此病毒的表现在如下的几个主要方面
oxjsybe.exe,nlsloop.exe nslookupi.exe nwlookpup.exe
1、将目前知名的杀毒软件（如卡巴）和工具（如SREng)等通过 IFEO HIJACK使之无效，谢绝进一步的被探测和处理。
2、破坏安全模式，无法进入安全模式，使处理难度加大。
3、通过U盘传播 没完没了。

解决方法：
1 下载冰刃http://www.crsky.com/soft/6947.html
解压后 把Icesword.exe改名
然后运行之
点击左下角文件按钮 进入C:\windows\system32文件夹
把文件按照时间顺序排列 找最近生成的文件
C:\WINDOWS\system32\随机7位字母组合.exe
C:\WINDOWS\system32\随机7位字母组合.exe(两个文件名不同）
C:\WINDOWS\system32\meex.com
3个文件大小相同
记住他们的名称

2.点击冰刃菜单栏的文件按钮（左上角）设置 把禁止进线程创建的钩挑上
然后确定

3.进入冰刃的 进程 窗口 分别结束刚才记住的那两个随机7位字母组合.exe的进程 oxjsybe.exe,nlsloop.exe nslookupi.exe nwlookpup.exe

4.用冰刃删除C:\WINDOWS\system32\随机7位字母组合.exe
C:\WINDOWS\system32\随机7位字母组合.exe(两个文件名不同）
C:\WINDOWS\system32\meex.com
和各个分区下面的随机7位字母组合.exe以及autorun.inf
oxjsybe.exe,nlsloop.exe nslookupi.exe nwlookpup.exe
5.恢复系统

恢复IFEO映像劫持项目：

这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了 所以我们随便把他改个名字
打开这个软件后 找到Image hijack (映像劫持）
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft
Corporation c:\windows\system32\ntsd.exe
以外的所有项目 oxjsybe.exe,nlsloop.exe nslookupi.exe nwlookpup.exe


此时可以打开sreng了
恢复安全模式：
打开sreng
系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是

恢复显示隐藏文件：
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

大功告成

=====================

teYqiu【天下无毒】百度知道反病毒知识专家--崔衍渠 保留所有权利