双击打不开盘符的解决办法
原文出自木蚂蚁社区www.mumayi.net,本贴地址:http://bbs.mumayi.net/viewthread.php?tid=877524
双击打不开盘符,在各盘盘符下有一个autorun.inf文件,
sxs.exe,rose.exe还有iexplores.exe等多种病毒都是这症状.
我把收集到的相关资料文章做了一个总结。
解决步骤:
1:先显示所有文件,打开"我的电脑",然后依次点击"工具"-"文件夹选项"-"查看",
把"隐藏已知文件类型的扩展名"前的小勾取消.然后看有没有隐藏的EXE文件,
如果还是没看到,可能病毒改了注册表,恢复后应该就可以看到了,
恢复代码如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
把上面的代码另存为XXX.reg,然后双击导入注册表,
2.比如查到的隐藏exe文件名是sxs.exe,为SXS病毒
下面一段代码用记事本保存,后缀名改为cmd,然后直接双击运行.
其他这类病毒都可以作类似处理,把相应病毒进程名和病毒名替换掉就行。
iexplores.exe病毒对应的系统进程有mapserver.exe,mainsv.exe,ptsnopt.exe,在系统目录下。
这一段代码是别人做的,不清楚出自哪里,会点dos的人应该能看懂。
@echo 清理病毒中......
@echo off
cd\
taskkill /f /im SVOHOST.exe
taskkill /f /im sxs.exe
cd\
attrib C:\WINDOWS\system32\SVOHOST.exe -a -h -s
del SVOHOST.exe/s /q /f
attrib C:\WINDOWS\system32\winscok.dll -a -h -s
del winscok.dll /s /q /f
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
H:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
I:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
J:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
K:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
C:
echo Windows Registry Editor Version 5.00>>9697.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>9697.reg
echo "CheckedValue"=dword:00000001>>9697.reg
echo Windows Registry Editor Version 5.00>>9697.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]>>9697.reg
echo "NoDriveTypeAutoRun"=hex:95,00,00,00>>9697.reg
regedit /s 9697.reg
del 9697.reg
cls
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
@echo 这是个盗QQ的木马能感染所有的硬盘和
@echo 移动存储器!病毒已经清理啦!在运行
@echo 里启动msconfig把SVOHOST的启动项去掉
@echo 最好再从新启动电脑再运行本工具一次!
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
@echo
@echo
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
pause
=========================================================
3.启动msconfig把病毒的启动项去掉,启动资注册表编辑器regedit,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\X\Shell\command\下的键值,把shell子键删除即可。(X为盘符)
4.如果病毒进程无法结束,换用这个命令ntsd.
首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,
将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,
你就能查看到对应病毒进程的具体PID了。接着运行“cmd”命令,在命令提示符状态下输入“ntsd -c q -p PID”命令,
就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,
那么可以执行“ntsd -c q -p 444”命令,来杀死这个病毒进程。
或者使用icesword或者WINDOWS杀毒助手 结束掉病毒进程。然后重复第二步。
=====================================================
U盘病毒和Autorun.inf文件分析(ZT)
经常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的,而事实上autorun.inf相当于一个传染途径,经过这个途径入侵的病毒,理论上是“任何”病毒。因此大家可以在网上发现,当搜索到autorun.inf之后,附带的病毒往往有不同的名称,正是这个道理。就好像身体上有个创口,有可能进入的细菌就不止一种,在不同环境下进入的细菌可以不同,甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒,也因此导致在查杀上会存在混乱,因为U盘病毒不止一种或几十种,详细的数字应该没人去统计吧。
现在先说说autorun.inf这个所谓的创口吧……
首先,autorun.inf这个文件是很早就存在的,在WinXP以前的其他windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术。
