用瑞星卡卡修复!
发表于:2007-06-04 13:44:1612楼 得分:0
查看一下autorun.inf文件:

[autorun]

open=kocmbcd.exe

shell\open=打开(&o)

shell\open\command=kocmbcd.exe

shell\open\default=1

shell\explore=资源管理器(&x)

shell\explore\command=kocmbcd.exe

它将上述两种操作都重定向到运行kocmbcd.exe   文件了。那么怎么进入盘符目录才不会运行病毒体呢?最简单方法是在地址栏输入盘符进入,如c:   回车   进入。

然后删除d,e,f目录下的两个kocmbcd.exe和autorun.inf文件。

再用软件结束iywdqdf.exe和dmecvcm.exe
然后删除system32里面的iywdqdf.exe和dmecvcm.exe
重起,再用360清除一下残留文件。应该差不多了。。
比较强的一个病毒

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击