再见avwgdmn.dll,LYLoadbr.exe,LYLoadar.exe,LYLoador.exe等

原创

PurpleEndurer 2022-12-07 11:21:09 博主文章分类：系统维护 ©著作权

文章标签 service windows xp ci 启动项 文章分类 运维

©著作权归作者所有：来自51CTO博客作者PurpleEndurer的原创作品，请联系作者获取转载授权，否则将追究法律责任

再见avwgdmn.dll,LYLoadbr.exe,LYLoadar.exe,LYLoador.exe等

endurer 原创
2007-11-03 第1版

昨晚，一位网友说他的电脑中的瑞星提示并清除了一些病毒，心里不太放心，让偶再帮忙检查。

把 pe_xscan 传给他扫描 log传回来分析，在 log 发现如下可疑启动项：

/=====
pe_xscan 07-08-30 by Purple Endurer
2007-11-2 22:31:37
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O4 - HKLM/../Policies/Explorer/Run: [MSDWG32] LYLoadbr.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDCG32 ] LYLeador.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDOG32] LYLoador.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDSG32] LYLoadar.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDHG32] LYLoadhr.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDQG32] LYLoadqr.exe

O20 - AppInit_DLLs = avwgdmn.dll
=====/

这些项目我们以前也曾经发现过，如：

遭遇auto.exe,winforms.dll,zinforms.dll,LYLoader.exe,LYLoadbr.exe等/1
http://endurer.bokee.com/6486330.htmljavascript:void(0)
http://blog.nnsky.com/blog_view_207469.html

不过进程、模块中没有发现对应的信息，病毒文件应该都被瑞星杀掉了，我们只要删除残留的启动项就行了。方法如下：

运行瑞星卡卡安全助手，使用 [高级功能] 里的 [系统启动项管理]，先在点击左边的[登录项]，在右边就可以看到以红色显示的的 O4 组的项目了，右击，从弹出的菜单里选择删除。

再点击左边的[应用程序初始化动态链接库]，在右边就可以看到 O20 的项目了，同样是右击，从弹出的菜单里选择删除。