但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。
这里再说说计算机病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、正常的功能,病毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机器被格式化,或者删除了一些文件,而这其实不需要太高深的电脑知识。
说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:
有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除(即使不知道其是病毒,不是自己的不知名文件也会删除吧),所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:
另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。
也许有人会问,为什么在你的机器上能看到上面的文件,我的机器看不到呢?很简单,通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等等,一般情况下当然就看不到了。要让自己能看到隐藏的文件,怎么办?个人如操作,按如下步骤:打开“我的电脑”,在菜单栏上点“工具”,点“文件夹选项”,出现一个对话框,选择“查看”标签,然后对照下图:
如果U盘带有上述病毒,还会一个现象,当你点击U盘时,会多了一些东西:
上图左侧是带病毒的U盘,右键菜单多了“自动播放”、“Open”、“Browser”等项目;右侧是杀毒后的,没有这些项目。这里注明一下:凡是带Autorun.inf的移动媒体,包括光盘,右键都会出现“自动播放”的菜单,这是正常的功能。
综上所述:
引用
目前的U盘病毒都是通过Autorun.inf来进入的;
Autorun.inf本身是正常的文件,但可被利用作其他恶意的操作;
不同的人可通过Autorun.inf放置不同的病毒,因此无法简单说是什么病毒,可以是一切病毒、木马、黑客程序等;
一般情况下,U盘不应该有Autorun.inf文件;
如果发现U盘有Autorun.inf,且不是你自己创建生成的,请删除它,并且尽快查毒;
如果有貌似回收站、瑞星文件等文件,而你又能通过对比硬盘上的回收站名称、正版的瑞星名称,同时确认该内容不是你创建生成的,请删除它;
同时,一般建议插入U盘时,不要双击U盘,另外有一个更好的技巧:插入U盘前,按住Shift键,然后插入U盘,建议按键的时间长一点。插入后,用右键点击U盘,选择“资源管理器”来打开U盘。
注:部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计,目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式,因此建议购买U盘是先做识别,或咨询销售人员。
下面说说RavMon.exe病毒的解决办法吧:
昨天某人发现她的U盘有病毒,KV报出一个RavMonE.exe文件,这个也是最经典的一个U盘病毒了……
引用
RavmonE.exe病毒运行后,会出现同名的一个进程,该程序并貌似没有显著危害性。程序大小为3.5M,貌似用Python写的,一般会占用19-20M左右资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字,估计可能在有窃取帐号密码之类的危害吧,不过由于该疑似病毒文件过于巨大,一般随移动存储器传播。
解决方法:
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程。
2、进入c:\windows,删除其中的ravmone.exe。
3、进入c:\windows,运行regedit.exe,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:\windows\ravmone.exe的,把他删除掉。
4、完成后,病毒就被清除了。
杀掉U盘中的病毒的方法:
对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。
但对于上面的处理U盘中的病毒的方法,经过我的亲身经历后作小小补充:就是在删除autorun.inf,msvcr71.dl,RavMonE.exe这三个文件时,直接删可能会删不掉的,要先到进程管理那了先结束RavMonE.exe再删除这三个文件,如果还不行就到安全模式里删,这样就一定行。
小结:
不要以为这个是小小的病毒,它是不知不觉的在后台运行的,它长期会占用你差不多20M内存,它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行,例如学校,公司等。这个病毒任你格式化U盘也格不掉,用很多杀毒软件也奈它不何。一般让你看不出来,不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”,看看……你可能见到多出了三个不明的文件,那你就是中招了!有空检查一下你的U盘吧!祝你好运!注意:如果进程是Ravmon.exe ,这个应该是瑞星的程序而不病毒!
=====================================================================
顺便附上另一篇讲解Autorun.inf的文章,本文讲解了Autorun.inf文件攻击这个并不复杂却极其有趣的技术……
解析来自Autorun.inf文件的攻击
最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法,由于AutoRun.inf文件在黑客技术中的应用还是很少见的,相应的资料也不多,有很多人对此觉得很神秘,本文试图为您解开这个迷,使您能完全的了解这个并不复杂却极其有趣的技术。
一、理论基础
经常使用光盘的朋友都知道,有很多光盘放入光驱就会自动运行,它们是怎么做的呢?光盘一放入光驱就会自动被执行,主要依靠两个文件,一是光盘上的AutoRun.inf文件,另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。
双击打不开盘符,在各盘盘符下有一个autorun.inf文件,
sxs.exe,rose.exe还有iexplores.exe等多种病毒都是这症状.
