dmecvcm.exe和iywdqdf.exe的问题

heavy

小H晚上出去住没回来.......结果一大早就被朋友叫回来，说是电脑坏掉了。
（不过依小H看就是瑞星被禁用了嘛[s:7] 开机很慢嘛 [s:7] 关机关不了嘛 [s:7] 没什么大毛病嘛 [s:7] ）
主要症状就是这样。在进入系统后瑞星被屏蔽掉，无法手动开启。在网上的在线查毒里小H找到一大堆无聊的线索，总共14个病毒，大部分是木马或是蠕虫。在经过一系列排查后效果并不理想。
无意间发现在不起眼的位置上写着2个文件名dmecvcm.exe和iywdqdf.exe备注是广告传播木马。开始小H只当是普通的恶意插件来对待，在删除启动和注册表后查找到执行文件（是隐藏的）直接删除，却发现这两个程序被设置为系统属性（右击文件-属性为隐藏且无法更改隐藏状态）。小H意识到这个可能不是一般的恶意插件，于是在DOS下将文件属性进行更改，结果访问被拒绝，查看进程时候能够发现dmecvcm.exe和iywdqdf.exe在活动。无奈下只好进入安全模式，在开始运行中输入cmd进入DOS下。界面如下：
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\tianyu>
文件本身属性已经被锁定，所以我们只能通过DOS来修改。这两个文件的地址是在C:\WINDOWS\system32\下面，所以我们输入cd..回车cd..回车cd 空格WINDOWS\system32界面如下：
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\tianyu>cd..

C:\Documents and Settings>cd..

C:\>cd WINDOWS\system32

C:\WINDOWS\system32>
接着就需要用到attrib这个命令了，具体用法可以输入help attrib来查询（英文看不懂的朋友需要恶补下英语）在提示符下输入attrib -s -h -a dmecvcm.exe回车
这里的“-”是取消的意思“s”是系统的意思“h”是隐藏的意思“a”是存档的意思
这条命令说的是将dmecvcm.exe文件取消掉系统隐藏属性。回车后发现dmecvcm.exe文件由原来的隐藏状态变成普通状态了 [s:5] 毫不犹豫的删掉你。。。。。哼哼！
对于iywdqdf.exe文件也做相同处理。
再次去掉启动和注册表里的相关选项，（以前即使在启动里去掉也会自动添加）重起。瑞星打开了。。。。。。。。 [s:6] 突然感到生活真美好。
以上的前提是需要能够打开隐藏文件，方法是在我的电脑上方的工具-文件夹选项-查看里将隐藏受保护的操作系统文件和隐藏已知扩展名前面的“√”去掉后点显示所有文件和文件夹。
如果不能正常显示隐藏文件请下载附件里的注册表双击导入。
在开始运行里输入msconfig打开启动
在开始运行里输入regedit打开注册表，依次打开HKLM\software\microsoft\windows\currentversion\下的run,runonce,runonceex删除里面的相关项。
暂时想到这么多。有什么不明白的或是不正确的地方请大家指教。