Ravmon.exe,Trojan.Win32.Agent.abt清除

今天同学让我给他拷贝一份文件,就把他的U盘插入了我电脑的USB上,不料,卡巴报毒Trojan.Win32.Agent.abt,哎~正是学校常见的一个Autorun病毒,可以说学校的病毒已经泛滥,我今天就拿这个病毒的样本来分析一下吧,以后就好解决这个病毒了.下面写出我简单的分析结果~~

Trojan.Win32.Agent.abt病毒为蠕虫病毒。此病毒运行后，衍生病毒文件到C盘根目录下;并在每个逻辑盘符下衍生autorun.inf和病毒文件Ravmon.exe，利用移动设备进行传播；并在注册表中创建启动项;锁定文件夹选项下的“不显示隐藏的文件和文件夹”项，以隐藏病毒文件；由于病毒种类繁多，给用户清理病毒带来极大的不便。

Trojan.Win32.Agent.abt病毒分析

1.病毒运行后会释放以下文件
每个盘符根目录下:Autorun.inf 和 Ravmon.exe
C:\WINDOWS\SVCHOST.EXE
C:\WINDOWS\SVCHOST.INI
C:\WINDOWS\MDM.EXE

2.病毒运行后会修改注册表值

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue]
新建键值：DWORD: 0 (0)
原键值：DWORD: 1 (0x1)
描述：隐藏含有隐藏属性的病毒文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Explorer\Advanced\Hidden]
新建键值：DWORD: 0 (0)
原键值：DWORD: 1 (0x1)
描述：隐藏含有隐藏属性的病毒文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Explorer\Advanced\Hidden]
新建键值：DWORD: 0 (0)
原键值：DWORD: 1 (0x1)
描述：不显示隐藏的文件和文件夹

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Windows\CurrentVersion\Run]
新建键值："SVCHOST"="C:\\WINDOWS\\MDM.EXE"
原键值：无
描述：windows启动时自动启动C:\\WINDOWS\\MDM.EXE这个文件

清除Trojan.Win32.Agent.abt病毒

1.利用attrib 文件(文件夹名) -s -r -h 显示以上病毒所生成的文件

2.删除这些生成后的文件(包括U盘中的病毒文件)

3.重新起动计算机,用安全模式进入系统,更改以上被修改的注册表值

4.病毒清除成功~