中午同学电脑中病毒了,好像是个新型病毒,自启动iywdqdf.exe和dmecvcm.exe不能删除,安全模式不能进入。在网上一查果不其然,看来最近病毒又开始新一轮的疯狂进攻了~借鉴了一个高智商网友的分析及专杀提供下载。
病毒症状:
1.发现可疑进程: iywdqdf.exe,dmecvcm.exe,结束进程后再次出现
2.启动项 C:WINDOWS\SYSTEM32\IYWDQDF.EXE C:WINDOWS\SYSTEM32\DMECVCM.EXE
将其禁用后,重启后依然出现在启动项
3.无法显示隐藏文件
4.杀毒软件全部失效 双击无效
5.无法进入安全模式,进入显示蓝屏或重启.
6.以上两文件在SYSTEM32文件夹中找不到(文件为隐藏、系统属性)
7.电脑系统时间被改成1980年11月15日
病毒分析:
病毒文件:kocmbcd.exe
病毒MD5:825622ba4d3f910bdf6f97f585290b35
病毒大小:38780 字节
病毒类型:Autorun型病毒,通过移动盘传播,具备下载者性质
一、病毒运行后生成如下文件:
%systemroot%\system32\dmecvcm.exe
%systemroot%\system32\iywdqdf.exe
X:\kocmbcd.exe
X:\autorun.inf二、修改注册表键值:
1、添加如下注册表项以达到IFEO劫持目的,N多安全软件、杀毒软件都被劫持了(共110项),每项下都有类型为REG_SZ的键值Debugger,值为:C:\windows\system32\iywdqdf.exe,刚好指向病毒文件iywdqdf.exe。
2、添加如下注册表键值以达到随机启动的目的:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hhsonxn 值:C:\windows\system32\dmecvcm.exe 类型:REG_SZ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kocmbcd 值:C:\windows\system32\iywdqdf.exe 类型:REG_SZ
3、修改如下注册表键值:
HKLM\SYSTEM\CurrentControlSet\Services\AVP\Start 值:4 类型:REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start 值:4 类型:REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\helpsvc\Start 值:4 类型:REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start 值:4 类型:REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Start 值:4 类型:REG_DWORD三、病毒的其他症状:
病毒进程dmecvcm.exe与iywdqdf.exe互相保护着,结束其中一个进程又会被激活,系统日期被更改到1980年11月15日,杀软失效,双击任何盘符都将激活病毒。并且似乎具备下载者性质(好象是从网上下载大量最新木马程序)。
病毒专杀下载:
针对此毒“余弦函数”提供的专杀:Autorun病毒kocmbcd.exe专杀工具点击下载此文件
(VBS版,5月31日更新)
说明:中此毒安全模式会进不了,并在尝试进入时可能出现蓝屏。在专杀工具包内已经添加“修复XPSP2无法进入安全模式.rar”,是reg文件。如果病毒杀完后,安全模式还是进入不了,请运行专杀包中的“修复XPSP2无法进入安全模式.rar”中的reg文件修复,如果修复失败,在电脑重启过程中按F8,然后选择“最后一次正确配置”,这样应该可以。
这两个病毒杀了好久都杀不掉,现在试试![idea]
好运!
今天一个Rose也让我累得不行,你这个病毒看着更晕~~~
最近这类病毒很猖狂,快赶上熊猫了,瑞星把它命名为“帕虫”,变种很多,生成的病毒文件名也会产生变化。
今天被这个破病毒搞了脑壳快晕了,就你这个最好用,现在已经彻底解决了,十分感谢
嘿嘿,不用谢~资源共享!
ddddddddddddddddd
谢谢兄弟,真好使!高兴!
嘿嘿,不用谢~