dos清除windows密码命令_哪些文件会被dos病毒感染

今天，朋友叫我帮看看他的电脑，说是中了个比较NB的病毒，我颇感兴趣！因为好久没有遇到有挑战性的病毒了！今天又可以练练手了^_^

打开他的电脑，并没有发现什么特别具有破坏力的现象。exe、com、src等等文件都没有被感染，GHOST备份文件也还在。

仔细查看系统，归纳起来，中毒后主要呈现如下症状：

1.杀毒软件被中止和禁止重新启用，系统垃圾清除类软件被禁止启用。

中毒后注销重新进入系统或者重启进入系统，系统的日期被更改。如果系统上装的杀毒软件是KAV，则会出现KAV提示日期出错，软件没有激活。图1是在我系统上测试时的效果：

图 1

中毒后，测试系统中的杀毒软件KAV被终止掉，如果尝试重新启用KAV始出现如下(图2)的提示：

图2

如果是刚被感染，表现是KAV提示连接服务器进程被终止。

系统垃圾清理类软件：

超级兔子软件和360安全卫士也无法使用，尝试打开也会出现上述类似情况,如(图3、图4)：

图3

图4

不过，windows优化大师可以正常使用。

2. 进程列表中多出两个进程：iywdqdf.exe和dmecvcm.exe

3. 派生文件：在系统目录 windows/system32 下生成两个文件iywdqdf.exe和dmecvcm.exe

4. 系统的文件夹选项中文件的“显示/隐藏”项常置于隐藏属性，不可更改：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced/Folder/Hidden/SHOWALL] “CheckedValue”=dword:00000000

5. 除系统所在盘外，所有盘符的根目录下生成autorun.inf文件和kocmbcd.exe文件。

6．添加注册表使自己自启动：

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

iywdqdf.exe -> C:/WINDOWS/system32/iywdqdf.exe

HKLM/Software/Microsoft/Windows/CurrentVersion/Run

dmecvcm.exe -> C:/WINDOWS/system32/dmecvcm.exe

上述现象描述并不完整，可能还有另外的症状。

在我的测试中，没有发现更多的异常情况，CPU占用率和网络通信流量都还正常。首先尝试直接用任务管理器结束两个进程中的任何一个，过几秒钟又自动起动起来了，看来是双进程守护的。哈哈，想想也没这么容易就搞定的。不过，这也是老技术了，想不通病毒编写者也不隐藏一下进程或者做欺骗性的命名处理。那好说了，请老工具出场——Windows杀毒助手。

打开Windows杀毒助手，看其中有这两个进程：(图5）

图5

显然这两个进程分别调用c:/windows/system32/dmecvcm.exe 和c:/windows/system32/iywdqdf.exe 两个.exe文件。至于其调用的动态链接库文件我们就暂不用管它了，把病源干掉再说。为保险起见，我们再查看一下进程的关联端口，发现没有任何关联的端口。两个进程的内存占用率都在5.5 MB左右。好了，既然也没有自动联网，我真搞不懂这个病毒的目的何在了！不罗唆了，干掉要紧。在Windows杀毒助手的进程列表中选中上述两个进程，点击右键，使用“强制关闭进程[多个]”。OK，就这么简单，上述两个进程就真正结束掉了。

在做后续工作前，我必须强调一下：你千万不要直接双击盘符进入，也不要鼠标右击盘符选择“打开”进入。至于原因，都是因为存在的 autorun.inf文件的缘故。其实我们查看一下Autorun.inf文件就很容易理解其中的原因了：

[AutoRun]

open=kocmbcd.exe

shell/open=打开(&O)

shell/open/Command=kocmbcd.exe

shell/open/Default=1

shell/explore=资源管理器(&X)

shell/explore/Command=kocmbcd.exe

它将上述两种操作都重定向到运行kocmbcd.exe 文件了。那么怎么进入盘符目录才不会运行病毒体呢？最简单方法是在地址栏输入盘符进入，如C: 回车 进入。

OK，下面让我们来删除系统目录下的两个.exe文件。隐藏文件不可见怎么办?这里给出两个办法：

1. 编写注册表脚本导入。打开记事本，输入以下内容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden]

