首先,autorun.inf这个文件是很早就存在的,在WinXP以前的其他windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术。
但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在 用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各 种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。
这里再说说计算机病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、
正常的功能,病毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道 Format、del的DOS命令代表格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机 器被格式化,或者删除了一些文件,而这其实不需要太高深的电脑知识。
说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:
有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除(即使不知道其是病毒,不是自己的不知名文件也会删除吧),所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方了。
一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:
另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名为“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。
===================================================================中毒表现:
RavMonE.exe中毒后:①优盘不能正常退出;②读取优盘内容速度变慢;③查看所有文件,发现多了RavMonE.exe,RavMonLog,msvcr71.dll等几个文件。
使用瑞星杀毒软件时选择了自动监控程序,在使用移动硬盘的时候,瑞星的ravmon(自动监控程序)进入移动硬盘并建立程序,同时在C盘WINDOWS下 建立程序,并且运行.将移动硬盘插入别的电脑的时,移动硬盘已经不是普通硬盘了,而是一个带有自动监控程序的移动硬盘,这时你不能采用双击打开移动硬盘的 方法打开它了,因为它的默认第一个选项(即用鼠标右键打开移动硬盘的第一项)已经不是"打开"了,而已经是"auto",即自动监控,所以这个时候双击会 暂时打不开,因为它在自动创建并运行它的自动监控程序,也就是在你的电脑里建立瑞星的监控程序,注意!!这个程序是可以脱离瑞星的,即使你的电脑里没有瑞 星杀毒软件.所以当你想删除或者格式化的时候都别拒绝,因为ravmon已经在你的电脑里运行了,所以你也不可以删除硬件(即想拔出USB).注意千万不 可以直接拔出USB,因为你的这种不理智行为,很可能造成移动硬盘和电脑的损坏.这时的电脑中已经有ravmon程序了,所以别的移动硬盘插入这台机器也 会被自动监控(也就是大家所谓的感染了,中病毒了).
NORTON KAPSKY 不能清除这个病毒
清除方法:
1.“工具”-“文件夹选项”里选择“显示所有文件和文件夹”以及去掉“隐藏受保护的操作系统文件”的打勾。
2.Ctrl+Alt+del 在任务管理器中结束RavmonE.exe进程。
3.开始菜单-“运行”,输入msconfig,回车 在“启动”里去掉RavmonE这一项的打勾,并应用,不要重启。
4.删除 c:\windows 下面的RavmonE.exe
5.搜索电脑里的RavmonE.exe文件,全部删除。
6.Ok, clear :-)
当然,如果谨慎点儿,最好还是清除一下注册表中与该文件相对应的键值,不过既然文件已经删除,这一步也并不是很重要了。比如检查一下下面列出的几个启动 项。方法是在开始菜单-“运行”中输入“regedit”,然后展开到如下位置,若有与“RavmonE”相关键值,直接删除即可。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
下面的服务项也有它藏匿的可能:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
如果不放心,按Ctrl+F后,输入“RavmonE”,整个注册表里再查查看吧!(Other reference here)
[注] 打开U盘时,一定不要双击打开,点右键,选择“打开”。如果右键中有“Auto”一项,则表明U盘已经中毒咯-_-!,删除根目录下的 RavMonE.exe,RavMonLog,msvcr71.dll还有那个autorun.inf 即可,无论如何,一定不要双击打开U盘!(因为那样默认是运行Autorun定义的程序)
=================================================================
一种新病毒正在通过U盘、移动硬盘传播,目前,各杀毒软件尚未将它列为病毒。 这两天很多同学的U盘里都从打印店里感染到了一个
RavMonE.exe的病毒,建议大家去打印店时,使用带写保护口的U盘!
该病毒由如下文件组成:
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
当用户 双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe,打开U盘巨慢!病毒又会传染给新的U盘 ,不过点右键倒毫无妨碍,顺利打开! 单看文件名就可判定这是病毒,RavMonE.exe企图冒充瑞星杀毒软件的正常 文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件
解决方法:
Step 1.
