|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
U盘,MP3内autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 病毒治理办法(转)
9 _' E; C j& M" e1 k, f; [
% [- d) F! q2 _; m! }经常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前,各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使电脑中招. " B4 U8 `% O$ O9 o1 Q
' {/ A9 T. _8 {- `1 x) z3 ^病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 3 Y! ?- v. E! l8 ^6 W
; W1 d5 v* d, @- f) [& M0 Y
目前主要流行病毒: 记事本病毒,文件夹病毒, 比肩社区病毒toy.exe 6 }. a/ @8 x8 e7 D2 H: G
1 A$ ?) B! p* n; z8 q
病毒原理:
0 A0 X1 k" `. K. Q3 G7 l- U& T( ]' E) }
U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U
1 z. r' @1 a0 O# Q! p盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行,.其文档格式为:
+ j+ L5 W' j3 h' b# p- f9 Z c[autorun] " c6 Z s8 l1 ^: z4 u6 a
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe) v E1 V( L$ O% o8 l
icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.)
' d. r0 p/ b& f" U3 h3 W, t) H以toy.exe举例
2 }7 h# K) [7 }$ T- e[autorun]
: y$ h& _; |' S4 b5 C; jopen=toy.exe
/ ?( Q+ {7 V5 ^+ a! R3 V U0 |* P, `& _6 R ~: {3 I
双击U盘盘符,便激活了toy.exe,从而使电脑中毒, ) Q9 {, e" k& b9 ]) q+ C% D4 z
症状是使电脑登陆时使桌面出现蓝色高亮文字诸如"比肩社区使全国……can you fand the program' inner fance"
- B9 x( B) i$ ]# Q2 _8 t7 {& t& H! _5 ~% F5 z7 @5 s6 w
% e. o7 }3 ?/ } n$ \: O【防治】: ( w; B0 S7 r. f# S
步骤1:打开记事本编辑如下:
) I# L' ?% ]+ \% k( V) Y3 u& a1 mWindows Registry Editor Version 5.00
$ @1 ? j$ j: F, ?- A4 T
" R0 t" q' H) }& {% k0 ~3 H[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
6 n$ C3 v! A8 ?6 u0 c h2 `7 g"NoDriveTypeAutoRun"=dword:000000B5
) I7 @) t3 ^4 A, J. x/ A3 \[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
( k" O9 n& t( i5 m"NoDriveTypeAutoRun"=dword:000000B5 , m! G/ @8 o' ~! t# A- h
8 }- [6 z# |* K7 Q( D% a
将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件" $ F, R! s9 x* K4 u/ u1 D1 z
然后双击此文件将其导入注册表
8 b* s7 Y! d2 _3 Z0 O; @' S, e3 e: C
步骤2: 显示所有文件;(如果已经设置过的可以进入下一步)
, b5 q! t E8 h- Y: I0 \$ K我的电脑→工具→文件夹选项→【查看】分页
, u* q5 p! f' m/ P- e+ Y/ F; }( [) V6 ]; ?勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)” 5 T/ m1 C; O3 b. C
1 w# t+ y% i R4 X2 G步骤3:删除U盘下的病毒文件autorun.inf、toy.exe
' O8 u0 I2 a+ x- A! s【注意】:打开U盘时不能双击盘符,要点鼠标右键,再选打开。 - l1 o. V; R- I. ]$ A; z
步骤4:在开始菜单→运行→输入regedit,删除注册表的键值
' Y9 p; P0 H* e" S4 p3 K& u[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 0 Y! z ]' _2 X( p( w
另外,对于如何去掉U盘右键的auto选项,可以采用如下方式. - {2 e7 m, Q0 o' T, T; J: q0 B
打开注册表,在开始菜单→运行→输入regedit,选择查找autorun.inf,找到这一个键值,然后删除就OK了
% X) S+ J# m& o' }4 E4 ]: i G$ F5 R1 @
其实这些病毒是对盘幅进行传染的,属于跟随鼠标类型的病毒,可对C,D,E,F盘传染!为什么这么说呢!意思就是说当你不点该盘幅,就不会传染(经过本人多次电脑种植与测试得到结论)这里说明两个比较烦人的病毒简单处理办法,但是是可以绝对搞定的办法,, Q5 d Y; Z+ f8 W% d# ?' k
1 K l1 ]8 L0 t: k* L5 o. P/ q' @6 U一,Autorun.inf是最典型的中层病毒!是一个主病毒的第一级执行文件,本身INF是不会称为病毒而被任何一款杀毒软件查杀的!但单纯的在U盘类盘中是有可能杀掉的!要是在其他的盘中就有点麻烦,本人以后在做说明!(看到网上论坛中人在说这个病毒的时候我有点恐慌,你们连他的上一级病毒都不知道是什么还侃侃而谈,真实误人子弟啊!误气,我是直肠子)
& t/ I+ O5 W, R( P5 S3 x
# y" p5 }4 C/ e% f5 U二,就是RavMonE.exe、RavMonLog是直接病毒,但也是鼠标跟随型的!特说明,该病毒有点是为瑞星做的意思!是一种伪装成瑞星文件的病毒,也是瑞星的客星,一般瑞星监测不到,或是干脆就认为它是自己的XXX~~~,所以用瑞星的用户可能会杀不掉该病毒,或者连用户自己也被骗了!, \; y4 m2 r; |8 B
9 H" ~) P( v* {3 P处理办法是清盘不是删掉所有文件,而是格移动硬盘,不然这两个病毒同时在的时候,你的MP3可能瘫痪!不过我没装瑞星,所以RavMonE.exe、RavMonLog所以手动删除就可以了!要是你安了瑞星,打死我你都删不掉!
% @) V- f) d8 I5 d3 l) K1 Z* D0 X8 m) r. C! @
本人以学习的态度向各位大侠们学习,所以请看出毛病的人指点!(还有就是现在我已经不在用任何一款杀毒软件杀而是监测,因为现在的病毒太顽固了,还是自己动手杀的干净!)' M- \' m! {( S: N
* Y9 t' s- V2 u0 v9 a
. D% x! V6 D( J" \- k, @! K- f; V F4 T# G; O0 `
" S: j, A9 s/ r# E" I( ?3 M
# F9 k# Y6 ^: D) i: s* T% ] Z
D,E,F,等盘双击打不开,右键也不能打开,只能用资源管理器打开7 H* M0 W# }( s) q+ J2 {2 |' p
' t4 t5 c7 c6 _& K4 @) |
病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,我们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除,这样C盘就可以打开了,按照同样的方法将其他盘依次也删除即可。 |
|
发表于 2006-10-20 07:27:19