U盘病毒AutoRun.inf和ravmon.exe的查杀

　　近来学校与寝室AutoRun.inf和ravmon.exe等U盘病毒异常猖狂``引起众人强烈不满

　　该病毒自动修改注册表，让用户不能查看隐藏文件autorun.inf内容如下

　　[AutoRun] open=RavMon.exe shell\open=打开(&O) shell\open\Command=RavMon.exe shell\explore=资源管理器(&X) shell\explore\Command="RavMon.exe -e" 用前些日子的注册表导入结果能正常显示，重起蓝屏

　　重装系统再点其他盘又感染，且右键只有打开无auto

　　尝试用BAT@echo on

　　taskkill /im explorer.exe /f

　　taskkill /im wscript.exe

　　start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

　　start reg import kill.reg

　　del c:\autorun.* /f /q /as

　　del %SYSTEMROOT%\system32\autorun.* /f /q /as

　　del d:\autorun.* /f /q /as

　　del e:\autorun.* /f /q /as

　　del f:\autorun.* /f /q /as

　　del g:\autorun.* /f /q /as

　　del h:\autorun.* /f /q /as

　　del i:\autorun.* /f /q /as

　　del j:\autorun.* /f /q /as

　　del k:\autorun.* /f /q /as

　　del l:\autorun.* /f /q /as

　　start explorer.exe

　　删除其病毒文件

　　重启如故

　　于是用REG导入

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"Text"="@shell32.dll,-30501"

　　"Type"="radio"

　　"CheckedValue"=dword:00000002

　　"ValueName"="Hidden"

　　"DefaultValue"=dword:00000002

　　"HKeyRoot"=dword:80000001

　　"HelpID"="shell.hlp#51104"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"Text"="@shell32.dll,-30500"

　　"Type"="radio"

　　"CheckedValue"=dword:00000001

　　"ValueName"="Hidden"

　　"DefaultValue"=dword:00000002

　　"HKeyRoot"=dword:80000001

　　"HelpID"="shell.hlp#51105"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

　　"Type"="checkbox"

　　"Text"="@shell32.dll,-30508"

　　"WarningIfNotDefault"="@shell32.dll,-28964"

　　"HKeyRoot"=dword:80000001

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"ValueName"="ShowSuperHidden"

　　"CheckedValue"=dword:00000000

　　"UncheckedValue"=dword:00000001

　　"DefaultValue"=dword:00000000

　　"HelpID"="shell.hlp#51103"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

　　@=""

　　无效!!查看Ravmon.exe性状如下

　　RavMon.exe

　　进程文件: RavMon.exe Svchost.exe

　　进程名称: Troj_Worm.Novar

　　英文描述: N/A

　　进程分析:

　　瑞星杀毒软件实时监控程序。

　　进程位置: 系统目录

　　程序用途: VisualBasic写的可通过可移动设备传播的病毒，极具破坏性。

　　安全等级 (0-5): 0 (N/A无危险 5最危险)

　　间碟软件: 是

　　广告软件: 是

　　病毒: 是

　　木马: 是

　　系统进程: 否

　　应用程序: 否

　　后台程序: 是

　　使用访问: 是

　　访问互联网: 否

　　于是通过开始菜单，运行cmd，到类DOS界面。输入某个盘符，打开它，用dir /a查看所有文件，发现有一个RavMon.exe。瑞星也有个程序叫RavMon.exe，所以很有迷惑性，用attrib看它的属性，如果是SHR属性的，就是病毒了。

　　rose病毒也有类似现象，所以如果发现是rose.exe的话，就是rose病毒了，解决办法类似。

　　进入安全模式(必须确保是安全模式下，并期间千万不要双击盘符，否则前功尽弃!)

　　第一步：

　　通过开始菜单，运行regedit打开注册表，选择编辑查找，输入RavMon.exe(如果是rose就是rose.exe)，找到键值后删除它，然后按F3，继续查找，把所有的RavMon.exe键值都删除。确保这一点，是为了断了RavMon.exe的根源。

　　第二步：

　　通过开始菜单，运行cmd，到类DOS界面，进入某个盘，用attrib -h -s -r AutoRun.inf和attrib -h -s -r RavMon.exe来消除这两个文件的隐藏只读特性，然后用del AutoRun.inf和del RavMon.exe来删除它们。之所以要对AutoRun.inf动手的原因是RavMon.exe病毒修改了AutoRun.inf文件，使得你的硬盘打不开了。对每个硬盘都如此操作一边，注意：如果使用过U盘的话，对U盘也要操作!那里面也带了病毒。

　　4. 完成：

　　重启到正常模式，双击盘符，应该是可以打开了;网上有人说有可能会还打不开，提示你要定位一个什么东西，我没有碰到。有人的方法是这样的：如出现要求你定位某个命令，如DESKTOP.EXE或其它时，运行regedit，选择编辑查找，输入DEKTOP.EXE或其它，找到的第一个就是C盘的自动运行，删除整个shell子键

　　最后清除病毒