专杀列表认领2
本帖最后由 CuteK 于 2009-7-8 16:35 编辑认领人: 引擎组认领
时间: 1周 本帖最后由 CuteK 于 2009-7-8 14:50 编辑
一、这几天,我的机器里感染了MDM.exe(不是小写的mdm.exe,小写的是正常程序)和RavMon.exe(这是冒充瑞星杀毒的文件名)病毒。我装的金山毒霸能检测出,但杀不掉,我装的另一个软件木马克星启动不了,并且如.果把查看文件类型的选项改为“显示所有类型的文件名”,则病毒会自动地改为隐藏系统文件。
二、上网查了一下,确实很难清除,也有几种方法,但说得不清楚,只好自己想办法了。
三、感染这种病毒后,在我的机上,病毒要在各个驱动器上,根目录下,分别建立几个文件,
AutoRun.inf,RavMon.exe,特别是软驱,一会儿读一下盘,在C盘的Windows文件夹下,还有一个MDM.exe
的文件,这些文件,都标识为只读文件,如果修改.文件属性后,改变其中的内容,存盘后,则过一会,病毒会自动地进行修复。
四、我先打开regedit,查找其中的RavMon,把这些找到的键值全部删除,然后用了一个工具Ultraedit,分别打开在各个盘根目录下的AutoRun.inf,RavMon.exe,把AutoRun.inf的内容全部删除,把RavMon.exe的内容随便删除几.段(它是可执行文件,只要去掉几段,代码就乱了)。
五、但这些被修改.的文件,先不要保存,都在内存中打开,如果保存的话,过一会,病毒会自动修复。然后等软驱灯亮后刚灭,马上关闭Ultraedit,按提示保存全部文件,马上重新启动(实际上我是直接按机箱上的Reset键),等于说是让病毒对于修改后的文件没有修复的时间。
六、机器重新启动后,会有一个提示,说MDM.exe文件的一个指令是错误的(因为上面的步骤中,把它的代码给改掉了),不管它,取消就可以了。然后进入系统,把各个盘根目录下的AutoRun.inf,RavMon.exe,和AutoRun.inf.bak,RavMon.exe.bak(后两种文件是Ultraedit自动保存的),全部删除,还有windows文件夹下的MDM.exe和MDM.exe.bak全部删除。再进入regedit,查找MDM(注意有些含有MDM的键值是正常的,不要去掉)和RavMon的全部键值,删除。重新启动机器。
七、现在机器是正常的了,如果你还能在各个盘的根.下面找到AutoRun.inf,RavMon.exe,那说明病毒没有彻底杀干净,那要再想办法了,看是不是所有的盘的文件都查找没有漏掉。另外,如果一个系统是干净的,那么,在打开连接到机器的U盘、移动硬盘时,直接查看这些盘上的有没有AutoRun.inf,RavMon.exe,如果有的话,直接删除就可以了,病毒不会很快地传染到机器本身上去。
八、在windows目录下,还有一个文件SVCHOST.exe,这个我觉得如果是新装系统的机器,应该没有这个文件,直接删除就可以了,但它可能是一个系统文件,而且在进.程里面会有好几个。很长时间了,我也没有搞清楚它的来历,到底是不.是病毒文件。
九、在系统运行、手工查毒时,可以按Ctrl+Alt+Del,打开进程查看一下,有没有MDM.exe在运行,如果有,则关掉这个进程。
注册表修复
把注册表里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
explore\Advanced\Folder\Hidden\SHOWALL里CheckedValue的值改为1。但仍然不行。后来仔细一看,原来CheckedValue的类型也被改为REG_SZ了。于是我把这项全部删掉,点SHOWALL新建DWORD值,名称为原来的CheckedValue,数据为1。这样才搞定。
很多朋友遇到这种情况修改CheckedValue的值都说不行,这可能忽略了CheckedValue的类型也被删改这一点。
然后打开除C盘之外的其它盘(点击右键打开),根目录下是不是存在autorun.inf 和一个隐藏的可执行文件,注意,这两个文件也是隐藏的。你改了资源管理器的显示后应该能看到,除非你又刷新了文件显示。另外一个方法是看看任务管理器中有否该可执行文件文件,如果有的话,这是中了病毒。这个病毒是通过移动存储设备传播的。另外一种病毒就是rose.exe病毒,也通过移动存储设备传播。 本帖最后由 CuteK 于 2009-7-10 14:56 编辑
专杀程序代码和文档:密码 killed
可参考该包的内的格式
页:
[1]