我把收集到的相关资料文章做了一个总结。
解决步骤:
1:先显示所有文件,打开"我的电脑",然后依次点击"工具"-"文件夹选项"-"查看",
把"隐藏已知文件类型的扩展名"前的小勾取消.然后看有没有隐藏的EXE文件,
如果还是没看到,可能病毒改了注册表,恢复后应该就可以看到了,
恢复代码如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
把上面的代码另存为XXX.reg,然后双击导入注册表,
2.比如查到的隐藏exe文件名是sxs.exe,为SXS病毒
下面一段代码用记事本保存,后缀名改为cmd,然后直接双击运行.
其他这类病毒都可以作类似处理,把相应病毒进程名和病毒名替换掉就行。
iexplores.exe病毒对应的系统进程有mapserver.exe,mainsv.exe,ptsnopt.exe,在系统目录下。
这一段代码是别人做的,不清楚出自哪里,会点dos的人应该能看懂。
@echo 清理病毒中......
@echo off
cd\
taskkill /f /im SVOHOST.exe
taskkill /f /im sxs.exe
cd\
attrib C:\WINDOWS\system32\SVOHOST.exe -a -h -s
del SVOHOST.exe/s /q /f
attrib C:\WINDOWS\system32\winscok.dll -a -h -s
del winscok.dll /s /q /f
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
H:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
I:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
J:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
K:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf
C:
echo Windows Registry Editor Version 5.00>>9697.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>9697.reg
echo "CheckedValue"=dword:00000001>>9697.reg
echo Windows Registry Editor Version 5.00>>9697.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]>>9697.reg
echo "NoDriveTypeAutoRun"=hex:95,00,00,00>>9697.reg
regedit /s 9697.reg
del 9697.reg
cls
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
@echo 这是个盗QQ的木马能感染所有的硬盘和
@echo 移动存储器!病毒已经清理啦!在运行
@echo 里启动msconfig把SVOHOST的启动项去掉
@echo 最好再从新启动电脑再运行本工具一次!
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
@echo
@echo
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
pause
=========================================================
3.启动msconfig把病毒的启动项去掉,启动资注册表编辑器regedit,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\X\Shell\command\下的键值,把shell子键删除即可。(X为盘符)
4.如果病毒进程无法结束,换用这个命令ntsd.
首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,
将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,
你就能查看到对应病毒进程的具体PID了。接着运行“cmd”命令,在命令提示符状态下输入“ntsd -c q -p PID”命令,
就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,
那么可以执行“ntsd -c q -p 444”命令,来杀死这个病毒进程。
或者使用icesword或者WINDOWS杀毒助手 结束掉病毒进程。然后重复第二步。
=====================================================
U盘病毒和Autorun.inf文件分析(ZT)
经常使用U盘的朋友可能已经多次遭遇到了U盘病毒,U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的,而事实上autorun.inf相当于一个传染途径,经过这个途径入侵的病毒,理论上是“任何”病毒。因此大家可以在网上发现,当搜索到autorun.inf之后,附带的病毒往往有不同的名称,正是这个道理。就好像身体上有个创口,有可能进入的细菌就不止一种,在不同环境下进入的细菌可以不同,甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒,也因此导致在查杀上会存在混乱,因为U盘病毒不止一种或几十种,详细的数字应该没人去统计吧。
现在先说说autorun.inf这个所谓的创口吧……
首先,autorun.inf这个文件是很早就存在的,在WinXP以前的其他windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术。
但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。
