orz.exe是一个网页木马而不是系统进程，主要利用swf溢出漏洞进行传播。该木马在连接到主站后会下载大量的盗号木马，因此，在清除该病毒之前，需要先修复swf溢出漏洞。

木马名称：Trojan-Downloader.Win32.Losabel.nx

存在位置：C:\\Documents ande Setting\\Administrator\\Local Settings\\Temp\\下

文件名称：orz.exe

出品公司：未知

产品名称：未知

版本序号：不详

文件大小：13312byte

MD5值：79DEBC202002BDB95B813C088519C918

描述：这是一个典型的下载者病毒。

下载到：%windir%\t_file_temp\\list.bmp

这是一个下载地址列表，然后从这个列表上逐个下载病毒文件。

orz.exe病毒专杀方法清除步骤：

1.关闭系统还原功能，重启电脑进入安全模式；

2.清除IE临时文件；

3.删除病毒文件及注册表键值；

病毒文件可能存在于以下位置：

C:\\WINDOWS\\\t_file_temp\\list.bmp

C:\\WINDOWS\\system32\\orz.exe

C:\\Documents ande Setting\\Administrator\\Local Settings\\Temp\\orz.exe

如果在安全模式下仍然无法删除文件，请使用专业工具。

4.将杀毒软件升级到最新病毒库，进行全盘查杀，避免感染变种病毒。

------------------------------------------------------------------------------------------------------------------------------------------------------------------------

近一周来,针对Adobe公司FlashPlayer播放器安全漏洞的计算机病毒大量涌现,其中以“Flash特务”为首的一系列病毒严重威胁着广大用户的电脑安全.Google电脑病毒热搜榜上,新近流窜出来的ORZ.EXE名列第八,反映出该病毒已经在最近数周的时间里产生了严重的影响.

“Flash特务”病毒最大的特点是它可以完全删除自己的所有文件.该病毒通过Flash漏洞潜入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行,然后下载大量盗号木马到系统中,运行完毕后病毒会完全删除自己的全部文件,作案后不留下任何证据.这意味着,病毒逃避查杀的方式有了新突破,病毒的犯罪过程已越来越隐蔽,就像一个特务病毒,以后用户即便遭受了攻击,也无法追查凶手.

ORZ.EXE病毒,就是毒霸命名的FLASH特务,ORZ是网络流行语,又被称作脑残文或火星文.其现象和AV终结者类似,只是这种病毒并不直接完成其它木马的下载,表现为象个探子,入侵后,想办法把保安搞掉,然后再释放木马下载器,下载更多的病毒木马.该病毒的广泛浏览,与flash插件漏洞被公布利用密切相关.

以下是Flash特务病毒（ORZ.EXE病毒）分析报告,有关该病毒的具体现象和清除.当它们进入用户系统后就会迅速运行起来,大量占用系统资源,导致电脑运行越来越慢,甚至造成死机.

一.行为概述

1.禁用系统安全中心、windows防火墙、系统还原;关闭毒霸、瑞星等安全软件的进程、并将安全软件的主要程序程序替换为无效的文件;结束360的进程、删除其进程文件.并修改360的设置,使360的保护失效.确信解决掉用户系统中的杀毒软件和安全辅助软件后,此毒就在系统临时目录%temp%中释放出一个木马下载器文件,它会在后台悄悄连接病毒作者指定的远程地址,下载大量盗号木马运行,释放木马下载者病毒.下载工作完成,病毒就调用自己的配置信息,恢复原来的时间,执行自动删除指令,把自己的原始文件、主文件、驱动文件等完全删除,不留下一点痕迹.

2.删除病毒运行过程中生成的所有文件.注：此项可配置,若不设置,病毒会释放副本C:\\Progra~1\\Realtek\\ APPath\\RTHDCPL.exe,并为之创建启动项：

HKLM\\SoftWare\\Microsoft\\Windows\\ CurrentVersion\\Run\\Soundman.

二.Orz.exe病毒的删除

一、将本进程文件移动到同盘的根目录,且重命名为x:\TDUBECT.exe

二、禁用系统安全中心、windows防火墙、系统还原.

三、设置HKLM\\software\\360safe\\safemon子键下的

ExecAccess,SiteAccess,MonAccess,VDiskAccess,ARPAccess,IEProtAccess为0.

检测当前系统中是否有360tray.exe、360safe.exe,若有,结束进程、删除进程文件.

四、检测系统中是否有ravmond.exe、kwatch.exe、kasmain.exe.若有：

1)将进程资源RCDATA/”ANTIR”释放到%temp%\\ANTIR.exe.

2)将进程资源RCDATA/”KNLPS”释放到%temp%\\ANTIR.sys.

3)生成批处理脚本%temp%\\tmp.bat,并使用WinExec(”tmp.bat”,SW_HIDE)执行脚本关闭安全软件的监控进程、删除自身的文件.

4)查询HKLM\\SOFTWARE\\rising\\Rav\\installpath键值,得到瑞星的安装路径.将进程资源RCDATA/”SYSFILE”的内容释放为与瑞星的文件同路径的文件,以替换瑞星的程序文件.

五、若生成了NTDUBECT.exe,调用命令行”cmd /c del”删除之.

六、建立映像劫持,此项可由配置信息控制,令很多安全软件不能运行.

专家预防建议:

1.建立良好的安全习惯,不打开可疑邮件和可疑网站.

2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接.

3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描.

4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键.

5.安装专业的防毒软件升级到最新版本,并开启实时监控功能.

6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码.

7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的.

——更多资讯请登陆金山毒霸官方网站查询。