今天被jvxnypf.exe撞了下腰。。

kanicle

早上打开一个熟悉的网页。。。
然后，卡巴报告中了病毒，而且无法杀掉。。要求重启后杀毒（之前出现过 卡巴报告授权日期错误 当时没有警惕。。。唉。。。）
就这两个
jvxnypf.exe
kndncso.exe
然后噩梦出现，重启后进程里这两个DD一直杀不掉，启动项里多的其它东西也就罢了，这两个的启动项也删不掉，然后卡巴无法启动了
重装也不行，每次进行到最后一步，就不行了。。。
然后我知道，该用google大法了。。。
首先，向各位解决这个XX病毒的高手们道声辛苦，然后感谢一下万能的google大婶
最后，转贴解决方案：

从软盘或着U盘启动后 运行下面的命令行即可 attrib C:\WINDOWS\system32\kndncso.exe -h -s -a attrib C:\WINDOWS\system32\jvxnypf.exe -h -s -a del C:\WINDOWS\system32\kndncso.exe del C:\WINDOWS\system32\jvxnypf.exe attrib d:\autorun.inf -h -s del d:\autorun.inf   attrib d:\gvkfbrq.exe -h -s del d:\gvkfbrq.exe attrib e:\autorun.inf -h -s del e:\autorun.inf   attrib e:\gvkfbrq.exe -h -s del e:\gvkfbrq.exe attrib e:\autorun.inf -h -s del e:\autorun.inf   attrib e:\gvkfbrq.exe -h -s del e:\gvkfbrq.exe attrib e:\autorun.inf -h -s del e:\autorun.inf   attrib e:\gvkfbrq.exe -h -s del e:\gvkfbrq.exe attrib a:\autorun.inf -h -s del a:\autorun.inf   attrib a:\gvkfbrq.exe -h -s del a:\gvkfbrq.exe

－－－－－－－－－－－－－－－－－－－－－－－－－－
要求的是每个盘都要这样弄一次，然后重启，整个世界清净了。。。
PS：我用的是“带命令提示行的安全模式”，效果还不错
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
然而，新的问题出现了，卡巴或者其它杀毒软件仍然无法启动！！重装仍然卡在最后一步！！

这个时候，俺试了下改名－－－avp.exe-->avp1.exe XX的，结果就能用了。。。不过，根据另外一个受害者的说法

	目前已知中该病毒后，用上面仁兄方法杀毒，留下了很多后遗症。 就是被被该病毒禁用了某些程序，非组策略方式禁用的。 被禁止的程序包括各种杀毒软件，icesword，autoruns等。 双击这些程序无法打开，显示无法定位，然而简单修改文件名却可以打开，可知道病毒没有修改exe关联。 不过在组策略里面这些程序名没有被禁止。 以我目前水平无法得知这个病毒如果做到这点的，望高人指点修复。

－－－－－－－－－－－－－－
因此，同样期待ING。。。。。。。

hope250

地址给出来去瞧瞧

wangjay1980

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
你到这个键值下，删除里面所有被禁止的程序*.exe，就没问题了

zhaonimm

学习了 版主强啊  这个注册表键值需要记住了！！

kanicle

原帖由 wangjay1980 于 2007-5-15 09:50 发表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
你到这个键值下，删除里面所有被禁止的程序*.exe，就没问题了

谢谢了，另外，中这个病毒后无法显示隐藏文件，因此。。。
感谢万能的google大婶×2
首先，要显示隐藏文件

在这个：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0（如图）！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。

正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

kanicle

原帖由 hope250 于 2007-5-15 09:43 发表
地址给出来去瞧瞧

book.sh.com
后面是com还是net还是cn记不住了

aribeth199

没有发现，有没有样本？贴到样本区。

wangjay1980

卡巴已经可以查杀了