[LINKMEDIA Tech]制造的这个流氓软件,也就是弹出广告,其建立服务的手段不很常见,因而在处理过程中,可能会出现"加载sdmAgent22.dll出错"或其他信息,由于建立服务方式的不多见,运用最新版本的sreng,在思路上会更清晰,下面是简单分析 释放文件: C:\WINDOWS\system32\acss.dll C:\WINDOWS\system32\Nwsapagent.dll C:\WINDOWS\system32\SafeHelper12.dll C:\WINDOWS\system32\sdmAgent22.dll 添加两个系统服务: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] [Spectrum24 Events Monitor / IPRIP] C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\acss.dll [NetMeeting Remote Desktop Agent / Nwsapagent] C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Nwsapagent.dll 添加浏览器加载项 [SafeMe Internet Explorer Helper] [HKEY_CLASSES_ROOT\CLSID\{3AE06CEE-58A6-4F5F-AF89-6C5350842F16}] C:\WINDOWS\system32\SafeHelper12.dll, LINKMEDIA Tech 工作方式: acss.dll和Nwsapagent.dll通过调用系统进程svchost.exe来分别建立系统服务 sdmAgent22.dll调用系统进程rundll32.exe来运行 因为仅仅是建立服务,所以只需要禁用服务,重新启动,删除病毒文件及注册表信息即可,解决明细如下 1、打开注册表编辑器,找到其建立的两个服务,并删除 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] [Spectrum24 Events Monitor / IPRIP] C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\acss.dll [NetMeeting Remote Desktop Agent / Nwsapagent] C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Nwsapagent.dll 2、删除其添加的浏览器加载项 [SafeMe Internet Explorer Helper] [HKEY_CLASSES_ROOT\CLSID\{3AE06CEE-58A6-4F5F-AF89-6C5350842F16}] C:\WINDOWS\system32\SafeHelper12.dll, LINKMEDIA Tech 3、重新启动后,删除其释放的所有文件,如果提示sdmAgent22.dll删除不动,就停止rundll32.exe进程,再删除sdmAgent22.dll |