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”
Step 2.用任务管理器(Ctrl+Alt+Del)终止 RavMonE.exe进程
1)在开始菜单>>>搜索>>>所有文件和文件夹(记得在【更多高级选项】中勾选“搜索
隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们
2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一
文件夹内的,其余的则保留
3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒
Step 3.在开始菜单>>>运行>>>输入regedit,删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\RavMonE.exe
中毒表现:
RavMonE.exe
中毒后①优盘不能正常退出;②读取优盘内容速度变慢;③查看所有文件,发现多了RavMonE.exe,RavMonLog,msvcr71.dll等几个文件。
使用瑞星杀毒软件时选择了自动监控程序,在使用移动硬盘的时候,瑞星的ravmon(自动监控程序)进入移动硬盘并建立程序,同时在C盘WINDOWS下建立程序,并且运行.将移动硬盘插入别的电脑的时,移动硬盘已经不是普通硬盘了,而是一个带有自动监控程序的移动硬盘,这时你不能采用双击打开移动硬盘的方法打开它了,因为它的默认第一个选项(即用鼠标右键打开移动硬盘的第一项)已经不是"打开"了,而已经是"auto",即自动监控,所以这个时候双击会暂时打不开,因为它在自动创建并运行它的自动监控程序,也就是在你的电脑里建立瑞星的监控程序,注意!!这个程序是可以脱离瑞星的,即使你的电脑里没有瑞星杀毒软件.所以当你想删除或者格式化的时候都别拒绝,因为ravmon已经在你的电脑里运行了,所以你也不可以删除硬件(即想拔出USB).注意千万不可以直接拔出USB,因为你的这种不理智行为,很可能造成移动硬盘和电脑的损坏.这时的电脑中已经有ravmon程序了,所以别的移动硬盘插入这台机器也会被自动监控(也就是大家所谓的感染了,中病毒了).
清除方法:
1.“工具”-“文件夹选项”里选择“显示所有文件和文件夹”以及去掉“隐藏受保护的操作系统文件”的打勾。
2.Ctrl+Alt+del 在任务管理器中结束RavmonE.exe进程。
3.开始菜单-“运行”,输入msconfig,回车 在“启动”里去掉RavmonE这一项的打勾,并应用,不要重启。
4.删除 c:\windows 下面的RavmonE.exe
5.搜索电脑里的RavmonE.exe文件,全部删除。
==================================================================
RavmonE.exe这个进程,该程序并貌似没有显著危害性,主流杀毒软件(Norton、Kaspersky)也尚未报告为病毒,推断其可能为木马程序一类。程序大小为3.5M,貌似用Python写,一般会占用19-20M左右资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字,估计可能在有窃取帐号密码之类的危害吧,不过由
于该疑似病毒文件过于巨大,一般随移动存储器传播。
解决方法:
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
2、进入c:\windows,删除其中的ravmone.exe
3、进入c:\windows,运行regedit.exe,在左边依次点开
HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是
c:\windows\ravmone.exe的,把他删除掉
4、完成后,病毒就被清除了。
杀掉U盘中的病毒的方法:
对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。
不要以为这个是小小的毒病,它是不知不觉的在后台运行的,它长期会占用你差不多20M内存,它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行,例如学校,公司等。这个病毒任你格式化U盘也格不掉,用很多杀毒软件也奈它不何。一般让你看不出来,不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”,看看。。你可能见到多出了三个不明的文件,那你就是中招了!有空检查一下你的U盘吧!祝你好运!
================================================================
该病毒由如下文件组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
当用户双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe
中毒之后,计算机识别U盘时会极为缓慢,病毒又会传染给新的U盘
单看文件名就可判定这是病毒,RavMonE.exe企图冒充瑞星杀毒软件的正常
文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件
解决方法:
Step 1.开机时按F8键,进入【安全模式】
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”
Step 2.用任务管理器(Ctrl+Alt+Del)终止 RavMonE.exe进程
1)在开始菜单>>>搜索>>>所有文件和文件夹(记得在【更多高级选项】中勾选“搜索
隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们
2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一
文件夹内的,其余的则保留
3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒
Step 3.在开始菜单>>>运行>>>输入regedit,删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\RavMonE.exe
一切做完后,就发现双击又回到了以前的样子
===================================================================
最近中了RavMon.exe病毒,把它解决了。这里总结一下,有人如果也中了的话,就照着解决就行了。
1. 现象:
双击硬盘的盘符时发现死活打不开,右键菜单选择打开也是不行的,只能通过开始菜单,运行,才可以打开。还算是良性的病毒:)
|
No comments:
Post a Comment