LYLeador.exe木马群的清除及总结

abc276527855

具体问题具体分析。如下为本问题的解决方案 请仔细阅读，看懂后操作。

进行如下操作前，请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除文件如下文件， 建议采用xdelbox, 或者 powerRMV等工具。如果提示某文件不存在，请忽略之继续填入下一个直到完成。
C:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
h:\autorun.inf
C:\auto.exe
d:\auto.exe
e:\auto.exe
f:\auto.exe
h:\auto.exe
C:\WINDOWS\system32\lyloadqr.exe
C:\WINDOWS\system32\lyloadhr.exe
C:\WINDOWS\system32\lyloadmr.exe
C:\WINDOWS\system32\lyloadar.exe
C:\WINDOWS\system32\lyloador.exe
C:\WINDOWS\system32\lyleador.exe
C:\WINDOWS\system32\lyloadbr.exe
C:\WINDOWS\system32\lyloader.exe
c:\windows\919331l.exe
c:\windows\919331m.exe
c:\windows\system32\214964d.exe

3、重启后 用工具SRENG操作如下

    启动项目 －－ 注册表之如下项删除：
[MSDQG32]    <LYLoadqr.exe>
[MSDHG32]    <LYLoadhr.exe>
[MSDMG32]    <LYLoadmr.exe>
[MSDSG32]    <LYLoadar.exe>
[MSDOG32]    <LYLoador.exe>
[MSDCG32    ]    <LYLeador.exe>
[MSDWG32]    <LYLoadbr.exe>
[MSDEG32]    <LYLoader.exe>
[WinSysW]    <C:\WINDOWS\919331L.exe>
[WinSysM]    <C:\WINDOWS\919331M.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[FDAC6593 / FDAC6593][Stopped/Auto Start]
<C:\WINDOWS\system32\214964D.EXE -k><>

4 最后用windows清理助手或者金山清理专家等工具清理 。修改系统的时间为正常即可。


总结

LYLeador.exe这个木马群的一个特点：大量的注册表启动项，利用autorun.inf加载各盘根目录下的auto.exe。伴随一个8随机字符类似本案的214964D.EXE的服务项，类型为Auto Start。修改系统时间为2005年，使依靠时间判别的杀软如卡巴等失效。虽然没啥技术含量，不过从求助者的数量来看，这个木马群的中招者很多。。。。。。
=============================================================================


我帮同学搞过一次这个木马。先用windows清理助手，然后使用卡巴扫描关键区域。最后手动删除对应注册表启动项，再删除各个盘符下的自动配置文件和指向木马。崔衍渠专家的帖子更为具体，转出来分享。