U盘病毒AutoRun.inf和ravmon.exe的KILL
出处:赛迪网技术社区 作者:赛迪网技术社区 时间:2007-6-14 1:25:45
近来学校与寝室AutoRun.inf和ravmon.exe等U盘病毒异常猖狂``引起众人强烈不满
该病毒自动修改注册表,让用户不能查看隐藏文件autorun.inf内容如下
[AutoRun] open=RavMon.exe shell\open=打开(&O) shell\open\Command=RavMon.exe shell\explore=资源管理器(&X) shell\explore\Command="RavMon.exe -e" 用前些日子的注册表导入结果能正常显示,重起蓝屏
重装系统再点其他盘又感染,且右键只有打开无auto
尝试用BAT@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
删除其病毒文件
重启如故
于是用REG导入
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
无效!!查看Ravmon.exe性状如下
RavMon.exe
进程文件: RavMon.exe Svchost.exe
进程名称: Troj_Worm.Novar
英文描述: N/A
进程分析:
瑞星杀毒软件实时监控程序。
进程位置: 系统目录
程序用途: VisualBasic写的可通过可移动设备传播的病毒,极具破坏性。
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否
于是通过开始菜单,运行cmd,到类DOS界面。输入某个盘符,打开它,用dir /a查看所有文件,发现有一个RavMon.exe。瑞星也有个程序叫RavMon.exe,所以很有迷惑性,用attrib看它的属性,如果是SHR属性的,就是病毒了。
rose病毒也有类似现象,所以如果发现是rose.exe的话,就是rose病毒了,解决办法类似。
进入安全模式(必须确保是安全模式下,并期间千万不要双击盘符,否则前功尽弃!)
第一步:
通过开始菜单,运行regedit打开注册表,选择编辑查找,输入RavMon.exe(如果是rose就是rose.exe),找到键值后删除它,然后按F3,继续查找,把所有的RavMon.exe键值都删除。确保这一点,是为了断了RavMon.exe的根源。
第二步:
通过开始菜单,运行cmd,到类DOS界面,进入某个盘,用attrib -h -s -r AutoRun.inf和attrib -h -s -r RavMon.exe来消除这两个文件的隐藏只读特性,然后用del AutoRun.inf和del RavMon.exe来删除它们。之所以要对AutoRun.inf动手的原因是RavMon.exe病毒修改了AutoRun.inf文件,使得你的硬盘打不开了。对每个硬盘都如此操作一边,注意:如果使用过U盘的话,对U盘也要操作!那里面也带了病毒。
4. 完成:
重启到正常模式,双击盘符,应该是可以打开了;网上有人说有可能会还打不开,提示你要定位一个什么东西,我没有碰到。有人的方法是这样的:如出现要求你定位某个命令,如DESKTOP.EXE或其它时,运行regedit,选择编辑查找,输入DEKTOP.EXE或其它,找到的第一个就是C盘的自动运行,删除整个shell子键
最后清除病毒