彻底解决一个颇能迷惑人的木马wdm.exe

看网友日志时发现其中一个启动项可疑：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run][Microsoft Corporation]
印象中C:\WINDOWS\system32\目录下没wdm.exe这么个程序啊。于是向提问者索要样本。
//本文来自电脑软硬件应用网www.45its.com
收到样本后看了一下其版本信息（图1），第一眼并没看出什么异样。

找个真正的微软程序，打开版本信息比较一下（图2）——马脚露出来了！

在桌面打开运行后，这个wdm.exe释放下列文件：
C:\WINDOWS\system32\wdm.exe
C:\WINDOWS\system32\drivers\ksld.sys
C:\Program Files\Tencent\QQ\TIMPlatfrom.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
添加注册表项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<> []

重启系统后发现ksld.sys通过wdm.exe加载；ADSL虚拟拨号程序自动运行。此后，用户每进行一步操作，进程列表中增加一个iexplore.exe进程（尽管此时并未打开IE浏览器）。用SSM禁止iexplore.exe运行，无效！（图3）。

查看MD5发现：wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe是同一个程序。原来QQ里面的正常TIMPlatform.exe已不复存在！（图4）。

杀毒流程：
1、用SSM禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载。
2、重启。删除上述文件。清理注册表。
3、卸载QQ重新安装。

电脑软硬件应用网站长友情提醒:如果先关闭SSM，运行这只木马，再运行SSM时——报错：SSM的驱动没有加载。重启系统，SM才能正常运行。看来，这马还有点儿意思！

搜索

彻底解决一个颇能迷惑人的木马wdm.exe