前天機器上突然特別慢。無故多了個IGM的進程,且路徑爲X:\%WINDIR%系統目錄下,屬性爲隱藏,但來是個壞東西。用最新病毒庫的360進行查殺。結果如下:
路徑:C:\WINDOWS\Fonts\gemoand.fon
路徑:C:\WINDOWS\system32\rsjzafg.dll
路徑:C:\WINDOWS\system32\ratbani.dll
路徑:C:\WINDOWS\Fonts\mszhasd.fon
路徑:C:\WINDOWS\Fonts\msguasd.fon
路徑:C:\WINDOWS\IGM.exe
路徑:C:\WINDOWS\Fonts\enhuafx.fon
路徑:C:\WINDOWS\system32\rsztafg.dll
路徑:C:\WINDOWS\system32\kapjacs.dll
路徑:C:\WINDOWS\system32\LYLOADER.EXE
路徑:C:\WINDOWS\Fonts\mswuasd.fon
路徑:C:\WINDOWS\system32\serdst.exe
路徑:C:\WINDOWS\system32\rsjzbsp.exe
路徑:C:\WINDOWS\system32\ratbftl.exe
路徑:C:\WINDOWS\system32\avwlcst.exe
路徑:C:\WINDOWS\system32\kaqhfaz.exe
路徑:C:\WINDOWS\system32\kapjbaz.exe
路徑:C:\WINDOWS\system32\sidjaaz.exe
路徑:C:\WINDOWS\system32\avwgest.exe
路徑:C:\WINDOWS\system32\avzxest.exe
路徑:C:\WINDOWS\IGW.exe
路徑:C:\WINDOWS\system32\rarjbtl.exe
路徑:C:\WINDOWS\system32\kawdbaz.exe
路徑:C:\WINDOWS\system32\rsmyfsp.exe
路徑:C:\WINDOWS\system32\rsjzbpm.dll
路徑:C:\WINDOWS\system32\kvdxsdma.dll
路徑:C:\WINDOWS\system32\kvdxdma.dll
路徑:C:\WINDOWS\system32\raqjcpi.dll
路徑:C:\WINDOWS\IGM.exe
路徑:C:\WINDOWS\system32\LYLOADER.EXE
這是360查殺的結果。但問題是處理後kvdxema.dll和raqjdpi.dll是不能清除掉的。且註冊表中關於它們的鍵值也不能被修改。都進行了保護。且兩個dll都是全局注入當前進程。先手動刪除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的不確定項。並且HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下也有被修改。除第一項外統統刪除。且第一項值爲空。然後用sreng刪除不太正常的驅動和服務(關鍵是我把懷疑的都刪除了,沒有在意到底是誰做怪,所以不好意思給大傢俱體不到名字)。再徹底刪除kvdxema.dll和raqjdpi.dll和註冊表中關於他們的鍵值。問題解決。