“Text”=”@shell32.dll,-30499”

“Type”=”group”

“Bitmap”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00, 6f ,00, 6f ,00,74,/

00,25,00, 5c ,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c ,00,53,00,/

48,00,45,00, 4c ,00, 4c ,00,33,00,32,00,2e,00,64,00, 6c ,00, 6c ,00, 2c ,00,34,00,00,/

00

“HelpID”=”shell.hlp#51131”

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN]

“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”

“Text”=”@shell32.dll,-30501”

“Type”=”radio”

“CheckedValue”=dword:00000002

“ValueName”=”Hidden”

“DefaultValue”=dword:00000002

“HKeyRoot”=dword:80000001

“HelpID”=”shell.hlp#51104”

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]

“RegPath”=”Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced”

“Text”=”@shell32.dll,-30500”

“Type”=”radio”

“CheckedValue”=dword:00000001

“ValueName”=”Hidden”

“DefaultValue”=dword:00000002

“HKeyRoot”=dword:80000001

“HelpID”=”shell.hlp#51105”

保存上述文件为 UnHidden.reg （文件名任意，后缀为.reg即可）。双击导入注册表。然后修改 工具->文件夹选项->查看->查看所有文件和文件夹 ，并且去掉“隐藏受保护的系统文件（推荐）”前的勾。现在，可以进入系统目录c:/windows/system32/ 下，直接删除iywdqdf.exe和dmecvcm.exe 文件了。

2. 在命令行模式下删除文件。你可以直接用

del /A attrib iywdqdf.exe -h -s –r

del /A attrib dmecvcm.exe -h -s –r

命令删除，也可以在用attrib 命令更改文件属性后在图形界面下将其删除。

结束了病毒进程，删除了直接的“病毒体”，用同样的方法，接着我们来处理病毒源。根据经验，显然 kocmbcd.exe 文件应该就是真正的病毒体。从去年（06年）六月以来流行的多种病毒，如rose、RavMon、fun.xls以及熊猫烧香等一系列病毒都是利用autorun.inf来进行病毒感染与传播。不过，这个kocmbcd.exe的病毒作者有一点点改进，那就是由于他改进了autorun.inf的缘故，即使用户使用右击打开盘符的方式仍然会中毒。kocmbcd.exe文件信息如图6所示：

图6

该文件的大小固定为37.8KB，修改日期为1987年5月28日，属性为隐藏，系统。

我们来试试能不能直接删掉——哈，居然直接就可以删除！（再次提醒你，一定要以正确的方式进入盘符目录或者再命令行下操作，因为这是成功清除病毒的前提。）

好了，病毒体都删掉了。在windows配置实用程序（运行中输入msconfig进入）中去掉iywdqdf.exe 和 dmecvcm.exe 项前的勾：（图7）

图7

剩下的就是如何使KAV等病毒软件与超级兔子等垃圾清理软件正常工作，以及注册表垃圾清理的事情了。

重新启动电脑后，试图打开KAV，出现现象1的情况。尝试了修复安装和完全卸载重新安装两种方式，仍然出现现象1的情况。看来是注册表的问题了，由于时间关系我没有对注册表进行对比分析，在这里只是把解决的方法拿出来。

既然我们猜到是注册表的问题了，我先从超级兔子入手。兔子正常工作了，我就注册表清理的工作就交给它了。

方法很简单——找到超级兔子的安装目录，更改运行主文件：(图8)

图8

现在双击 MagicSet2.exe试试，是不是兔子又正常运行起来了？^_^

使用兔子的注册表清理功能，选中“扫描错误的类”，然后清理。完毕后将兔子名字改回去，是不是也能正常运行了？再试试KAV和360安全卫士，是不是都正常工作了？

OK，到这里病毒处理工作也就差不多完成了。我的邮箱是computer.wei@gmail.com .还有就是本文只是对该病毒的一个表层现象与处理的描述，没有深入到具体的编程实现细节，只是想起到一个抛砖引玉的作用，希望有更多病毒研究方面的爱好者对它的机理作进一步的剖析。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 举报，一经查实，本站将立刻删除。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/186313.html原文链接：https://javaforall.cn