下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2652|回复: 1
打印 上一主题 下一主题

igw.exe,igm.exe,kvdxsbma.dll,sedrsvedt.exe,sidjazy.dll等木马群的删除指南

[复制链接]
  • TA的每日心情
    擦汗
    昨天 08:50
  • 签到天数: 2367 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2007-10-30 00:48:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

    思路:
    1、关闭系统还原
    2.建议使用XDelBox删除以下文件:(XDelBox1.5下载见文尾链接)
    使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

    c:\windows\system32\kvdxsbma.dll
    c:\windows\system32\rsjzbpm.dll
    c:\windows\system32\kvdxcma.dll
    c:\windows\system32\ratbfpi.dll
    c:\windows\system32\avwlbmn.dll
    c:\windows\system32\kaqhezy.dll
    c:\windows\system32\kapjbzy.dll
    c:\windows\system32\sidjazy.dll
    c:\windows\system32\avwgcmn.dll
    c:\windows\system32\raqjbpi.dll
    c:\windows\system32\avzxdmn.dll
    c:\windows\system32\rarjbpi.dll
    c:\windows\system32\kawdbzy.dll
    c:\windows\system32\rsztcpm.dll
    c:\windows\system32\rsmydpm.dll
    c:\windows\system32\sidjazy.dll
    c:\windows\igw.exe
    c:\windows\igm.exe
    c:\windows\system32\sedrsvedt.exe

    3.删除重启后使用SREng修复下面各项:

         启动项目 -- 注册表之如下项删除:
    [{2D561258-45F3-A451-F908-A258458226D2}]     <C:\WINDOWS\system32\kvdxsbma.dll>
    [{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}]     <C:\WINDOWS\system32\rsjzbpm.dll>
    [{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}]     <C:\WINDOWS\system32\kvdxcma.dll>
    [{66650011-3344-6688-4899-345FABCD1566}]     <C:\WINDOWS\system32\ratbfpi.dll>
    [{2960356A-458E-DE24-BD50-268F589A56A2}]     <C:\WINDOWS\system32\avwlbmn.dll>
    [{57D81718-1314-5200-2597-587901018075}]     <C:\WINDOWS\system32\kaqhezy.dll>
    [{2A321487-4977-D98A-C8D5-6488257545A2}]     <C:\WINDOWS\system32\kapjbzy.dll>
    [{18847374-8323-FADC-B443-4732ABCD3781}]     <C:\WINDOWS\system32\sidjazy.dll>
    [{3A1247C1-53DA-FF43-ABD3-345F323A48D3}]     <C:\WINDOWS\system32\avwgcmn.dll>
    [{24783410-4F90-34A0-7820-3230ACD05F42}]     <C:\WINDOWS\system32\raqjbpi.dll>
    [{4859245F-345D-BC13-AC4F-145D47DA34F4}]     <C:\WINDOWS\system32\avzxdmn.dll>
    [{2598FF45-DA60-F48A-BC43-10AC47853D52}]     <C:\WINDOWS\system32\rarjbpi.dll>
    [{28907901-1416-3389-9981-372178569982}]     <C:\WINDOWS\system32\kawdbzy.dll>
    [{334345F1-DACF-3452-CB7D-4620F34A1533}]     <C:\WINDOWS\system32\rsztcpm.dll>
    [{4E32FA58-3453-FA2D-BC49-F340348ACCE4}]     <C:\WINDOWS\system32\rsmydpm.dll>
    注意该项[AppInit_DLLs]修改:把<sidjazy.dll>修改为<>即清空
    [WinSys]     <C:\WINDOWS\IGW.exe>
    [WinSysM]     <C:\WINDOWS\IGM.exe>

         启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
    [Telephotsgoogle / Winownes]     <C:\WINDOWS\system32\sedrsvedt.exe>

    4 最后用windows清理助手清理

    具体方法可参考http://hi.baidu.com/teyqiu/blog/item/6dcb7cd91bce21ea39012f8d.html

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩 转发到微博
  • TA的每日心情
    擦汗
    昨天 08:50
  • 签到天数: 2367 天

    [LV.Master]伴坛终老

    2
     楼主| 发表于 2007-10-30 00:50:00 | 只看该作者
    前天机器上突然特别慢。无故多了个IGM的进程,且路径为X:\%WINDIR%系统目录下,属性为隐藏,但来是个坏东西。用最新病毒库的360进行查杀。结果如下:

    路径:C:\WINDOWS\Fonts\gemoand.fon
    路径:C:\WINDOWS\system32\rsjzafg.dll
    路径:C:\WINDOWS\system32\ratbani.dll
    路径:C:\WINDOWS\Fonts\mszhasd.fon
    路径:C:\WINDOWS\Fonts\msguasd.fon
    路径:C:\WINDOWS\IGM.exe
    路径:C:\WINDOWS\Fonts\enhuafx.fon
    路径:C:\WINDOWS\system32\rsztafg.dll
    路径:C:\WINDOWS\system32\kapjacs.dll
    路径:C:\WINDOWS\system32\LYLOADER.EXE
    路径:C:\WINDOWS\Fonts\mswuasd.fon
    路径:C:\WINDOWS\system32\serdst.exe
    路径:C:\WINDOWS\system32\rsjzbsp.exe
    路径:C:\WINDOWS\system32\ratbftl.exe
    路径:C:\WINDOWS\system32\avwlcst.exe
    路径:C:\WINDOWS\system32\kaqhfaz.exe
    路径:C:\WINDOWS\system32\kapjbaz.exe
    路径:C:\WINDOWS\system32\sidjaaz.exe
    路径:C:\WINDOWS\system32\avwgest.exe
    路径:C:\WINDOWS\system32\avzxest.exe
    路径:C:\WINDOWS\IGW.exe
    路径:C:\WINDOWS\system32\rarjbtl.exe
    路径:C:\WINDOWS\system32\kawdbaz.exe
    路径:C:\WINDOWS\system32\rsmyfsp.exe
    路径:C:\WINDOWS\system32\rsjzbpm.dll
    路径:C:\WINDOWS\system32\kvdxsdma.dll
    路径:C:\WINDOWS\system32\kvdxdma.dll
    路径:C:\WINDOWS\system32\raqjcpi.dll
    路径:C:\WINDOWS\IGM.exe
    路径:C:\WINDOWS\system32\LYLOADER.EXE
           这是360查杀的结果。但问题是处理后kvdxema.dll和raqjdpi.dll是不能清除掉的。且注册表中关于它们的键值也不能被修改。都进行了保护。且两个dll都是全局注入当前进程。先手动删除[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的不确定项。并且HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下也有被修改。除第一项外统统删除。且第一项值为空。然后用sreng删除不太正常的驱动和服务(关键是我把怀疑的都删除了,没有在意到底是谁做怪,所以不好意思给大家具体不到名字)。再彻底删除kvdxema.dll和raqjdpi.dll和注册表中关于他们的键值。问题解决。

    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表