转自天下无毒
=============================================================================
具体问题具体分析。如下为本问题的解决方案 请仔细阅读,看懂后操作。
进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除文件如下文件, 建议采用xdelbox, 或者 powerRMV等工具。如果提示某文件不存在,请忽略之继续填入下一个直到完成。
C:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
h:\autorun.inf
C:\auto.exe
d:\auto.exe
e:\auto.exe
f:\auto.exe
h:\auto.exe
C:\WINDOWS\system32\lyloadqr.exe
C:\WINDOWS\system32\lyloadhr.exe
C:\WINDOWS\system32\lyloadmr.exe
C:\WINDOWS\system32\lyloadar.exe
C:\WINDOWS\system32\lyloador.exe
C:\WINDOWS\system32\lyleador.exe
C:\WINDOWS\system32\lyloadbr.exe
C:\WINDOWS\system32\lyloader.exe
c:\windows\919331l.exe
c:\windows\919331m.exe
c:\windows\system32\214964d.exe
3、重启后 用工具SRENG操作如下
启动项目 -- 注册表之如下项删除:
[MSDQG32] <LYLoadqr.exe>
[MSDHG32] <LYLoadhr.exe>
[MSDMG32] <LYLoadmr.exe>
[MSDSG32] <LYLoadar.exe>
[MSDOG32] <LYLoador.exe>
[MSDCG32 ] <LYLeador.exe>
[MSDWG32] <LYLoadbr.exe>
[MSDEG32] <LYLoader.exe>
[WinSysW] <C:\WINDOWS\919331L.exe>
[WinSysM] <C:\WINDOWS\919331M.exe>
启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[FDAC6593 / FDAC6593][Stopped/Auto Start]
<C:\WINDOWS\system32\214964D.EXE -k><>
4 最后用windows清理助手或者金山清理专家等工具清理 。修改系统的时间为正常即可。
总结
LYLeador.exe这个木马群的一个特点:大量的注册表启动项,利用autorun.inf加载各盘根目录下的auto.exe。伴随一个8随机字符类似本案的214964D.EXE的服务项,类型为Auto Start。修改系统时间为2005年,使依靠时间判别的杀软如卡巴等失效。虽然没啥技术含量,不过从求助者的数量来看,这个木马群的中招者很多。。。。。。
=============================================================================
我帮同学搞过一次这个木马。先用windows清理助手,然后使用卡巴扫描关键区域。最后手动删除对应注册表启动项,再删除各个盘符下的自动配置文件和指向木马。崔衍渠专家的帖子更为具体,转出来分享。 | 
/1 
雷达卡
收藏
分享
支持
反对
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