吊影的博客网

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://simmis.yourblog.org/logs/580828.html

——上午去宏博搞定宿舍。中午去看房子，二室一厅要900，800都不行，没谈成。下午在实验室睡了一觉，不想学习，就把最近处理的一些病毒写一写了。 前段时间不知道突然发什么神经，想看一些电影，就在5q下了一些，不料好多都是夹了零碎儿的，打开的时候狂跳广告，关都来不及。电脑也随之惹了病毒。现象如下： 一开始，在用电脑时， (1)Norton不时跳出Trojan.PWS.QQPass和Trojan.Dropper这两个病毒提示，并且提示是*.exe，*可能是1—6； (2)系统进程里会有1.exe,2.exe,4.exe,5.exe之类的东西出现，在system32和Local setting\temp文件夹里也有类似的东西； (3)XP还有一个“wdfmgr32.exe遇到问题，需要关闭”的提示出现； (4)关闭qq时，会提示一个什么什么内存读写性质之类的东西； (5)在结束某个可以进程，忘了具体了，可能是wdfmgr32.exe时，XP提示“BugReport的数据文件不存在，程序退出”； (6)系统启动后，norton图标显示一小会就不显示了，从开始菜单也不能启动，但进程里显示它是在运行的； (7)c盘根目录下会多出两个文件夹，名字记不清了，里面各一个dll文件，重起后可删除，但会再出现； (8)IE浏览器打开时，总是某个固定的大小。 开始的处理：Trojan.PWS.QQPass和Trojan.Dropper在baidu里倒是一搜一大堆，但是没有能解决问题的。norton似乎只能检测不正常的活动，不能根除。在安全模式下用Kav扫描了硬盘，找到二十几个病毒杀了，但是也没什么大作用。于是只能试着手动找下。把(2)中的那些进程结束，删除相应文件，wdfmgr32.exe也同样处理。当时找到了一些在google里都搜索不到的文件，具体记不清了。有一个是taskman.exe，这个文件在windows下也有一个同名文件，我把system32下的删了。还有netcfgw.dll，netcfgw.exe，msdwm.exe，ativ2evxx.exe等等。system32下隐藏的系统文件，*.com文件，名称很容易混淆的一些exe和dll文件，光标移动到上方没有提示功能的文件，都是值得怀疑的东西。c盘下多出的两个系统文件夹也删了。 一番处理后，当时是没感觉到什么起色的，重启后，现象依旧。不过第二天，莫名其妙发生了一点变化，下面是重点了。现象： <1>norton提示infostealer病毒，还有一个忘记了，但图标可以显示了； <2>同4，qq打开的速度非常之慢,系统很容易死机； <3>同(8),即使不使用IE，进程列表里有几个活动的名为system的IEXPLORER进程，C:\Program Files\Internet Explorer\PLUGINS下多了system.sys和system.jmp两个鬼东西； <4>再一次仔细察看system32时，发现了一个隐藏得系统文件Ravdm.exe，从baidu里知道这个是重点了。 以下介绍Ravdm.exe的处理方法(主要转载至卡卡社区http://forum.ikaka.com/topic.asp?board=28&artid=8156736&page=1一贴,稍有改变)： 先找到System Repair Engineer 2.0.21.505 这个软件，baidu里很容易就找到下载了。 Ravdm.exe是木马wdm.exe的一个变种。除了将原来的驱动文件名ksld.sys改为Rinld.sys（system32\drivers下）之外，其它行为基本不变。 <1>启动System Repair Engineer 2.0.21.505，在启动项目/注册表中找到9，system32\Ravdm.exe一行，去掉勾； <2>取消qq随系统启动，在启动项目/启动文件夹下。如果系统没有这一项的话，可以不管； <3>删除注册表中，HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的load键值； <4>重启系统； <5>分别删除system32\Ravdm.exe, system32\drivers\Rinld.sys,和QQ文件夹下的TIMPlatform.exe； <6>将TIMPlatfrom.exe改为TIMPlatform.exe； <7>删除C:\Program Files\Internet Explorer\PLUGINS下多了system.sys和system.jmp，system32下的wintfm.dll。 这样就ok了。 不过我的系统貌似中毒不浅了，呵呵，有闲空的时候得重装了。 希望有朋友批评指正！谢谢！