本文关键词：mdm.exe进程     mdm.exe$ t$ @4 }3 F3 _# V  B% w6 w
6 @1 s$ R3 L9 `3 D: D: Z6 J4 C" `
今天发现一个病毒,金山毒霸查杀不了,只好手动杀了! 0 a" }% D# o$ B6 G) B* G7 l/ G, S+ y

) _; w0 l+ c5 I该病毒发作时,会启动一个叫SVCHOST.EXE的进程.并监视注册表,尝试把这个进程写入启动项内,并且将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
3 l+ `. O" R: G+ u$ w+ o+ G7 c1 r! c' d9 h  F
中的CheckedValue值改为0,致使无法显示所有文件.会往每个分区(包括可移动磁盘)根目录下写入"RavMon.exe"和"AUTORUN.inf"两个文件.会往c:WINDOWS目录下写入SVCHOST.EXE和MDM.EXE两个文件.SVCHOST.EXE进程会监控一旦发现其中任何一项文件被删除会重新写入.

查杀方式: + _, O  q% d. o$ e, W, x' \
$ x$ K9 m. P1 n& p
开机进入安全模式,打开超级兔子,把SVCHOST.EXE进程杀掉,并把相应的启动项删除.进入注册表将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL中的
  \) M# @) k: l$ s8 |% ?/ P0 x5 {* i) v: i- g3 F
CheckedValue值删除,新建一个名为CheckedValue的DWORD值,将值设为1.
, U0 ~5 Y2 O% |3 d+ s1 L3 \2 z+ p+ A/ z
进入"我的电脑",先不要进入任何分区,去掉隐藏"系统文件"上的钩,点选"显示所有文件".再通过地址栏进入C盘,删除根目录下的"AUTORUN.INF"和"RavMon.EXE"文件,删除WINDOWS目录下的SVCHOST.EXE和MDM.EXE.同理删掉其他盘下的"AUTORUN.INF"和"RavMon.EXE",病毒即查杀完毕.

支持， DING
$ `$ W# s! ~) j6 h
+ H6 u2 a6 i7 r. v2 U3 Z0 T謝謝分享 !