求大神支招急救:
最近电脑启动后后台出现一个用户进程,名为:rthondwsvc.exe,伪装成系统进程,拥有系统最高权限,无法通过常规手段关闭进程。
此进程会一段时间发起一次远程注入,360卫士会拦截远程注入,但对该进程不报毒、不查杀,认为不是木马、病毒。
用360急救箱查杀无用,同样不查杀。
在电脑重启进入安全模式下,仍无法删除,访问被拒绝。
这个进程文件自动生成在c:\windows\system32\下,360无法删除。用360文件粉碎后,会在system32文件夹下生成一个4-5位数字的备份文件,没有后缀名。这个备份文件在系统重启后仍旧在system32下生成rthondwsvc.exe文件。
这个文件在c:\user\administrator\appdata\local\下生成一个名为wdbcixa的文件夹,这个文件夹有最高权限administrators,administrator无法访问。其中有两个文件叫wdbcixa.exe和nvimstb.exe这两个文件也会发起远程注入。
以上3个文件在注册表中删除无任何作用,仍无法手动删除,主要原因是拥有系统最高权限。
以上问题困扰我数天,无法解决。请论坛中大神帮忙解决,不胜感谢!
|
|
|
|
评论
直达楼层