科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道U盘病毒AutoRun.inf和ravmon.exe的查杀

U盘病毒AutoRun.inf和ravmon.exe的查杀

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

近来学校与寝室AutoRun.inf和ravmon.exe等U盘病毒异常猖狂``引起众人强烈不满

来源:比特网 2009年5月29日

关键字: 病毒查杀 ravmon.exe autorun.inf

  • 评论
  • 分享微博
  • 分享邮件

  近来学校与寝室AutoRun.inf和ravmon.exe等U盘病毒异常猖狂``引起众人强烈不满

  该病毒自动修改注册表,让用户不能查看隐藏文件autorun.inf内容如下

  [AutoRun] open=RavMon.exe shell\open=打开(&O) shell\open\Command=RavMon.exe shell\explore=资源管理器(&X) shell\explore\Command="RavMon.exe -e" 用前些日子的注册表导入结果能正常显示,重起蓝屏

  重装系统再点其他盘又感染,且右键只有打开无auto

  尝试用BAT@echo on

  taskkill /im explorer.exe /f

  taskkill /im wscript.exe

  start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

  start reg import kill.reg

  del c:\autorun.* /f /q /as

  del %SYSTEMROOT%\system32\autorun.* /f /q /as

  del d:\autorun.* /f /q /as

  del e:\autorun.* /f /q /as

  del f:\autorun.* /f /q /as

  del g:\autorun.* /f /q /as

  del h:\autorun.* /f /q /as

  del i:\autorun.* /f /q /as

  del j:\autorun.* /f /q /as

  del k:\autorun.* /f /q /as

  del l:\autorun.* /f /q /as

  start explorer.exe

  删除其病毒文件

  重启如故

  于是用REG导入

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

  "Text"="@shell32.dll,-30501"

  "Type"="radio"

  "CheckedValue"=dword:00000002

  "ValueName"="Hidden"

  "DefaultValue"=dword:00000002

  "HKeyRoot"=dword:80000001

  "HelpID"="shell.hlp#51104"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

  "Text"="@shell32.dll,-30500"

  "Type"="radio"

  "CheckedValue"=dword:00000001

  "ValueName"="Hidden"

  "DefaultValue"=dword:00000002

  "HKeyRoot"=dword:80000001

  "HelpID"="shell.hlp#51105"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

  "Type"="checkbox"

  "Text"="@shell32.dll,-30508"

  "WarningIfNotDefault"="@shell32.dll,-28964"

  "HKeyRoot"=dword:80000001

  "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

  "ValueName"="ShowSuperHidden"

  "CheckedValue"=dword:00000000

  "UncheckedValue"=dword:00000001

  "DefaultValue"=dword:00000000

  "HelpID"="shell.hlp#51103"

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

  @=""

  无效!!查看Ravmon.exe性状如下

  RavMon.exe

  进程文件: RavMon.exe Svchost.exe

  进程名称: Troj_Worm.Novar

  英文描述: N/A

  进程分析:

  瑞星杀毒软件实时监控程序。

  进程位置: 系统目录

  程序用途: VisualBasic写的可通过可移动设备传播的病毒,极具破坏性。

  安全等级 (0-5): 0 (N/A无危险 5最危险)

  间碟软件: 是

  广告软件: 是

  病毒: 是

  木马: 是

  系统进程: 否

  应用程序: 否

  后台程序: 是

  使用访问: 是

  访问互联网: 否

  于是通过开始菜单,运行cmd,到类DOS界面。输入某个盘符,打开它,用dir /a查看所有文件,发现有一个RavMon.exe。瑞星也有个程序叫RavMon.exe,所以很有迷惑性,用attrib看它的属性,如果是SHR属性的,就是病毒了。

  rose病毒也有类似现象,所以如果发现是rose.exe的话,就是rose病毒了,解决办法类似。

  进入安全模式(必须确保是安全模式下,并期间千万不要双击盘符,否则前功尽弃!)

  第一步:

  通过开始菜单,运行regedit打开注册表,选择编辑查找,输入RavMon.exe(如果是rose就是rose.exe),找到键值后删除它,然后按F3,继续查找,把所有的RavMon.exe键值都删除。确保这一点,是为了断了RavMon.exe的根源。

  第二步:

  通过开始菜单,运行cmd,到类DOS界面,进入某个盘,用attrib -h -s -r AutoRun.inf和attrib -h -s -r RavMon.exe来消除这两个文件的隐藏只读特性,然后用del AutoRun.inf和del RavMon.exe来删除它们。之所以要对AutoRun.inf动手的原因是RavMon.exe病毒修改了AutoRun.inf文件,使得你的硬盘打不开了。对每个硬盘都如此操作一边,注意:如果使用过U盘的话,对U盘也要操作!那里面也带了病毒。

  4. 完成:

  重启到正常模式,双击盘符,应该是可以打开了;网上有人说有可能会还打不开,提示你要定位一个什么东西,我没有碰到。有人的方法是这样的:如出现要求你定位某个命令,如DESKTOP.EXE或其它时,运行regedit,选择编辑查找,输入DEKTOP.EXE或其它,找到的第一个就是C盘的自动运行,删除整个shell子键

  最后清除病毒

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章