爱华网这段时间不知道怎么回事,老是遇上讨厌的病毒。
这不我的机器保护者-SYMANTEC又弹出了检测出的病毒框。
老是报“C:WINNTsystem32Driversmodol.sys”受感染,病毒名称是“Infostealer.Lemir”。可是到symantec的网站上看了看,病毒特征好像不一样。
想想发生了什么事???
在弹出病毒发生框之前,出现过一个提示“ravdm”的提示运行失败,我试着window的搜索文件,果然在“C:WINNTsystem32”下查到了此文件“ravdm.exe”。
在网上搜索了相关的查杀方法,原来这是个Ravdm木马病毒,该病毒的主程序为ravdm.exe ,运行后会释放下列文件:
C:WINDOWSsystem32ravdm.exe
C:WINDOWSsystem32driversRinld.sys(我的机器上modol.sys,估计是变种)
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
同时Ravdm.exe病毒在注册表HKey_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun 的路径下创建了一个数值名称为“9”的自启动值。
而且Ravdm.exe依附于原有的自启动QQ程序运行一个QQ,在QQ的目录下多了一个TIMPlatfrom.exe 文件,原来Ravdm.exe木马运行后,会在QQ的目录下生成:TIMPlatfrom.exe、TIMPlatform.exe两个文件,并用其生成的TIMPlatform.exe替换QQ原来的正常文件。
我们可以强行删除
C:WINDOWSsystem32ravdm.exe
C:WINDOWSsystem32driversRinld.sys
C:Program FilesTencentQQTIMPlatfrom.exe
C:Program FilesTencentQQTIMPlatform.exe
这样几个文件。(建议把QQ卸载掉,然后删除其安装目录下所有文件)
通过“regedit”进入注册表,清除如下值:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]<9><C:WINDOWSsystem32Ravdm.exe> [Microsoft Corporation]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows]<load><> []
重新启动机器,用symantec重新搜索了一遍,不再报相关病毒提示了,在硬盘中也搜索不到相关的木马文件,看来是成功清除Ravdm 木马病毒了。:)
我不是很放心,用360安全卫士又查了一下,看看是否对我的系统有恶意修改,结果发现了三个恶意软件:
“U88财富快车 - 危险 - C:WINNTsystem32DLLREG.DLL
雅虎助手&上网助手 - 危险 -
网络实名 - 危险 - C:WINNTdownloaded program files3721”
选择查杀,结果突然一下“蓝屏”了,提示memory dump了。
我强行关机,到安全模式下,又用360进行了同样操作,依然。。。。
看来用360安全卫士是搞不定了。
我根据提示仔细搜索了我机器中带3721、dllreg.DLL的文件和目录,发现除了一个yahoo!目录,确实还存在dllreg.DLL文件,确认这些对于系统是无用文件后,我大胆地删除了它们,同时我搜索了一下注册表,把带有3721和dllreg.dll的条目都进行了删除,然后重新启动计算机。
再次用360安全卫士,依然有以上3个危险提示,我选择查杀,这是不在出现“蓝屏”,以上三个危险清除了。
哈哈,我的机器重新恢复正常了。
