- 一、这几天,我的机器里感染了MDM.exe(不是小写的mdm.exe,小写的是正常程序)和RavMon.exe(这是冒充瑞星杀毒的文件名)病毒。我装的金山毒霸能检测出,但杀不掉,我装的另一个软件木马克星启动不了,并且如.果把查看文件类型的选项改为“显示所有类型的文件名”,则病毒会自动地改为隐藏系统文件。
二、上网查了一下,确实很难清除,也有几种方法,但说得不清楚,只好自己想办法了。
三、感染这种病毒后,在我的机上,病毒要在各个驱动器上,根目录下,分别建立几个文件,
AutoRun.inf,RavMon.exe,特别是软驱,一会儿读一下盘,在C盘的Windows文件夹下,还有一个MDM.exe
的文件,这些文件,都标识为只读文件,如果修改.文件属性后,改变其中的内容,存盘后,则过一会,病毒会自动地进行修复。
四、我先打开regedit,查找其中的RavMon,把这些找到的键值全部删除,然后用了一个工具Ultraedit,分别打开在各个盘根目录下的AutoRun.inf,RavMon.exe,把AutoRun.inf的内容全部删除,把RavMon.exe的内容随便删除几.段(它是可执行文件,只要去掉几段,代码就乱了)。
五、但这些被修改.的文件,先不要保存,都在内存中打开,如果保存的话,过一会,病毒会自动修复。然后等软驱灯亮后刚灭,马上关闭Ultraedit,按提示保存全部文件,马上重新启动(实际上我是直接按机箱上的Reset键),等于说是让病毒对于修改后的文件没有修复的时间。
六、机器重新启动后,会有一个提示,说MDM.exe文件的一个指令是错误的(因为上面的步骤中,把它的代码给改掉了),不管它,取消就可以了。然后进入系统,把各个盘根目录下的AutoRun.inf,RavMon.exe,和AutoRun.inf.bak,RavMon.exe.bak(后两种文件是Ultraedit自动保存的),全部删除,还有windows文件夹下的MDM.exe和MDM.exe.bak全部删除。再进入regedit,查找MDM(注意有些含有MDM的键值是正常的,不要去掉)和RavMon的全部键值,删除。重新启动机器。
七、现在机器是正常的了,如果你还能在各个盘的根[url="].[/url]下面找到AutoRun.inf,RavMon.exe,那说明病毒没有彻底杀干净,那要再想办法了,看是不是所有的盘的文件都查找没有漏掉。另外,如果一个系统是干净的,那么,在打开连接到机器的U盘、移动硬盘时,直接查看这些盘上的有没有AutoRun.inf,RavMon.exe,如果有的话,直接删除就可以了,病毒不会很快地传染到机器本身上去。
八、在windows目录下,还有一个文件SVCHOST.exe,这个我觉得如果是新装系统的机器,应该没有这个文件,直接删除就可以了,但它可能是一个系统文件,而且在进[url="].[/url]程里面会有好几个。很长时间了,我也没有搞清楚它的来历,到底是不[url="].[/url]是病毒文件。
九、在系统运行、手工查毒时,可以按Ctrl+Alt+Del,打开进程查看一下,有没有MDM.exe在运行,如果有,则关掉这个进程。
最新回复
yinxiaozhun (2008-5-18 13:03:55)
dragon05 (2008-5-18 18:50:49)
vendor (2008-5-19 08:53:49)
figaro (2008-5-26 20:40:30)
海军基地 (2008-6-01 18:02:03)
dragon05 (2008-6-05 20:18:33)