瑞星卡卡安全论坛

中毒后特征是  杀毒软件自动关闭,所有杀毒软件不能安装,杀毒软件官方网页不能打开,进入安全模式蓝屏,不能查看隐藏文件


最简单解决方法:
第一步:用解压缩软件  如WINRAR  查看所有分区根目录下  把目录下的  autorun.inf及82300B32.exe(可能是别的) 删除 
第二步:清空回收站
第三步:最重要的  极其重要  不然不起作用
      直接关掉计算机电源    重新启动计算机  不是从开始那里重器
注:即使最新版本瑞星也不能查杀  在这里鄙视下瑞星    瑞星也应该把精力从打口水仗转到技术上了 ,只有把技术提上去才是王道

汗~~~

引用:

【小狐狸11的贴子】中毒后特征是  杀毒软件自动关闭,所有杀毒软件不能安装,杀毒软件官方网页不能打开,进入安全模式蓝屏,不能查看隐藏文件 最简单解决方法: 第一步:用解压缩软件  如WINRAR  查看所有分区根目录下  把目录下的  autorun.inf及82300B32.exe(可能是别的) 删除  第二步:清空回收站 第三步:最重要的  极其重要  不然不起作用       直接关掉计算机电源    重新启动计算机  不是从开始那里重器 注:即使最新版本瑞星也不能查杀  在这里鄙视下瑞星    瑞星也应该把精力从打口水仗转到技术上了 ,只有把技术提上去才是王道 ………………

就这三步，你就是断电重启N次也没用。
因为还有病毒主体未能删除。重启后，病毒依然是活的。
病毒主体文件的位置：
C:\Program Files\Common Files\Microsoft Shared\MSInfo文件夹中：两个。
C:\windows\Help文件夹中：1个

我的计算机就这么弄的

的嗖吧,让你的嗖,被否到地下了吧......

引用:

【小狐狸11的贴子】我的计算机就这么弄的 ………………

那我就闭嘴了。

我也说下我的查杀办法，有问题的可以借鉴下呀：
首先，断网，
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  [N/A]
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D083817D-817D-083E-7D08-17D8317D083E}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll>  [N/A]
删除掉（最后一个删不掉，暂时不管它，以后删）

修复安全模式，我是导入一个修复安全模式的.reg文件修复的。

发现插入进程：[PID: 580][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\LYMANGR.DLL]  [N/A, N/A]
插入进程：[PID: 1428][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4116]
    [C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2497]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll]  [N/A, N/A]

插入进程：[PID: 1984][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]  [RealNetworks, Inc., 0.1.0.3760]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll]  [N/A, N/A]

插入进程：[C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll]  [Autodesk, 16.0.0.86]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll]  [N/A, N/A]

插入进程：PID: 1396][C:\Documents and Settings\zxl\桌面\11\11.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll]  [N/A, N/A]
插入有系统关键进程，无法删除。然后：

用光盘的雨林木风windows pe系统进入，
1、木马创建文件 C:\WINDOWS\system32\MSDEG32.DLL
                    C:\WINDOWS\system32\LYMANGR.DLL
                    C:\WINDOWS\system32\LYLOADER.EXE
                   
    删除这些文件。
2  C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll
    C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.exe
删除每个盘符下的817D083E.exe和autorun.inf或者autorun.ini文件。
3、木马将 LYMANGR.DLL 注入到 services.exe 系统服务进程中。梦幻启动后将 MSDEG32.DLL 文件注入到梦幻的进程中用来截取帐号密码。
搜索LYMANGR.DLL ，删除掉。查看目录，按时间找近期的可疑文件，也删除掉。
4、进入注册表(运行中输入regedit)找到 hkey_local_machine/software/microsoft/windows/currentversion/policies/explorer 将右边的项名称为msdeg32值为lyloader.exe的项删除
进入注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{D083817D-817D-083E-7D08-17D8317D083E}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\817D083E.dll>  [N/A]
删除，找不到就搜索817D083E.dll，将找的值为817D083E.dll的项删除。
进入系统盘(windows/system32)下,找到lyloader.exe,lymangr.dll,msdeg32.dll将它们删掉
进入windows下找到wia开头的两个文件(文本文件)将其删除
5、将windows/temp下的文件和C:\Documents and Settings1\您的当前用户名\Local Settings\Temp下的文件都删掉
C:\windows\Help文件夹中一个文件，忘记了，按时间可以查到。
最后下个恶意软件清理助手清理或者360卫士清理一下系统就可以了
然后导入修复安全模式.reg修复安全模式。

再按日志手工查杀一些小毒和木马。这个没办法说，要具体问题具体分析。
如果有删不掉的文件请进入安全模式删

重起正常模式下：
再用autorun软件删除iefo劫持，修复瑞星杀软，重装瑞星防火墙，在服务找到rising的都开启，然后重起系统，升级到最新模式杀毒。然后在每个盘符下都创建2文本，命名为autorun.ini和autorun.inf,属性只读隐藏存档，以后就不用担心u盘再传播这类毒了。

我的电脑有所有“八位随机数病毒”的所有特征，但就没有你们说的那个82300b32.dll(知道有可能不是相同的文件，但也应该有类似的文件吧。）不过在其它盘符里有：autorun.inf和clhspsk.exe这两个文件。

乱乱的看不懂``

只要一个冰刃就搞定了```````

是有点乱，才开始学习，体谅下了。但是这个随机8位数.dll文件，冰刃删除不掉，插入到冰刃进程了，那个11.exe就是冰刃的。有什么好的办法可以删除的？
  我看他们说有个用冰刃点右键卸载模块的，首先还没有学会呀，再次插入到好多进程的，卸载也很麻烦吧。
  那你可不可以说一下，如何卸载的，最好截图上来。学习学习。