解决电脑开机后时不时跳出"C:\WINDOWS\system32\SdmAgent23.dll"出错找不到指定的模块的问题

今天一个朋友告知我他的电脑出现一个烦人的错误信息,那就是每次开机后会跳出一个找不到“C:\WINDOWS\system32\SdmAgent23.dll”的错误信息窗口。回答“确定”后不到几秒钟又会重复出现。

初步判断是中了病毒。下面是我解决的一些步骤:

首先,了解何时出现这种情况。原 来我的朋友最近一直用非管理员权限的用户在使用这台电脑(自从我给他提出这个建议后),不久前他需要使用管理员权限登陆电脑去修改时间设置,改完时间后就 出现了这个情况。而当我使用两种不同权限的用户登陆他的电脑时,发现区别是他电脑的防病毒软件McAfee会在管理员登陆时显出一些要求清除可能妨害性病 毒文件的提示。因为McAfee已经侦查到 SdmAgent23.dll(以及 SdmAgent20.dll 和其他类型文件)的病毒性,并要求 Remove。我想就是因为我朋友按照 McAfee 的提示清除了这个文件,以至于产生了这样的一个错误信息。


第二步,找出错误的源头。那 是什么原因,或什么样的其他文件在调用这个 sdmagent23.dll 文件呢?经过 gooogle 搜索,发现有可能是 C:\WINDOWS\system32\CASs.dll 在作怪。同时再次用 McAfee 查毒, McAfee 诊断 CASs.dll 同样也是 PUP病毒 的可疑文件。查了一下这个文件的属性,没有任何公司的信息,可以知道至少这不是微软的系统文件。

第三步,初步杀毒。决 定清除这害虫文件。用 McAfee 试了一下杀毒,但却得到 Acess Denied 的错误信息。自己亲自到 Windows 文件夹里找到这文件(它是隐藏的系统文件类型,所以你必须开启浏览隐藏文件的选项),然后准备删除,可以系统告诉我这个文件要么是被保护,要么我没有权限 删除,要么这个文件正在被使用。我检查了这个文件权限,发现管理员是可以删除的,而且它也没有被写保护。所以,最大的可能就是已经被系统调用了。

第四步,深入地找出病毒源头。打 开任务栏,找不到可疑的流程 (processes)。使用 run –> msconfig ,也发现没有什么可疑的开始任务文件。再用 run –> regedit –> Current User –> System –> Software –> Microsoft –> Windows –> Current .. –> Run, 也没有发现什么可疑的初始调用文件。下一步就是用搜索功能,在 regedit 里一搜索 CASs.dll 却有了新的发现。因为我竟然在 Windows Service 栏里找到了这个文件。这表示这个可恶的病毒文件藏在视窗系统的 services 里面。

马上打开 控制面板 control panel,进到 Windows Services 面板里找已经开启的 windows services 来判断哪些是可疑的感染服务文件。本来以为会花一大段时间来寻找,但没想到十分容易就找到了两个可疑的 service :那是因为我朋友的计算机是英文视窗,但这病毒来自中国,所以整个面板里就这两个服务是中文描述(虽然他们做得很像真的 Windows 里的 services)。我打开他们的属性,发现竟然他们指向同一个系统文件(再一次证明可疑性)。在这里,他们一个伪装是 spectrum monitor,另一个是 netmeeting monitor。只是可惜我不能从这里直接将他们 disable 掉。每次我将他们改掉启动的属性(从 Automatic 变成 disabled),不到几秒钟,他们又自动改回来了。看来我得想想其他办法了。

终结篇:安全模式删除“病毒”文件。看来这两个 windows services 还是与我上面想到的 CASs.dll 文件有关。所以我决定还是把它先除掉再说。我第一想到的是利用视窗的安全模式。

所 以,关机重起,在视窗 Windows XP 启动画面出来前按 F2 或 F12 (取决你计算机的厂商),然后选择 Safe Mode with DOS Prompt – 安全模式并有DOS界面。因为是安全模式,Windows 只启动微软自己必须的 services,所以后来被这病毒安装的就没有机会启动了。当然,在 DOS 里这CASs.dll 也没有那么轻易就投降了。刚开始用 dir 命令还没有找到它,想起它是隐藏文件,就用了个 dir /a 命令,找到后,同样用 del CASs.dll /A 命令将它成功地干掉了!最后一步就是再次回到控制面板关掉刚才所说的那两个服务 windows services。

快速总结:

1,确定问题文件,确认 CASs.dll 的存在。

2,重起电脑,进入安全模式。

3,在安全模式的DOS界面,键入

c:\> cd \windows\system32

c:\> dir CASs.dll /a

c:\> del CASs.dll /A

4, 再次重起电脑,然后进入控制面板去关掉可疑 Windows Services。

希望这也能解决你的相类似问题。

Leave a Reply

Your email address will not be published. Required fields are marked *