|
|
马上注册,结识高手,享用更多资源,轻松玩转三维网社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
U盘,MP3内autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog 病毒治理办法(转)
' q1 J/ R' ]" B! _5 X. h9 L; D5 y: Z' b: j, m( @5 C) `
经常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前,各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使电脑中招. ) Z# x) T2 D% I3 B# U+ z+ E$ z
. x, |/ ?9 @9 k D3 c病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog % b+ r3 w, R+ Z" d' }
5 f9 j4 |# S- [' ]
目前主要流行病毒: 记事本病毒,文件夹病毒, 比肩社区病毒toy.exe
5 t [5 E4 x4 h: m5 e- ~; p9 B! {2 x1 {4 o a% o) E3 Z0 C% t
病毒原理:
/ M; h8 P# i$ L; c5 c2 Z
+ ?" d+ I [. Q/ w: T/ m' @U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U
g, O: \. t: V+ I# W盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行,.其文档格式为: h2 v- k" @# _( `9 ^: b
[autorun] " Q: }& C' U& X0 i; q5 W/ d
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe) 2 g5 [! l, }; F# c0 \
icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.) % J% N2 S3 l* K
以toy.exe举例 % H; Q* I3 F1 W. P
[autorun] ' d7 o7 a% e- U$ Y# g; s
open=toy.exe
" \* @. Q; B' H2 B9 i" s: u" a9 f1 |5 p4 A
双击U盘盘符,便激活了toy.exe,从而使电脑中毒,
* n/ ^! D" W9 k f; J- K. Q' T症状是使电脑登陆时使桌面出现蓝色高亮文字诸如"比肩社区使全国……can you fand the program' inner fance" , v5 M4 [( B+ y, \) G; i) @
. G- {3 m4 Z5 }! a0 F x
K' t/ S) L$ e+ h$ e7 f( e% K
【防治】:
8 H/ t+ L( C) e3 f) P步骤1:打开记事本编辑如下:
- F' J! [: b3 u( G7 U: VWindows Registry Editor Version 5.00 5 y7 ?) ]% X# @2 x( m% X, y
% d( E' r' C! C+ I1 B& P3 G7 t[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
( _. J6 V# p' v6 g4 v' F"NoDriveTypeAutoRun"=dword:000000B5
9 u- l5 H: h, `3 d% v[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
! A V$ _$ ^( S9 Y9 o: z) G) _( I"NoDriveTypeAutoRun"=dword:000000B5 " b$ b; Q' Z% _1 p( g% D" z, H( D
" }' q( A7 X! m; D
将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件" % N2 x3 a2 `0 v; i4 d
然后双击此文件将其导入注册表
. s: ?/ z* v" p4 S. W- T+ R Q4 V1 \ |7 D
步骤2: 显示所有文件;(如果已经设置过的可以进入下一步) 7 N- n* l. Y$ C9 q& i9 y6 W) H6 T
我的电脑→工具→文件夹选项→【查看】分页 6 s" ^' f: r& X: H- C
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)” % n8 T% M- R' e3 G
\- }/ M1 `7 i" Y步骤3:删除U盘下的病毒文件autorun.inf、toy.exe ) ~) e7 x9 s# S5 [0 \
【注意】:打开U盘时不能双击盘符,要点鼠标右键,再选打开。
/ b, h: K X, h7 |9 A9 v步骤4:在开始菜单→运行→输入regedit,删除注册表的键值 , E2 w5 B1 p# {& P
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
. X ]' V0 a2 N, @1 {另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
# K1 e0 T6 d. O! A5 D0 w# \/ N打开注册表,在开始菜单→运行→输入regedit,选择查找autorun.inf,找到这一个键值,然后删除就OK了
" m; Y: i2 G" i% ~$ _( _4 Q. C! j, w2 _8 G8 H5 d4 K' q5 ~
其实这些病毒是对盘幅进行传染的,属于跟随鼠标类型的病毒,可对C,D,E,F盘传染!为什么这么说呢!意思就是说当你不点该盘幅,就不会传染(经过本人多次电脑种植与测试得到结论)这里说明两个比较烦人的病毒简单处理办法,但是是可以绝对搞定的办法,9 k. ?+ s( g* {
( W1 `! i9 z, A一,Autorun.inf是最典型的中层病毒!是一个主病毒的第一级执行文件,本身INF是不会称为病毒而被任何一款杀毒软件查杀的!但单纯的在U盘类盘中是有可能杀掉的!要是在其他的盘中就有点麻烦,本人以后在做说明!(看到网上论坛中人在说这个病毒的时候我有点恐慌,你们连他的上一级病毒都不知道是什么还侃侃而谈,真实误人子弟啊!误气,我是直肠子)* @1 P, e/ k: X) g5 a
# \5 X) [- r: r; R" G' B
二,就是RavMonE.exe、RavMonLog是直接病毒,但也是鼠标跟随型的!特说明,该病毒有点是为瑞星做的意思!是一种伪装成瑞星文件的病毒,也是瑞星的客星,一般瑞星监测不到,或是干脆就认为它是自己的XXX~~~,所以用瑞星的用户可能会杀不掉该病毒,或者连用户自己也被骗了!
/ }8 [% G8 G6 N5 i0 t |% Y) S( f* C8 {/ @. A- E
处理办法是清盘不是删掉所有文件,而是格移动硬盘,不然这两个病毒同时在的时候,你的MP3可能瘫痪!不过我没装瑞星,所以RavMonE.exe、RavMonLog所以手动删除就可以了!要是你安了瑞星,打死我你都删不掉! h4 h. I, V! |8 E* C- ?
z- F' O( U8 m- R2 q e3 m本人以学习的态度向各位大侠们学习,所以请看出毛病的人指点!(还有就是现在我已经不在用任何一款杀毒软件杀而是监测,因为现在的病毒太顽固了,还是自己动手杀的干净!)3 F8 J5 V5 h9 `2 n& Z8 L2 U
8 ?! V0 G) P% k/ u& H: H! k. w
. S3 A- G& X A2 Q1 e# B/ S
5 Z: T4 c' |5 @1 e+ h0 S7 @' i' ]% r
# ]6 _: d; V$ s; \D,E,F,等盘双击打不开,右键也不能打开,只能用资源管理器打开
9 S7 @8 V2 R8 [; n4 v! @4 `/ g u9 {. B* L& c4 q8 o9 W
病毒在每个驱动器下都有一个卷标AutoRun.inf文件,只要你双击驱动器,就会激活病毒,我们需要手工来删除AutoRun.inf这个文件,在“命令提示符”下输入“attrib autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性,这样输入“del autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项,找到后将整个shell子键删除,这样C盘就可以打开了,按照同样的方法将其他盘依次也删除即可。 |
|
发表于 2006-10-20 07:27:19