瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » Ravdm.exe的查杀
baohe - 2006-8-28 16:52:00
这是木马wdm.exe的一个变种。除了将原来的驱动文件名ksld.sys改为Rinld.sys(图1)之外,其它行为基本不变。但瑞星18.42仍不报毒。


查杀流程:
1、断开网络。删除其启动项(图2)。
2、关闭QQ。取消QQ随系统加载启动(图3)。
3、删除另一个加载项(图4)。
4、重启系统。
5、删除木马文件(图5)。
6、恢复TIMPlatform.exe的正常文件名(图6)。





图1

附件: 1558472006828164413.jpg
baohe - 2006-8-28 16:53:00
图2

附件: 1558472006828164507.jpg
baohe - 2006-8-28 16:53:00
图3

附件: 1558472006828164542.jpg
baohe - 2006-8-28 16:54:00
图4

附件: 1558472006828164617.jpg
baohe - 2006-8-28 16:54:00
图5

附件: 1558472006828164647.jpg
baohe - 2006-8-28 16:55:00
图6

附件: 1558472006828164717.jpg
甛甛圏οo - 2006-8-28 16:55:00
谢谢~~
掺水的酒 - 2006-8-28 16:56:00
。。。万分感谢。。
诶。。昨天早点知道就不用重装系统了。
看世间林林总总 - 2006-8-28 16:57:00
顶哦,高手就是不一般.
westbeck - 2006-8-28 16:59:00
学习了,最近中这病毒的很多
猫叔可以把这帖子置顶吗?
dady欢欢 - 2006-8-28 17:01:00
呵呵,好帖子
甛甛圏οo - 2006-8-28 17:10:00
楼主~~我这样删对吗?第一次手动对付这样的病毒,紧张~~那个Rinld在 系统文件夹里不是一个隐藏文件,我没有删错吧?

附件: 7334202006828170216.bmp
baohe - 2006-8-28 17:12:00
引用:
【甛甛圏οo的贴子】楼主~~我这样删对吗?第一次手动对付这样的病毒,紧张~~那个Rinld在 系统文件夹里不是一个隐藏文件,我没有删错吧?
………………

正确!
祝贺一下!!

甛甛圏οo - 2006-8-28 17:13:00
斑竹~~我这样删对吗?第一次手动删这样的病毒,紧张ING~~那个Rinld文件在系统文件夹里不是隐藏属性的文件,我没有删错吧?

附件: 7334202006828170531.bmp
甛甛圏οo - 2006-8-28 17:14:00
嘿嘿~~偷着乐了~~赶紧完成最后一步~~
偶的天黑黑 - 2006-8-28 17:17:00
斑竹
顺便问一下..
中这个木马的症状!!
天堂精灵 - 2006-8-28 17:21:00
删除这个木马需不需要先下载其他工具的啊?
baohe - 2006-8-28 17:23:00
引用:
【天堂精灵的贴子】删除这个木马需不需要先下载其他工具的啊?
………………

附图——不是都告诉你了吗。
用SREng。网上可以找到这个工具。
甛甛圏οo - 2006-8-28 17:25:00
中了这个毒,玩QQ游戏的时候,瑞星有提示病毒,可是杀不了,用木马杀毒也查不出来的
天堂精灵 - 2006-8-28 17:27:00
顺便问一下没一项都在哪里找?例如图2,3,4都是在哪里找到的?因为我还是个菜鸟,所以找这些还是困难一点.
yessky - 2006-8-28 17:29:00
谢谢!
甛甛圏οo - 2006-8-28 17:39:00
图2、3的工具“下载 System Repair Engineer,使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
” 

这个以前发帖子求助的时候,别人告诉我的,前面那个网页里没找到,后面那个网页是可以直接下载的
甛甛圏οo - 2006-8-28 17:41:00
图4是  XP系统的,“开始—运行,输入 regedit ”就可以打开XP自己带的注册表编辑器了,其他系统的不知道怎么打开
甛甛圏οo - 2006-8-28 17:44:00
处决了病毒~~~心里的石头"扑通"一下掉了,谢谢斑竹
天堂精灵 - 2006-8-28 17:46:00
斑竹请问一下图4在哪里找?
天堂精灵 - 2006-8-28 17:47:00
谢谢甜甜圈姐姐!
baohe - 2006-8-28 17:49:00
引用:
【天堂精灵的贴子】斑竹请问一下图4在哪里找?

………………

点击“开始”、“运行”。键入regedit,按回车。
天堂精灵 - 2006-8-28 17:55:00
我的注册表编辑器看起来不和你们一样,里面只有我的电脑:HKEY CLASSES ROOT,HKEY CURRENT USER,HKEY LOCAL MACHINTE,HKEY USERS,HKEY CURRENT CONFIG这五项我该点哪一项?
baohe - 2006-8-28 18:02:00
引用:
【天堂精灵的贴子】我的注册表编辑器看起来不和你们一样,里面只有我的电脑:HKEY CLASSES ROOT,HKEY CURRENT USER,HKEY LOCAL MACHINTE,HKEY USERS,HKEY CURRENT CONFIG这五项我该点哪一项?
………………

看来你基本没动过注册表!
建议你找个有经验的人帮你。
这里,涉及的注册表分支有两个:
1、HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
依次点击HKEY_LOCAL_MACHINE、Software、Microsoft....
2、HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

依次点击HKEY_CURRENT_USER、Software.....
shazhua - 2006-8-28 19:01:00
斑竹啊,我一开始步骤弄错了,有些文件也没找到,现在都找到了,完全按照你的步骤弄了,重起后注册表病毒文件没了,所有毒文件没了,但是坚控还是红伞,也按照FIX。REG导入注册表了重起还是不行呢
12345
查看完整版本: Ravdm.exe的查杀
© 2000 - 2026 Rising Corp. Ltd.