Search in uioop.blogspot.com

Labels

Blog Archive

Sunday, October 21, 2007

解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒

现在先说说autorun.inf这个所谓的创口吧……

  首先,autorun.inf这个文件是很早就存在的,在WinXP以前的其他windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术。

  但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在 用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各 种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。

  这里再说说计算机病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、

  正常的功能,病毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道 Format、del的DOS命令代表格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机 器被格式化,或者删除了一些文件,而这其实不需要太高深的电脑知识。

  说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:

  有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除(即使不知道其是病毒,不是自己的不知名文件也会删除吧),所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方了。

  一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:

  另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名为“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。

===================================================================

中毒表现:
RavMonE.exe中毒后:①优盘不能正常退出;②读取优盘内容速度变慢;③查看所有文件,发现多了RavMonE.exe,RavMonLog,msvcr71.dll等几个文件。

使用瑞星杀毒软件时选择了自动监控程序,在使用移动硬盘的时候,瑞星的ravmon(自动监控程序)进入移动硬盘并建立程序,同时在C盘WINDOWS下 建立程序,并且运行.将移动硬盘插入别的电脑的时,移动硬盘已经不是普通硬盘了,而是一个带有自动监控程序的移动硬盘,这时你不能采用双击打开移动硬盘的 方法打开它了,因为它的默认第一个选项(即用鼠标右键打开移动硬盘的第一项)已经不是"打开"了,而已经是"auto",即自动监控,所以这个时候双击会 暂时打不开,因为它在自动创建并运行它的自动监控程序,也就是在你的电脑里建立瑞星的监控程序,注意!!这个程序是可以脱离瑞星的,即使你的电脑里没有瑞 星杀毒软件.所以当你想删除或者格式化的时候都别拒绝,因为ravmon已经在你的电脑里运行了,所以你也不可以删除硬件(即想拔出USB).注意千万不 可以直接拔出USB,因为你的这种不理智行为,很可能造成移动硬盘和电脑的损坏.这时的电脑中已经有ravmon程序了,所以别的移动硬盘插入这台机器也 会被自动监控(也就是大家所谓的感染了,中病毒了).
◇RavmonE与DOS Error:mp3病毒?
NORTON KAPSKY 不能清除这个病毒
清除方法:
1.“工具”-“文件夹选项”里选择“显示所有文件和文件夹”以及去掉“隐藏受保护的操作系统文件”的打勾。
2.Ctrl+Alt+del 在任务管理器中结束RavmonE.exe进程。
3.开始菜单-“运行”,输入msconfig,回车 在“启动”里去掉RavmonE这一项的打勾,并应用,不要重启。
4.删除 c:\windows 下面的RavmonE.exe
5.搜索电脑里的RavmonE.exe文件,全部删除。
6.Ok, clear :-)
当然,如果谨慎点儿,最好还是清除一下注册表中与该文件相对应的键值,不过既然文件已经删除,这一步也并不是很重要了。比如检查一下下面列出的几个启动 项。方法是在开始菜单-“运行”中输入“regedit”,然后展开到如下位置,若有与“RavmonE”相关键值,直接删除即可。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
下面的服务项也有它藏匿的可能:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
如果不放心,按Ctrl+F后,输入“RavmonE”,整个注册表里再查查看吧!(Other reference here)
[注] 打开U盘时,一定不要双击打开,点右键,选择“打开”。如果右键中有“Auto”一项,则表明U盘已经中毒咯-_-!,删除根目录下的 RavMonE.exe,RavMonLog,msvcr71.dll还有那个autorun.inf 即可,无论如何,一定不要双击打开U盘!(因为那样默认是运行Autorun定义的程序)

=================================================================

一种新病毒正在通过U盘、移动硬盘传播,目前,各杀毒软件尚未将它列为病毒。 这两天很多同学的U盘里都从打印店里感染到了一个

RavMonE.exe的病毒,建议大家去打印店时,使用带写保护口的U盘!

