这两天深受其害 特此贴出来 供大家参考

ravdm.exe

Ravdm.exe Rinld.sys TIMPlatfrom.exe TIMPlatform.exe 解决方案
病毒大小：21,453 字节
加壳方式：FSG
样本MD5：06645da7cf9bd48d724cc6a10feef6e5
关联病毒：
传播方式：通过恶意网站传播，通过其它病毒/木马下载

技术分析
==========

运行后复制自身到%System%\Ravdm.exe，释放驱动%System%\drivers\Rinld.sys。

创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
修改QQ目录下的TIMPlatform.exe，将TIMPlatform.exe改名为TIMPlatfrom.exe，复制病毒文件到TIMPlatform.exe以替换原来正常的TIMPlatform.exe，使得QQ运行时病毒也会被激活。

清除步骤
==========

1. 删除病毒文件：
%System%\Ravdm.exe
%System%\drivers\Rinld.sys

2. 删除病毒创建的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="%System%\Ravdm.exe"
3. 删除QQ目录下的TIMPlatform.exe，将TIMPlatfrom.exe改名为TIMPlatform.exe

木马病毒wdm.exe的一个变种清除方法

木马病毒wdm.exe的一个变种。将原来的驱动文件名ksld.sys改为了Rinld.sys

病毒文件：
Rinld.sys（C:\WINDOWS\system32\drivers）
Ravdm.exe（C:\WINDOWS\system32）属性隐藏
TIMPlatform.exe（QQ安装目录，木马把原来的改名为TIMPlatfrom.exe）属性隐藏
system.sys（C:\Program Files\Internet Explorer\PLUGINS）
system.jmp（C:\Program Files\Internet Explorer\PLUGINS）
system.bak（C:\Program Files\Internet Explorer\PLUGINS）

解决办法：
1.开机按F8进入安全模式

2.删除病毒文件：
C:\WINDOWS\system32\drivers\Rinld.sys
C:\WINDOWS\system32\Ravdm.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\PLUGINS\system.sys
C:\Program Files\Internet Explorer\PLUGINS\system.jmp
C:\Program Files\Internet Explorer\PLUGINS\system.bak
3.把QQ安装目录的TIMPlatfrom.exe改回原名TIMPlatform.exe（从生成时间可以判断那个是病毒）

4. 删除病毒建立的自启动项：
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
system.sys="c:\program files\internet explorer\plugins\system.sys"
（把system.sys键值删除）
[HKEY_CLASSES_ROOT\CLSID\{C9953583-932E-4EA1-A04B-4523AAB72C30}\InProcServer32]
@="C:\Program Files\Internet Explorer\PLUGINS\system.sys"
（把{C9953583-932E-4EA1-A04B-4523AAB72C30}整个删除）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
Run/KernelFaultCheckC:\WINDOWS\system32\Ravdm.exe
（把Run键值删除）

5. 清空一下文件夹：
C:\Documents and Settings\（用户名）\Local Settings\Temp
C:\windows\ temp

分类无网不胜 | 浏览：400 views | 引用 | Digg It |   分享

这篇文章发表于2006年10月30日 星期一 10:44 pm 。您可以通过订阅 RSS 2.0 跟踪对这篇文章的评论。 您可以滚动到页面下方发表一条评论。Ping 功能目前未启用。

上一篇：知名域名注册商的域名控制面板入口
下一篇：SQL常用基本语句