|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
U盘,MP3内autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 病毒治理办法(转)
) m: A& h8 c9 m
$ @( k0 \3 V& y8 L5 S1 C经常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前,各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使电脑中招. , j6 E" B( n9 W2 @3 q
2 N* Q" N! v) o% X9 w5 n
病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 8 b+ T9 X! z) ?
$ E! ^8 N$ Z& g; b
目前主要流行病毒: 记事本病毒,文件夹病毒, 比肩社区病毒toy.exe
. x+ @9 o5 O' ~" h0 Z ^: z7 W/ \! Y7 s& t
病毒原理:
& F; X3 M0 h }: H4 N4 b
/ y+ c2 ]$ ?# O) r2 ^4 ?$ o! zU盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U : C) Y( o8 H% a! l
盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行,.其文档格式为:
# r; L z/ o8 ~3 W[autorun] + w" V( C Y, H: Z
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe) 4 p: L+ d" R' `
icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.)
0 d0 U o8 _* x' V以toy.exe举例 ' o! A+ F5 u: T9 p/ r4 f1 N: T
[autorun] h0 U( ] x$ _* {/ m
open=toy.exe . c! B; ^5 C. N, B2 ~3 V) u$ F. [
/ u- W. P' I" P1 x' H: y, N4 B' Q双击U盘盘符,便激活了toy.exe,从而使电脑中毒,
, |6 E8 ^& ]& M症状是使电脑登陆时使桌面出现蓝色高亮文字诸如"比肩社区使全国……can you fand the program' inner fance" 5 R: b0 L3 g, C! i w' K+ _+ b5 u5 y
( w- E, W' @! f; H3 _7 f/ t" l. B% L: d! x: y
【防治】:
2 I: l' s e6 ?步骤1:打开记事本编辑如下: - o% q) \9 Y+ H# w+ t
Windows Registry Editor Version 5.00
0 K+ q) v9 ^+ T/ h
3 L( i5 b1 Q. O) `& M0 `9 a! B[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] ' w' y& Y" e- ?5 x$ U; R6 t
"NoDriveTypeAutoRun"=dword:000000B5
" }& ^* h) ? C- U* I; X% r[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
# h) |+ f1 z5 l% Y# y1 ?% g2 D8 O"NoDriveTypeAutoRun"=dword:000000B5
: t6 V( ?* B# D5 a/ t/ J$ x! h
, ~- J) A- t+ L) _将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件"
h! k( r8 `9 p# N. t然后双击此文件将其导入注册表
; f3 d3 s( E+ A6 ~ h% i* X$ W" I. t8 G' |; R- F$ h
步骤2: 显示所有文件;(如果已经设置过的可以进入下一步) 8 T6 c; B. @* r
我的电脑→工具→文件夹选项→【查看】分页
9 P' O$ l- P) F& n+ p1 h. i勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”
7 C0 }6 w4 y* T4 }; x: O
: o" a c: E' |$ V, h# G步骤3:删除U盘下的病毒文件autorun.inf、toy.exe
( m6 ]- M1 X: D+ l【注意】:打开U盘时不能双击盘符,要点鼠标右键,再选打开。 8 p. C% \% z" R) o1 \
步骤4:在开始菜单→运行→输入regedit,删除注册表的键值
6 }8 V1 x& ~2 q# `8 u; Z# H[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
0 D" g- P! u& T8 ]+ l; |另外,对于如何去掉U盘右键的auto选项,可以采用如下方式. ' d2 ~1 ]/ z. y* C8 c
打开注册表,在开始菜单→运行→输入regedit,选择查找autorun.inf,找到这一个键值,然后删除就OK了3 K T! B. `5 k! y" M# h4 |3 m% Q/ V
9 h& {3 z3 \8 @1 @) `
其实这些病毒是对盘幅进行传染的,属于跟随鼠标类型的病毒,可对C,D,E,F盘传染!为什么这么说呢!意思就是说当你不点该盘幅,就不会传染(经过本人多次电脑种植与测试得到结论)这里说明两个比较烦人的病毒简单处理办法,但是是可以绝对搞定的办法,
9 G# R( k. H* w# ]" r! _- d4 _4 x
一,Autorun.inf是最典型的中层病毒!是一个主病毒的第一级执行文件,本身INF是不会称为病毒而被任何一款杀毒软件查杀的!但单纯的在U盘类盘中是有可能杀掉的!要是在其他的盘中就有点麻烦,本人以后在做说明!(看到网上论坛中人在说这个病毒的时候我有点恐慌,你们连他的上一级病毒都不知道是什么还侃侃而谈,真实误人子弟啊!误气,我是直肠子)
1 F9 l- C$ N8 q3 A
0 C) U+ }( O. g+ x$ R2 [二,就是RavMonE.exe、RavMonLog是直接病毒,但也是鼠标跟随型的!特说明,该病毒有点是为瑞星做的意思!是一种伪装成瑞星文件的病毒,也是瑞星的客星,一般瑞星监测不到,或是干脆就认为它是自己的XXX~~~,所以用瑞星的用户可能会杀不掉该病毒,或者连用户自己也被骗了!
/ D$ S6 o/ i/ ?# w) Y& {- z+ W6 q0 I8 t
处理办法是清盘不是删掉所有文件,而是格移动硬盘,不然这两个病毒同时在的时候,你的MP3可能瘫痪!不过我没装瑞星,所以RavMonE.exe、RavMonLog所以手动删除就可以了!要是你安了瑞星,打死我你都删不掉!
, ?, I, U" m; z- H2 \4 w: l) Q; M$ x" o8 d1 T: m! e6 e
本人以学习的态度向各位大侠们学习,所以请看出毛病的人指点!(还有就是现在我已经不在用任何一款杀毒软件杀而是监测,因为现在的病毒太顽固了,还是自己动手杀的干净!)
; X/ ^; ^) M: D; x
+ D& I8 W0 l$ n5 V3 V( Y. b* q/ x# K0 V: H; F
3 I# B Y: a0 i6 `% c
) x. T9 k% c& i# v/ t2 s* ~
3 Y# W u" y6 c& T- D$ FD,E,F,等盘双击打不开,右键也不能打开,只能用资源管理器打开
2 s+ ^4 e% i6 k1 T" n. ^, E/ ^0 {
$ Z5 v. F$ ^: @+ R+ H9 e9 l病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,我们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除,这样C盘就可以打开了,按照同样的方法将其他盘依次也删除即可。 |
|
发表于 2006-10-20 07:27:19