【超凡博俗 之 数码人生】

今天一个朋友告知我他的电脑出现一个烦人的错误信息，那就是每次开机后会跳出一个找不到“C:\WINDOWS\system32\SdmAgent23.dll”的错误信息窗口。回答“确定”后不到几秒钟又会重复出现。

初步判断是中了病毒。下面是我解决的一些步骤：

首先，了解何时出现这种情况。原 来我的朋友最近一直用非管理员权限的用户在使用这台电脑（自从我给他提出这个建议后），不久前他需要使用管理员权限登陆电脑去修改时间设置，改完时间后就 出现了这个情况。而当我使用两种不同权限的用户登陆他的电脑时，发现区别是他电脑的防病毒软件McAfee会在管理员登陆时显出一些要求清除可能妨害性病 毒文件的提示。因为McAfee已经侦查到 SdmAgent23.dll（以及 SdmAgent20.dll 和其他类型文件）的病毒性，并要求 Remove。我想就是因为我朋友按照 McAfee 的提示清除了这个文件，以至于产生了这样的一个错误信息。

第二步，找出错误的源头。那 是什么原因，或什么样的其他文件在调用这个 sdmagent23.dll 文件呢？经过 gooogle 搜索，发现有可能是 C:\WINDOWS\system32\CASs.dll 在作怪。同时再次用 McAfee 查毒, McAfee 诊断 CASs.dll 同样也是 PUP病毒 的可疑文件。查了一下这个文件的属性，没有任何公司的信息，可以知道至少这不是微软的系统文件。

第三步，初步杀毒。决 定清除这害虫文件。用 McAfee 试了一下杀毒，但却得到 Acess Denied 的错误信息。自己亲自到　Ｗindows 文件夹里找到这文件（它是隐藏的系统文件类型，所以你必须开启浏览隐藏文件的选项），然后准备删除，可以系统告诉我这个文件要么是被保护，要么我没有权限 删除，要么这个文件正在被使用。我检查了这个文件权限，发现管理员是可以删除的，而且它也没有被写保护。所以，最大的可能就是已经被系统调用了。

第四步，深入地找出病毒源头。打 开任务栏，找不到可疑的流程 （processes）。使用 run –> msconfig ，也发现没有什么可疑的开始任务文件。再用 run –> regedit –> Current User –> System –> Software –> Microsoft –> Windows –> Current .. –> Run， 也没有发现什么可疑的初始调用文件。下一步就是用搜索功能，在 regedit 里一搜索 CASs.dll 却有了新的发现。因为我竟然在 Windows Service 栏里找到了这个文件。这表示这个可恶的病毒文件藏在视窗系统的 services 里面。

马上打开 控制面板 control panel，进到 Windows Services 面板里找已经开启的 windows services 来判断哪些是可疑的感染服务文件。本来以为会花一大段时间来寻找，但没想到十分容易就找到了两个可疑的 service ：那是因为我朋友的计算机是英文视窗，但这病毒来自中国，所以整个面板里就这两个服务是中文描述（虽然他们做得很像真的 Windows 里的 services)。我打开他们的属性，发现竟然他们指向同一个系统文件（再一次证明可疑性）。在这里，他们一个伪装是 spectrum monitor，另一个是 netmeeting monitor。只是可惜我不能从这里直接将他们 disable 掉。每次我将他们改掉启动的属性（从 Automatic 变成 disabled），不到几秒钟，他们又自动改回来了。看来我得想想其他办法了。

终结篇：安全模式删除“病毒”文件。看来这两个 windows services 还是与我上面想到的 CASs.dll 文件有关。所以我决定还是把它先除掉再说。我第一想到的是利用视窗的安全模式。

所 以，关机重起，在视窗 Windows XP 启动画面出来前按 F2 或 F12 （取决你计算机的厂商），然后选择 Safe Mode with DOS Prompt - 安全模式并有DOS界面。因为是安全模式，Windows 只启动微软自己必须的 services，所以后来被这病毒安装的就没有机会启动了。当然，在 DOS 里这CASs.dll 也没有那么轻易就投降了。刚开始用 dir 命令还没有找到它，想起它是隐藏文件，就用了个 dir /a 命令，找到后，同样用 del CASs.dll /A 命令将它成功地干掉了！最后一步就是再次回到控制面板关掉刚才所说的那两个服务 windows services。

快速总结：

1，确定问题文件，确认 CASs.dll 的存在。

2，重起电脑，进入安全模式。

3，在安全模式的DOS界面，键入

c:\> cd \windows\system32

c:\> dir CASs.dll /a

c:\> del CASs.dll /A

4, 再次重起电脑，然后进入控制面板去关掉可疑 Windows Services。

希望这也能解决你的相类似问题。