|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
U盘,MP3内autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 病毒治理办法(转)
- H* Q1 ~! F0 k4 M
1 E9 t! k. K' z经常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前,各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使电脑中招. % T; D# Z; ]9 U% u/ _% p" X
4 z' e9 }, j) b2 R( S2 S& G9 A8 s病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog - r$ v: W' F" u# x, l0 g6 V% a
7 L2 h5 Z' Q* @) C% A
目前主要流行病毒: 记事本病毒,文件夹病毒, 比肩社区病毒toy.exe - C. l- ~$ ]1 E8 X+ X
3 g3 D, X7 k/ V% c7 C- z病毒原理:
5 o! g# O; f5 X o
6 [4 T+ G9 R5 K: s" E/ TU盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U # E7 |; w. y, |; i
盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行,.其文档格式为:
2 `% a* P% k; K" J" S* r[autorun] U; Z7 z A$ l& Z5 v
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe)
+ B% G0 V* ~ y) sicon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.) : |' g- [$ f& [) q7 ?
以toy.exe举例 3 r6 W2 H$ A i0 I3 v% H9 U+ g4 d
[autorun]
, j. r4 @( Z& ^' L0 `1 X# v2 ^open=toy.exe , u6 q! f/ E6 w8 n
6 R$ B! z2 C. c1 r
双击U盘盘符,便激活了toy.exe,从而使电脑中毒, * y( F( m" e' p) j
症状是使电脑登陆时使桌面出现蓝色高亮文字诸如"比肩社区使全国……can you fand the program' inner fance" . O' \4 K, Z9 S9 }
' R5 u8 N* t) R+ b& M4 w- R
+ g/ ^: ]" [! I% p/ c7 z【防治】: ) ?! w8 Z1 f1 Y$ ?2 W" V& b( c
步骤1:打开记事本编辑如下:
/ z& P1 {/ k( K' t! ?Windows Registry Editor Version 5.00
4 T3 b! \7 v0 o3 S) A( w ]% s: I; v9 Y) _
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 1 o! Y0 I2 W8 g, h3 Q
"NoDriveTypeAutoRun"=dword:000000B5
# C. @) i! e9 C, i& x9 Z[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
, ]3 Z# T: s4 I' S9 {9 B# ]* f"NoDriveTypeAutoRun"=dword:000000B5 8 C- y# O i6 o/ r: N' n4 H
' j* @( k$ }5 J- L将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件" ( q/ K3 ]+ `6 O; ]
然后双击此文件将其导入注册表 8 s# R P+ z! |( P
5 S* c9 L+ @ ]* G, A步骤2: 显示所有文件;(如果已经设置过的可以进入下一步) W! c; ^7 q5 c+ m, x4 Z: h
我的电脑→工具→文件夹选项→【查看】分页 9 `6 ?! {: b: q; W, @/ y
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)” 1 ]4 q7 @4 K" ~: m) F
. j0 \. @+ F' b# e. j$ q0 R2 e1 k
步骤3:删除U盘下的病毒文件autorun.inf、toy.exe
" u- K8 O- U* @: L【注意】:打开U盘时不能双击盘符,要点鼠标右键,再选打开。 ) z( b, B+ n, a/ K! @
步骤4:在开始菜单→运行→输入regedit,删除注册表的键值 2 \0 u' Q. }6 {7 k8 k, x2 o
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
B7 [. L& K6 u' R7 Y另外,对于如何去掉U盘右键的auto选项,可以采用如下方式. ) I- O2 ]% q. c! V
打开注册表,在开始菜单→运行→输入regedit,选择查找autorun.inf,找到这一个键值,然后删除就OK了
) n+ P, Q7 F* {' y; j
L# @3 n$ Y7 a4 t* k7 F其实这些病毒是对盘幅进行传染的,属于跟随鼠标类型的病毒,可对C,D,E,F盘传染!为什么这么说呢!意思就是说当你不点该盘幅,就不会传染(经过本人多次电脑种植与测试得到结论)这里说明两个比较烦人的病毒简单处理办法,但是是可以绝对搞定的办法,( F5 e8 z$ o! X: W
2 w$ Z" J+ Z q! Y5 D9 L J4 N
一,Autorun.inf是最典型的中层病毒!是一个主病毒的第一级执行文件,本身INF是不会称为病毒而被任何一款杀毒软件查杀的!但单纯的在U盘类盘中是有可能杀掉的!要是在其他的盘中就有点麻烦,本人以后在做说明!(看到网上论坛中人在说这个病毒的时候我有点恐慌,你们连他的上一级病毒都不知道是什么还侃侃而谈,真实误人子弟啊!误气,我是直肠子)
& x4 w& x% L- y# Y0 J8 }
: c% f# P; m- C: m! b }二,就是RavMonE.exe、RavMonLog是直接病毒,但也是鼠标跟随型的!特说明,该病毒有点是为瑞星做的意思!是一种伪装成瑞星文件的病毒,也是瑞星的客星,一般瑞星监测不到,或是干脆就认为它是自己的XXX~~~,所以用瑞星的用户可能会杀不掉该病毒,或者连用户自己也被骗了!! J3 X: m. n2 C# B# E% I& ~
! A3 n' ^6 o! E
处理办法是清盘不是删掉所有文件,而是格移动硬盘,不然这两个病毒同时在的时候,你的MP3可能瘫痪!不过我没装瑞星,所以RavMonE.exe、RavMonLog所以手动删除就可以了!要是你安了瑞星,打死我你都删不掉!* z' B0 _& ?2 s' i% C% u) [
* ~& {) b/ W( x N o$ b T* Z
本人以学习的态度向各位大侠们学习,所以请看出毛病的人指点!(还有就是现在我已经不在用任何一款杀毒软件杀而是监测,因为现在的病毒太顽固了,还是自己动手杀的干净!)
& H, V' O8 ]% ]$ Y- F+ E: m) U! o5 |, i S# j h. x5 _# p$ m
8 t" R1 B0 F# F( F6 Y
; H0 h- N! l2 d" j
8 A" m4 B1 d( x( x9 P2 v3 |/ u( p/ R( X" s! e! J. `
D,E,F,等盘双击打不开,右键也不能打开,只能用资源管理器打开0 z# j' e4 ]% h0 o2 M( L
3 M/ S/ K" g$ k8 X; U5 ]* V) z. B( A
病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,我们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除,这样C盘就可以打开了,按照同样的方法将其他盘依次也删除即可。 |
|
发表于 2006-10-20 07:27:19