好几天没有看看服务器状况了,今天用瑞星扫毒,竟然发现 pclient.kc病毒,已经注入 svchost 和 winlogon,无法清除。模块名: imtjvnor.dll 。
使用swordice查看,确认svchost.exe和winlogon。exe已经加载此模块,强制卸载模块,系统重启。
SYSTEM32下查找此文件,无版本信息,修改时间 2006年3月9日。天哪,一个月了。
安装SSM,运行,提示内存冲突,可能驱动没有加载,重新启动服务器。
重启后添加规则,将imtjvnor.dll 和 imtjvnor.ime加入阻止列表,重新启动,模块依然加载,重试若干次无效,至此陷入僵局。暂停待续。
EDONG网提交问题,进入安全模式删除那两个文件后,杀毒成功。