瑞星卡卡安全论坛

朋友中的毒，瑞星扫不出来，后来换了卡巴，扫描出来了，但是杀不掉，安全模式也没用，没有用到映像劫持，工具什么的都能用

但是注册表里的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <lljy_df><C:\WINDOWS\system\llzjy080615.exe>

这两个东西改不了

还有一些莫名的驱动程序

[00007a0c / 00007a0c][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\00007a0c.SYS><N/A>
[69ij / 69ijd][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\69ijd.sys><N/A>
[ADProt / ADProt][Stopped/System Start]
[ADProt / ADProt][Stopped/System Start]
  <\SystemRoot\system32\drivers\ADProt.sys><N/A>
[bggcaiee / bggcaiee][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\bggcaiee.sys><N/A>
[pjjjmjj / pjjjmjj][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\pjjjmjj.sys><N/A>

大家帮帮忙想想办法哈

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; Maxthon)

附件: SREngLOG.log

建议用IceSword搞。
先禁止近程创建。
再结束系统核心进程以外的所有进程（除IceSword外）。
然后，对照日志，删除病毒文件及其加载项、驱动项、服务项等。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <lljy_df><C:\WINDOWS\system\llzjy080615.exe>

这2个注册表值项，直接进入注册表编辑器删除，不是修改的问题；如果不能删除，请提升当前帐户注册表控制权限（右键注册表值项所在子项，选择“权限”，找到当前用户帐户，提升权限为“完全控制”，如果列表中没有当前帐户名，请先添加后，再提升权限）

服务、驱动的删除，点我签名最后一行的彩色字自学……

貌似楼上的两种方法都有点问题，驱动删不掉

ERD启动，进注册表，删除！

建议：
1、关闭所有打开的应用程序窗口（如QQ等），关闭IE浏览器，之后拔掉网线；

2、开始--控制面板--添加或删除程序--如果能找到“开心运程速递”这个程序，请单击并选择“删除”，如果没找到，继续以下操作；

3、运行SRENG扫描工具，保持窗口；

4、下载附件（冰刃），解压，运行ICESWORD.EXE，文件--设置--勾选“禁止进程创建”--确定

5、单击冰刃窗口左侧的“文件”标签，展开弹出窗口左侧窗格的文件树状目录，找到以下文件，右键，选择“强制删除”(找不到的就算了)：
c:\windows\system32\drivers\00007a0c.SYS
c:\windows\System32\DRIVERS\69ijd.sys
c:\windows\system32\drivers\ADProt.sys
c:\windows\system32\drivers\bggcaiee.sys
c:\windows\System32\drivers\pjjjmjj.sys
c:\windows\System32\DRIVERS\ebrkfjwh.sys
c:\windows\System32\LYLeador.exe
C:\WINDOWS\system\llzjy080615.exe
C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE
C:\WINDOWS\SYSTEM32\WBEM\WZBSC.DLL
C:\Program Files\LLJAgent\KXAgentS.exe

6、单击冰刃窗口左侧的“注册表”标签，展开展开弹出对话框左侧的注册表树状目录，找到以下注册表值项，右键选择“删除”：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32>
    <lljy_df>

7、切换到SRENG扫描工具窗口，启动项目--服务--WIN32服务应用程序，删除以下服务项目：
[KXAgent Service / KXAgentService]（如果有的话）
[Computer Storage / WalALET]

8、继续在SRENG窗口下，启动项目--服务--驱动程序，删除以下驱动程序：
[00007a0c / 00007a0c]
[69ij / 69ijd]
[ADProt / ADProt]
[bggcaiee / bggcaiee]
[ebrkfjwh / ebrkfjwh]
[pjjjmjj / pjjjmjj]
[37812 / 37812]

9、关闭SRENG扫描工具窗口；

10、在冰刃窗口，文件--重启并监视，重启电脑，

11、全盘杀毒。

附件: 冰刃1_22.rar