该病毒由如下文件组成:
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
当用户 双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe,打开U盘巨慢!病毒又会传染给新的U盘 ,不过点右键倒毫无妨碍,顺利打开! 单看文件名就可判定这是病毒,RavMonE.exe企图冒充瑞星杀毒软件的正常 文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件

解决方法:
Step 1.
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”


Step 2.用任务管理器(Ctrl+Alt+Del)终止 RavMonE.exe进程
1)在开始菜单>>>搜索>>>所有文件和文件夹(记得在【更多高级选项】中勾选“搜索
隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们

2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一
文件夹内的,其余的则保留

3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒

Step 3.在开始菜单>>>运行>>>输入regedit,删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\RavMonE.exe

================================================================

中毒表现:
RavMonE.exe
中毒后①优盘不能正常退出;②读取优盘内容速度变慢;③查看所有文件,发现多了RavMonE.exeRavMonLogmsvcr71.dll等几个文件。

使用瑞星杀毒软件时选择了自动监控程序,在使用移动硬盘的时候,瑞星的ravmon(自动监控程序)进入移动硬盘并建立程序,同时在CWINDOWS下建立程序,并且运行.将移动硬盘插入别的电脑的时,移动硬盘已经不是普通硬盘了,而是一个带有自动监控程序的移动硬盘,这时你不能采用双击打开移动硬盘的方法打开它了,因为它的默认第一个选项(即用鼠标右键打开移动硬盘的第一项)已经不是"打开",而已经是"auto",即自动监控,所以这个时候双击会暂时打不开,因为它在自动创建并运行它的自动监控程序,也就是在你的电脑里建立瑞星的监控程序,注意!!这个程序是可以脱离瑞星的,即使你的电脑里没有瑞星杀毒软件.所以当你想删除或者格式化的时候都别拒绝,因为ravmon已经在你的电脑里运行了,所以你也不可以删除硬件(即想拔出USB).注意千万不可以直接拔出USB,因为你的这种不理智行为,很可能造成移动硬盘和电脑的损坏.这时的电脑中已经有ravmon程序了,所以别的移动硬盘插入这台机器也会被自动监控(也就是大家所谓的感染了,中病毒了).

清除方法:
1.“工具”-“文件夹选项”里选择“显示所有文件和文件夹”以及去掉“隐藏受保护的操作系统文件”的打勾。
2.Ctrl+Alt+del
在任务管理器中结束RavmonE.exe进程。
3.
开始菜单-“运行”,输入msconfig,回车 在“启动”里去掉RavmonE这一项的打勾,并应用,不要重启。
4.
删除 c:\windows 下面的RavmonE.exe
5.
搜索电脑里的RavmonE.exe文件,全部删除。

==================================================================

RavmonE.exe这个进程,该程序并貌似没有显著危害性,主流杀毒软件(Norton、Kaspersky)也尚未报告为病毒,推断其可能为木马程序一类。程序大小为3.5M,貌似用Python写,一般会占用19-20M左右资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字,估计可能在有窃取帐号密码之类的危害吧,不过由

于该疑似病毒文件过于巨大,一般随移动存储器传播。
解决方法:

1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
2、进入c:\windows,删除其中的ravmone.exe
3、进入c:\windows,运行regedit.exe,在左边依次点开
HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是
c:\windows\ravmone.exe的,把他删除掉
4、完成后,病毒就被清除了。

杀掉U盘中的病毒的方法:

移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。

就是在删除autorun.inf,msvcr71.dl,RavMonE.exe这三个文件时,直接删可能会删不掉的,要先到进程管理那了先结束RavMonE.exe再删除这三个文件,如果还不行就到安全模式里删,这样就一定行。

不要以为这个是小小的毒病,它是不知不觉的在后台运行的,它长期会占用你差不多20M内存,它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行,例如学校,公司等。这个病毒任你格式化U盘也格不掉,用很多杀毒软件也奈它不何。一般让你看不出来,不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”,看看。。你可能见到多出了三个不明的文件,那你就是中招了!有空检查一下你的U盘吧!祝你好运!

