mdm查杀技巧：手工清除病毒mdm.exe和RavMon.exe

　　一、这几天，我的机器里感染了MDM.exe(不是小写的mdm.exe，小写的是正常程序)和RavMon.exe(这是冒充瑞星杀毒的文件名)病毒。我装的金山毒霸能检测出，但杀不掉，我装的另一个软件木马克星启动不了，并且如.果把查看文件类型的选项改为“显示所有类型的文件名”，则病毒会自动地改为隐藏系统文件。

　　二、上网查了一下，确实很难清除，也有几种方法，但说得不清楚，只好自己想办法了。

　　三、感染这种病毒后，在我的机上，病毒要在各个驱动器上，根目录下，分别建立几个文件，

　　AutoRun.inf，RavMon.exe，特别是软驱，一会儿读一下盘，在C盘的Windows文件夹下，还有一个MDM.exe

　　的文件，这些文件，都标识为只读文件，如果修改.文件属性后，改变其中的内容，存盘后，则过一会，病毒会自动地进行修复。

　　四、我先打开regedit，查找其中的RavMon，把这些找到的键值全部删除，然后用了一个工具Ultraedit，分别打开在各个盘根目录下的AutoRun.inf，RavMon.exe，把AutoRun.inf的内容全部删除，把RavMon.exe的内容随便删除几.段(它是可执行文件，只要去掉几段，代码就乱了)。

　　五、但这些被修改.的文件，先不要保存，都在内存中打开，如果保存的话，过一会，病毒会自动修复。然后等软驱灯亮后刚灭，马上关闭Ultraedit，按提示保存全部文件，马上重新启动(实际上我是直接按机箱上的Reset键)，等于说是让病毒对于修改后的文件没有修复的时间。

　　六、机器重新启动后，会有一个提示，说MDM.exe文件的一个指令是错误的(因为上面的步骤中，把它的代码给改掉了)，不管它，取消就可以了。然后进入系统，把各个盘根目录下的AutoRun.inf，RavMon.exe，和AutoRun.inf.bak，RavMon.exe.bak(后两种文件是Ultraedit自动保存的)，全部删除，还有windows文件夹下的MDM.exe和MDM.exe.bak全部删除。再进入regedit，查找MDM(注意有些含有MDM的键值是正常的，不要去掉)和RavMon的全部键值，删除。重新启动机器。

　　七、现在机器是正常的了，如果你还能在各个盘的根.下面找到AutoRun.inf，RavMon.exe，那说明病毒没有彻底杀干净，那要再想办法了，看是不是所有的盘的文件都查找没有漏掉。另外，如果一个系统是干净的，那么，在打开连接到机器的U盘、移动硬盘时，直接查看这些盘上的有没有AutoRun.inf，RavMon.exe，如果有的话，直接删除就可以了，病毒不会很快地传染到机器本身上去。

　　八、在windows目录下，还有一个文件SVCHOST.exe，这个我觉得如果是新装系统的机器，应该没有这个文件，直接删除就可以了，但它可能是一个系统文件，而且在进.程里面会有好几个。很长时间了，我也没有搞清楚它的来历，到底是不.是病毒文件。

　　九、在系统运行、手工查毒时，可以按Ctrl+Alt+Del，打开进程查看一下，有没有MDM.exe在运行，如果有，则关掉这个进程。