sdmagent30.dll

在网上搜索工具，选择冰纫和Proviewer。

利用Procview的进程监视器发现错误提示的进程是：“RUNDLL32.EXE SADMAGENT30.DLL STARTAGENT”

通过查看发现其父进程为svhost.exe，这个文件是系统文件，主要是提供一些网络服务，难道是木马注入了svhost.exe文件中

进程查看器发现当前进程中有4个svhost.exe，两个由system启动，其他两个分别是localservies和network service,其中一个由system启动的svhost.exe占用内存很多，是其他几个进程的4倍多，将其结束，错误提示不再弹出，问题开始有所转机

分析原因，怀疑是svhost.exe在加载过程中需要加载sdmagent30.dll，但是由于卡巴斯基分析sdmagent30.dll中含有广告程序将其删除，就出现了上述的问题。但是svhost.exe并不是加载的sdmagent30.dll（从注册表中没有搜索到sdmagent30.dll的项目），肯定是加载的另外一个dll，而这个dll要求加载sdmagent30.dll，所有现在的主要问题就是把这个由svhost.exe加载的dll文件找出来。

有了理论，就差证明了。

在网上搜索发现有一款叫超级巡警的进程管理软件功能强大，能够分析出各种进程加载的dll模块文件，下载安装。

启动超级巡警（启动之后就用冰纫禁止了进程的创建，阻止错误提示的不断弹出），选系统检测的标签卡。分析结果出来了，逐条查看，

看见有一项显示的是

进程名称：svchost.exe

id:1528

对应文件：c:\windows\system32\svchost.exe

命令行：c:\window\system32\svchost.exe -k netsvcs

进程描述：service host process是一个标准的动态连接库主机处理服务

模块列表：

               模块名称：wmdmpsp.dll

               对应文件：c:\window\system32\wmdmpmsp.dll

               模块描述：linkmedia acs service module(终于找到了)

               版权：copyrighi ? 2006 Linkmedia tech
 

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

服务管理

名称：wmdmpmsp

状态：运行

类型“自动

显示名称：windows media connect service

描述：使用”通用即插即用“与媒体设备共享媒体。

启动文件路径：c:\window\system32\svchost.exe -k net svcs

映象模块路径：c:\window\system32\wmdmpmsp.sll

^_^，终于找到了。将这个服务禁用（但是电脑会没有声音了），wmdmpmsp.dll文件删除，注册表中所有有关wmdmpmsp.dll文件的项目删除。

重启，问题解决！