================================================================

该病毒由如下文件组成:
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
当用户双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe
中毒之后,计算机识别U盘时会极为缓慢,病毒又会传染给新的U盘

单看文件名就可判定这是病毒,RavMonE.exe企图冒充瑞星杀毒软件的正常
文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件



解决方法:
Step 1.开机时按F8键,进入【安全模式】
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”


Step 2.用任务管理器(Ctrl+Alt+Del)终止 RavMonE.exe进程
1)在开始菜单>>>搜索>>>所有文件和文件夹(记得在【更多高级选项】中勾选“搜索
隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们

2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一
文件夹内的,其余的则保留

3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒


Step 3.在开始菜单>>>运行>>>输入regedit,删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\RavMonE.exe
一切做完后,就发现双击又回到了以前的样子
===================================================================

最近中了RavMon.exe病毒,把它解决了。这里总结一下,有人如果也中了的话,就照着解决就行了。

1. 现象:
双击硬盘的盘符时发现死活打不开,右键菜单选择打开也是不行的,只能通过开始菜单,运行,才可以打开。还算是良性的病毒:)


RavMon.exe病毒手动清除方法
[Blocked Ads]

使用本工作室作品——《Autorun病毒防御者》,专杀此类病毒!立即下载>>>

最近中了RavMon.exe病毒,把它解决了。这里总结一下,有人如果也中了的话,就照着解决就行了。

1. 现象:
双击硬盘的盘符时发现死活打不开,右键菜单选择打开也是不行的,只能通过开始菜单,运行,才可以打开。还算是良性的病毒:)

2. 确认:
通过开始菜单,运行cmd,到类DOS界面。输入某个盘符,打开它,用dir /a查看所有文件,发现有一个RavMon.exe。瑞星也有个程序叫RavMon.exe,所以很有迷惑性,用attrib看它的属性,如果是SHR属性的,就是病毒了。
rose病毒也有类似现象,所以如果发现是rose.exe的话,就是rose病毒了,解决办法类似。

3. 解决:
进入安全模式(必须确保是安全模式下,并期间千万不要双击盘符,否则前功尽弃!)
第一步:
通过开始菜单,运行regedit打开注册表,选择编辑查找,输入RavMon.exe(如果是rose就是rose.exe),找到键值后删除它,然后按F3,继续查找,把所有的RavMon.exe键值都删除。确保这一点,是为了断了RavMon.exe的根源。
第二步:
通过开始菜单,运行cmd,到类DOS界面,进入某个盘,用attrib -h -s -r AutoRun.inf和attrib -h -s -r RavMon.exe来消除这两个文件的隐藏只读特性,然后用del AutoRun.inf和del RavMon.exe来删除它们。之所以要对AutoRun.inf动手的原因是RavMon.exe病毒修改了AutoRun.inf文件,使得你的硬盘打不开了。对每个硬盘都如此操作一边,注意:如果使用过U盘的话,对U盘也要操作!那里面也带了病毒。

4. 完成:
重启到正常模式,双击盘符,应该是可以打开了;网上有人说有可能会还打不开,提示你要定位一个什么东西,我没有碰到。有人的方法是这样的:如出现要求你定位某个命令,如ESKTOP.EXE或其它时,运行regedit,选择编辑查找,输入DEKTOP.EXE或其它,找到的第一个就是C盘的自动运行,删除整个shell子键。本人没有试过,好自为之:)

附:清除该病毒的bat文件

将下面的内容复制到记事本中保存为“任意名.bat”文件,双击运行即可。

@echo off
title zhge收集..
color 0a
mode con cols=96 lines=30
rem 强制结束用户名为 当前登录的用户的svchost.exe这个进程。
taskkill /fi "username eq %username%" /im svchost.exe /f
rem 去掉源病毒文件的各项属性。
attrib -s -h -r %windir%\svchost.exe
attrib -s -h -r %windir%\SVCHOST.INI

rem 强制删除源病毒文件。
del %windir%\svchost.exe /q
del %windir%\SVCHOST.INI /q

rem 去除其它分区的病毒文件的属性。
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul attrib -s -h -r %%d:\autorun.inf
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul attrib -s -h -r %%d:\ravmon.exe

rem 删除其它分区的病毒文件。
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul del %%d:\autorun.inf /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:\nul del %%d:\ravmon.exe /q

rem 删除假的“显示隐藏和文件和文件夹”这个注册表项。
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v SVOHOST /f
rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
rem 删除启动项里的svchost这个病毒创建的项。
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v svchost /f
rem cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo 该病毒清除完毕,按回车进入磁盘检查,解决分区无法双击打开
echo 你的有些分区可能不能用双击打开,你只要把打开方式选择为
echo InternetExplorer然后下次双击就能打开了,如果是C盘打不开的话,
echo 重启一下就可以了。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p tmp=所有操作结束,按回车键退出该程序。

No comments:

AVG Internet Security 2013

Total Pageviews

Contributors