缘起
早上发现没有关机的电脑有些迟钝缓慢
关掉pplive一样 确认不是正常程序占用问题

初步调查
于是启动sreng 查看自启动
发现多达 30个(正常应该只有 3--4项)
无疑是病毒or恶意程序
查看名字 发现一个显眼的 lyloader.exe

搜索知道大概特征
LYodaer.exe 搜索介绍内容略------总之,很贱的东西
网上虽然有一些手动杀毒的,但病毒常变种
未必照葫芦画瓢能搞定啊!还是自己先想想.....


尝试1
在sreng手动关闭自启动 只能关掉 3个
手动找到目录不能全部删除
说明已有正常程序 dll被注入

尝试2
调用 win清理助手
扫描后发现 4个项目 查杀过程中被告知有驱动级病毒 是否重启

注意 到这不能轻易say yes 因为不论什么杀软
都很容易在这个重启动操作中误杀系统有用文件

很怕系统金身不保
因为这时候 恢复备份的安全注册表也没用了已经被注入

考虑
是做ghost回去呢 还是继续尝试?甚至挂断准备重装系统?还是可以自己搞定?
所以有了以下准备

准备1
检查系统盘的关键文档和目录(收藏夹等) 没有备份好的都先备份下
准备2
检查ghost的备份文件是否正常
但不很希望用,因为这个备份太早
准备3
系统盘内的常用软件目录截屏保存
便于万一重装时候恢复到近似

准备完毕继续重启杀毒
重启动系统可以进入系统
但查杀依然有这个病毒残留
并有提示不明加载(不能确认是否病毒)这就看胆量了
要是杀错了 就只有ghost or重装系统了....

重启动两次后 驱动级别查杀依然无效 残留病毒在哪里?怎么冒出来的?
进入 sys32目录
用日期排列刷新 发现没有最近新增文件?
非常奇怪 以前这招手动杀病毒和宿主屡试不爽
而且这个lyLoader.exe病毒 日期是2007.7月的 不可能!?
矛盾出来了 再看看右下日期 果然 被恶意篡改为2000年!

改回正常日期2008.6.8
再次手动删除 并确认tmp中无残留

重启动电脑
sreng中查看 自启动正常 扫描病毒软件扫描系统 无问题

解决.....终于没被破金身 ^_^

历时 近 30分钟
anyway 结果是好的