西邮贴吧上的“流浪的狗不睡”前几天发了贴《关于病毒 ouvjwsc dtstorp的临时解决方案》，很不幸的我也中了，花了两个小时搞定之。但他的方法我试了，没有效果，所以开个新贴把我的方法说说

怎么回事，这个贴子发了很多次都看不到具体的内容....百度管理员审查了一早上还没好？

试试分开发名称：7位随机字母病毒系统进程：lllgpaw,so
bp
sml，且终止后很快再启动症状：在除系统盘外的盘符下生成autorun.inf和xqwtico.exe两个隐藏文件，打开隐藏文件选项无效，导致主流杀毒软件无法启动，更改时间、传播方法：利用U盘传播，无视右键“打开”也能传播，汗颜~~也有可能导致网络无法连接。

清除方法<一>：*************如果你有用GHOST备份系统，那么请复制下面的文字至记事本，然后保存为123.bat，这里仅列C，D，E三个盘，具体盘符号根据你的电脑而定---------------cd\attrib -s -h -r autorun.infdel autorun.infattrib -s -h -r xqwtico.exedel xqwtico.exed:attrib -s -h -r autorun.infdel autorun.infattrib -s -h -r xqwtico.exedel xqwtico.exee:attrib -s -h -r autorun.infdel autorun.infattrib -s -h -r xqwtico.exedel xqwtico.exe------------------运行该批处理文件，然后直接重启还原系统，完了再改时间就好了

清除方法<二>************1.首先进安全模式（进不了也可以），运行regedit注册表，搜索lllgpaw和sobpsml，把搜到的项目都删除。2.搜索时你会看到好象在[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Image File Execution Options]键值（又或者是\Windows NT\，我删除后记不清了）下有很多文件夹里都有lllgpaw或sobpsml，所以把Image File Execution Options整个删除。确保注册表里再没有上面两项。3.然后将下面的文字保存成123.reg，导入注册表，这样会将病毒进程的启动屏蔽掉

----------------（此为高手微尘所写，我借来一用）Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Control Panel\Desktop] "AutoEndTasks"="1" "HungAppTimeout"="200" "WaitToKillAppTimeout"="200" "WaitTOKillService"="200" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control] "WaitToKillServiceTimeout"="200" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters] "EnablePrefetcher"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDisable"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL] @="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoSharewks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows] "NoPopUpsOnBoot"=dword:00000001 [HKEY_CLASSES_ROOT\lnkfile] @="快捷方式" "EditFlags"=dword:00000001 "NeverShowExt"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}] @="Printers" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer] "Link"=hex:00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters] "EnablePrefetcher"=dword:00000003 [HKEY_USERS\.DEFAULT\Control Panel\Desktop] "FontSmoothing"="2" "FontSmoothingType"=dword:00000002 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "MaxConnectionsPer1_0Server"=dword:00000008 "MaxConnectionsPerServer"=dword:00000008 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control] "WaitToKillServiceTimeout"="1000" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lllgpaw.exe] "Debugger"="c:\\病毒类.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lllgpaw.exe] "Debugger"="c:\\破坏类.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sbopsml.exe] "Debugger"="c:\\病毒类.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sbopsml.exe] "Debugger"="c:\\破坏类.exe"----------------

方法<二>4.再把方法<一>中的bat文件运行一便，重新启动，你的杀毒软件应该就可以运行了。最好是把杀软斜载重装，避免遗留问题。PS：大家不要把U盘里的东西存的太多，文件多了，查杀时间长，也更容易感染。这是一个使用的技巧。

终于发完了，汗啊~~~

注意啊，方法二提到的那个键值一定要是感染了很多病毒的,是windows还是windows NT我记不清了，自己一定要查清楚。不行就删除先备份导出，系统出问题再导入备份

呵呵，应该在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion里面

谢谢了 多多交流

你放个屁,我也顶

我用IceSword删的...

据说这个可以把冰刃挂掉......主流杀软都是安静的死了，我同学的卡巴和我的NOD32。不过有Ghost行了回１２楼，我汗颜啊

冰刃可以干掉这些问题，我昨晚才试的。

用冰刃删时要设置禁止进程创建.那些软件不能用是因为病毒使用了镜象劫持

改个名字就行了.再配合autoruns软件删除被劫持镜象就好了.

预先在每个文件夹里见建一个名为autorun.inf的文件,再用cmd建一个删不掉的文本文件,可以防止很多自动运行病毒

怎么还是删不掉啊，有哪位高手用远程来帮帮我不？谢谢了

我把C盘格了之后，过了不久这个病毒又来了。我真的是无语了。