我也说下我的查杀办法,有问题的可以借鉴下呀:
首先,断网,
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> [N/A]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D083817D-817D-083E-7D08-17D8317D083E}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll> [N/A]
删除掉(最后一个删不掉,暂时不管它,以后删)
修复安全模式,我是导入一个修复安全模式的.reg文件修复的。
发现插入进程:[PID: 580][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[C:\WINDOWS\System32\LYMANGR.DLL] [N/A, N/A]
插入进程:[PID: 1428][C:\WINDOWS\system32\Ati2evxx.exe] [ATI Technologies Inc., 6.14.10.4116]
[C:\WINDOWS\system32\Ati2edxx.dll] [ATI Technologies, Inc., 6, 14, 10, 2497]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll] [N/A, N/A]
插入进程:[PID: 1984][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3760]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll] [N/A, N/A]
插入进程:[C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll] [Autodesk, 16.0.0.86]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll] [N/A, N/A]
插入进程:PID: 1396][C:\Documents and Settings\zxl\桌面\11\11.EXE] [Smallfrogs Studio, 2.3.13.690]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll] [N/A, N/A]
插入有系统关键进程,无法删除。然后:
用光盘的雨林木风windows pe系统进入,
1、木马创建文件 C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\LYLOADER.EXE
删除这些文件。
2 C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.exe
删除每个盘符下的817D083E.exe和autorun.inf或者autorun.ini文件。
3、木马将 LYMANGR.DLL 注入到 services.exe 系统服务进程中。梦幻启动后将 MSDEG32.DLL 文件注入到梦幻的进程中用来截取帐号密码。
搜索LYMANGR.DLL ,删除掉。查看目录,按时间找近期的可疑文件,也删除掉。
4、进入注册表(运行中输入regedit)找到 hkey_local_machine/software/microsoft/windows/currentversion/policies/explorer 将右边的项名称为msdeg32值为lyloader.exe的项删除
进入注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D083817D-817D-083E-7D08-17D8317D083E}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll> [N/A]
删除,找不到就搜索817D083E.dll,将找的值为817D083E.dll的项删除。
进入系统盘(windows/system32)下,找到lyloader.exe,lymangr.dll,msdeg32.dll将它们删掉
进入windows下找到wia开头的两个文件(文本文件)将其删除
5、将windows/temp下的文件和C:\Documents and Settings1\您的当前用户名\Local Settings\Temp下的文件都删掉
C:\windows\Help文件夹中一个文件,忘记了,按时间可以查到。
最后下个恶意软件清理助手清理或者360卫士清理一下系统就可以了
然后导入修复安全模式.reg修复安全模式。
再按日志手工查杀一些小毒和木马。这个没办法说,要具体问题具体分析。
如果有删不掉的文件请进入安全模式删
重起正常模式下:
再用autorun软件删除iefo劫持,修复瑞星杀软,重装瑞星防火墙,在服务找到rising的都开启,然后重起系统,升级到最新模式杀毒。然后在每个盘符下都创建2文本,命名为autorun.ini和autorun.inf,属性只读隐藏存档,以后就不用担心u盘再传播这类毒了。
