igw.exe,igm.exe,kvdxsbma.dll,sedrsvedt.exe,sidjazy.dll等木马群的删除指南

煎饼发表于 2007-10-30 00:48:00

思路： 1、关闭系统还原 2.建议使用XDelBox删除以下文件：(XDelBox1.5下载见文尾链接) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。c:\windows\system32\kvdxsbma.dll c:\windows\system32\rsjzbpm.dll c:\windows\system32\kvdxcma.dll c:\windows\system32\ratbfpi.dll c:\windows\system32\avwlbmn.dll c:\windows\system32\kaqhezy.dll c:\windows\system32\kapjbzy.dll c:\windows\system32\sidjazy.dll c:\windows\system32\avwgcmn.dll c:\windows\system32\raqjbpi.dll c:\windows\system32\avzxdmn.dll c:\windows\system32\rarjbpi.dll c:\windows\system32\kawdbzy.dll c:\windows\system32\rsztcpm.dll c:\windows\system32\rsmydpm.dll c:\windows\system32\sidjazy.dll c:\windows\igw.exe c:\windows\igm.exe c:\windows\system32\sedrsvedt.exe3.删除重启后使用SREng修复下面各项：     启动项目－－注册表之如下项删除： [{2D561258-45F3-A451-F908-A258458226D2}]     <C:\WINDOWS\system32\kvdxsbma.dll> [{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}]     <C:\WINDOWS\system32\rsjzbpm.dll> [{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}]     <C:\WINDOWS\system32\kvdxcma.dll> [{66650011-3344-6688-4899-345FABCD1566}]     <C:\WINDOWS\system32\ratbfpi.dll> [{2960356A-458E-DE24-BD50-268F589A56A2}]     <C:\WINDOWS\system32\avwlbmn.dll> [{57D81718-1314-5200-2597-587901018075}]     <C:\WINDOWS\system32\kaqhezy.dll> [{2A321487-4977-D98A-C8D5-6488257545A2}]     <C:\WINDOWS\system32\kapjbzy.dll> [{18847374-8323-FADC-B443-4732ABCD3781}]     <C:\WINDOWS\system32\sidjazy.dll> [{3A1247C1-53DA-FF43-ABD3-345F323A48D3}]     <C:\WINDOWS\system32\avwgcmn.dll> [{24783410-4F90-34A0-7820-3230ACD05F42}]     <C:\WINDOWS\system32\raqjbpi.dll> [{4859245F-345D-BC13-AC4F-145D47DA34F4}]     <C:\WINDOWS\system32\avzxdmn.dll> [{2598FF45-DA60-F48A-BC43-10AC47853D52}]     <C:\WINDOWS\system32\rarjbpi.dll> [{28907901-1416-3389-9981-372178569982}]     <C:\WINDOWS\system32\kawdbzy.dll> [{334345F1-DACF-3452-CB7D-4620F34A1533}]     <C:\WINDOWS\system32\rsztcpm.dll> [{4E32FA58-3453-FA2D-BC49-F340348ACCE4}]     <C:\WINDOWS\system32\rsmydpm.dll> 注意该项修改：把<sidjazy.dll>修改为<>即清空      <C:\WINDOWS\IGW.exe>      <C:\WINDOWS\IGM.exe>     启动项目－－服务－－ Win32服务应用程序之如下项删除：      <C:\WINDOWS\system32\sedrsvedt.exe>4 最后用windows清理助手清理 具体方法可参考<a href="http://hi.baidu.com/teyqiu/blog/item/6dcb7cd91bce21ea39012f8d.html">http://hi.baidu.com/teyqiu/blog/item/6dcb7cd91bce21ea39012f8d.html</a>

煎饼发表于 2007-10-30 00:50:00

前天机器上突然特别慢。无故多了个IGM的进程，且路径为X:\%WINDIR%系统目录下，属性为隐藏，但来是个坏东西。用最新病毒库的360进行查杀。结果如下：路径：C:\WINDOWS\Fonts\gemoand.fon 路径：C:\WINDOWS\system32\rsjzafg.dll 路径：C:\WINDOWS\system32\ratbani.dll 路径：C:\WINDOWS\Fonts\mszhasd.fon 路径：C:\WINDOWS\Fonts\msguasd.fon 路径：C:\WINDOWS\IGM.exe 路径：C:\WINDOWS\Fonts\enhuafx.fon 路径：C:\WINDOWS\system32\rsztafg.dll 路径：C:\WINDOWS\system32\kapjacs.dll 路径：C:\WINDOWS\system32\LYLOADER.EXE 路径：C:\WINDOWS\Fonts\mswuasd.fon 路径：C:\WINDOWS\system32\serdst.exe 路径：C:\WINDOWS\system32\rsjzbsp.exe 路径：C:\WINDOWS\system32\ratbftl.exe 路径：C:\WINDOWS\system32\avwlcst.exe 路径：C:\WINDOWS\system32\kaqhfaz.exe 路径：C:\WINDOWS\system32\kapjbaz.exe 路径：C:\WINDOWS\system32\sidjaaz.exe 路径：C:\WINDOWS\system32\avwgest.exe 路径：C:\WINDOWS\system32\avzxest.exe 路径：C:\WINDOWS\IGW.exe 路径：C:\WINDOWS\system32\rarjbtl.exe 路径：C:\WINDOWS\system32\kawdbaz.exe 路径：C:\WINDOWS\system32\rsmyfsp.exe 路径：C:\WINDOWS\system32\rsjzbpm.dll 路径：C:\WINDOWS\system32\kvdxsdma.dll 路径：C:\WINDOWS\system32\kvdxdma.dll 路径：C:\WINDOWS\system32\raqjcpi.dll 路径：C:\WINDOWS\IGM.exe 路径：C:\WINDOWS\system32\LYLOADER.EXE        这是360查杀的结果。但问题是处理后kvdxema.dll和raqjdpi.dll是不能清除掉的。且注册表中关于它们的键值也不能被修改。都进行了保护。且两个dll都是全局注入当前进程。先手动删除下的不确定项。并且HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下也有被修改。除第一项外统统删除。且第一项值为空。然后用sreng删除不太正常的驱动和服务（关键是我把怀疑的都删除了，没有在意到底是谁做怪，所以不好意思给大家具体不到名字）。再彻底删除kvdxema.dll和raqjdpi.dll和注册表中关于他们的键值。问题解决。

页: [1]

下沙论坛's Archiver

igw.exe,igm.exe,kvdxsbma.dll,sedrsvedt.exe,sidjazy.dll等木马群的删除指南