UC知道邀请邀请崔衍渠老师回答 老师我好像中IGM一类的病毒了
来源:百度知道 编辑:UC知道 时间:2024/06/27 03:32:16
用sreng扫描却发现很多隐藏的启动项
AppInit_DLLs 被更改 ,用强制删除软件删除 一个DLL又会变成另个DLL。
在安全模式下也删除不了
用UNLOCK删除.DLL文件会自动恢复
每次生成的DLL文件的文件名都不一样。
用冰刃也卸除不了EXPLORER.EXE进程里面的非法DLL模块
貌似每个EXE文件都被注入了DLL
曾经在命令行用以下命令禁用IGM.EXE,所以现在的系统进程里面没有IGM
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
杀毒软件和360也根本不管用了
下面是系统扫描报告http://hi.baidu.com/noopyce/blog/item/f01d42ead1715ed0d439c908.html
崔老师麻烦你了
AppInit_DLLs 被更改 ,用强制删除软件删除 一个DLL又会变成另个DLL。
在安全模式下也删除不了
用UNLOCK删除.DLL文件会自动恢复
每次生成的DLL文件的文件名都不一样。
用冰刃也卸除不了EXPLORER.EXE进程里面的非法DLL模块
貌似每个EXE文件都被注入了DLL
曾经在命令行用以下命令禁用IGM.EXE,所以现在的系统进程里面没有IGM
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
杀毒软件和360也根本不管用了
下面是系统扫描报告http://hi.baidu.com/noopyce/blog/item/f01d42ead1715ed0d439c908.html
崔老师麻烦你了
思路
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除文件如下文件, 建议采用xdelbox, 或者 powerRMV等工具。如果提示某文件不存在,请忽略之继续填入下一个直到完成。
C:\WINDOWS\system32\kvdxdma.dll
C:\WINDOWS\system32\JMRaidTool.exe
C:\WINDOWS\system32\mstask.exe
C:\windows\system32\rsmyapm.dll
C:\windows\system32\kawdbzy.dll
C:\windows\system32\avwgbmn.dll
C:\windows\system32\raqjapi.dll
C:\windows\system32\rsjzapm.dll
C:\windows\system32\kaqhczy.dll
C:\windows\system32\avwgdmn.dll
C:\windows\system32\swggbzc.dll
C:\windows\system32\kvmxfma.dll
C:\windows\system32\kapjbzy.dll
c:\com1\com2.dll
C:\windows\system32\avwlcmn.dll
C:\windows\system32\rsmyfpm.dll
C:\windows\system32\rsjzbpm.dll
C:\windows\system32\NinSys74_1.dll
C:&#