瑞星卡卡安全论坛

玩网络游戏变卡而且掉线。。

360安全卫士哟时双击没用CDEF盘双击打不开。。

有时候突然网速就变得很慢网页打开不能直接死机掉。。

系统重装了还有。。

进程里多了个521.exe。。


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 9869442007127121625.txt

求手动彻底删除的方法。。

杀毒软件没激活。。

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  [N/A]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]

==================================
服务
[Network Connectiones / Network Connectiones][Running/Auto Start]
  <C:\WINDOWS\system32\oky.exe><N/A>
[Windows Acconts Drivers / WindowsRemcts][Running/Auto Start]
  <C:\WINDOWS\system32\521.exe><N/A>

==================================
正在运行的进程
[PID: 680 / SYSTEM][C:\WINDOWS\system32\oky.exe]  [N/A, ]
[PID: 1052 / SYSTEM][C:\WINDOWS\system32\521.exe]  [N/A, ]

==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[F:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

难怪眼熟呢……又是auto病毒
按以下方法处理：（注意不要跳过任何一个步骤）
处理过程中要打开各个盘时，不要双击任何一个盘，用“资源管理器”在左栏点磁盘进入，切记！！（否则会前功尽弃！）

下载XDELBOX，这个帖子里有下载和使用方法
http://forum.ikaka.com/topic.asp?board=28&artid=8381032
添加项目：
c:\windows\system32\LYLoader.exe
c:\windows\system32\LYLoadbr.exe
c:\windows\system32\LYLeador.exe
c:\windows\system32\LYLoador.exe
c:\windows\system32\LYLoadar.exe
c:\windows\system32\LYLoadmr.exe
c:\windows\system32\LYLoadhr.exe
c:\windows\system32\LYLoadqr.exe
以上项目不一定都有，照以前处理的经验，通常只有第一个文件有，所以如果后面的文件添加时报没有文件就不用管了。

C:\WINDOWS\system32\oky.exe
C:\WINDOWS\system32\521.exe
c:\auto.exe
c:\autorun.inf
d:\auto.exe
d:\autorun.inf
e:\auto.exe
e:\autorun.inf
f:\auto.exe
f:\autorun.inf
添加完后，右键点“立即重启删除”
重启后，XDELBOX会删除以上的病毒文件。
再次重启时，按F8进入安全模式
用SREng删除注册表、服务中的项目

该病毒会造成一个后遗症，就是“文件夹选项”中的“显示所有文件和文件夹”这一项会无法选择
把以下文字复制到记事本中：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

保存为showall.reg，双击导入注册表可以恢复显示。

打开SREng-在"启动项目->注册表->删除以下启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  [N/A]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\system32\BLISS.SCR>  [Microsoft]

打开SREng-在"启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软服务" 然后将下面名称的

服务删除（选中有问题的服务后，点“删除服务”，点“设置”按钮即可。 注意弹出的窗口中要点 “NO

否”才是确认删除服务）(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置):
服务
[Network Connectiones / Network Connectiones][Running/Auto Start]
  <C:\WINDOWS\system32\oky.exe><N/A>
[Windows Acconts Drivers / WindowsRemcts][Running/Auto Start]
  <C:\WINDOWS\system32\521.exe><N/A>
重起后删除相应文件
C:\WINDOWS\system32\oky.exe
C:\WINDOWS\system32\521.exe
C:\WINDOWS\system32\BLISS.SCR
搜索,删除
LYLoader.exe
LYLoadbr.exe
LYLeador.exe
LYLoador.exe
LYLoadar.exe
LYLoadmr.exe
LYLoadhr.exe
LYLoadqr.exe