这里再说说计算机病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、正常的功能,病毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机器被格式化,或者删除了一些文件,而这其实不需要太高深的电脑知识。
说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:
有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除(即使不知道其是病毒,不是自己的不知名文件也会删除吧),所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:
另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。
也许有人会问,为什么在你的机器上能看到上面的文件,我的机器看不到呢?很简单,通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等等,一般情况下当然就看不到了。要让自己能看到隐藏的文件,怎么办?个人如操作,按如下步骤:打开“我的电脑”,在菜单栏上点“工具”,点“文件夹选项”,出现一个对话框,选择“查看”标签,然后对照下图:
如果U盘带有上述病毒,还会一个现象,当你点击U盘时,会多了一些东西:
上图左侧是带病毒的U盘,右键菜单多了“自动播放”、“Open”、“Browser”等项目;右侧是杀毒后的,没有这些项目。这里注明一下:凡是带Autorun.inf的移动媒体,包括光盘,右键都会出现“自动播放”的菜单,这是正常的功能。
综上所述:
引用
目前的U盘病毒都是通过Autorun.inf来进入的;
Autorun.inf本身是正常的文件,但可被利用作其他恶意的操作;
不同的人可通过Autorun.inf放置不同的病毒,因此无法简单说是什么病毒,可以是一切病毒、木马、黑客程序等;
一般情况下,U盘不应该有Autorun.inf文件;
如果发现U盘有Autorun.inf,且不是你自己创建生成的,请删除它,并且尽快查毒;
如果有貌似回收站、瑞星文件等文件,而你又能通过对比硬盘上的回收站名称、正版的瑞星名称,同时确认该内容不是你创建生成的,请删除它;
同时,一般建议插入U盘时,不要双击U盘,另外有一个更好的技巧:插入U盘前,按住Shift键,然后插入U盘,建议按键的时间长一点。插入后,用右键点击U盘,选择“资源管理器”来打开U盘。
注:部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计,目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式,因此建议购买U盘是先做识别,或咨询销售人员。
下面说说RavMon.exe病毒的解决办法吧:
昨天某人发现她的U盘有病毒,KV报出一个RavMonE.exe文件,这个也是最经典的一个U盘病毒了……
引用
RavmonE.exe病毒运行后,会出现同名的一个进程,该程序并貌似没有显著危害性。程序大小为3.5M,貌似用Python写的,一般会占用19-20M左右资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字,估计可能在有窃取帐号密码之类的危害吧,不过由于该疑似病毒文件过于巨大,一般随移动存储器传播。
解决方法:
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程。
2、进入c:\windows,删除其中的ravmone.exe。
3、进入c:\windows,运行regedit.exe,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:\windows\ravmone.exe的,把他删除掉。
4、完成后,病毒就被清除了。
杀掉U盘中的病毒的方法:
对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。
但对于上面的处理U盘中的病毒的方法,经过我的亲身经历后作小小补充:就是在删除autorun.inf,msvcr71.dl,RavMonE.exe这三个文件时,直接删可能会删不掉的,要先到进程管理那了先结束RavMonE.exe再删除这三个文件,如果还不行就到安全模式里删,这样就一定行。
小结:
不要以为这个是小小的病毒,它是不知不觉的在后台运行的,它长期会占用你差不多20M内存,它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行,例如学校,公司等。这个病毒任你格式化U盘也格不掉,用很多杀毒软件也奈它不何。一般让你看不出来,不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”,看看……你可能见到多出了三个不明的文件,那你就是中招了!有空检查一下你的U盘吧!祝你好运!注意:如果进程是Ravmon.exe ,这个应该是瑞星的程序而不病毒!
=====================================================================
顺便附上另一篇讲解Autorun.inf的文章,本文讲解了Autorun.inf文件攻击这个并不复杂却极其有趣的技术……
解析来自Autorun.inf文件的攻击
最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法,由于AutoRun.inf文件在黑客技术中的应用还是很少见的,相应的资料也不多,有很多人对此觉得很神秘,本文试图为您解开这个迷,使您能完全的了解这个并不复杂却极其有趣的技术。
一、理论基础
经常使用光盘的朋友都知道,有很多光盘放入光驱就会自动运行,它们是怎么做的呢?光盘一放入光驱就会自动被执行,主要依靠两个文件,一是光盘上的AutoRun.inf文件,另一个是操作系统本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。
- 上一篇: 病毒sxs.exe解析
- 下一篇: U盘病毒和Autorun.inf文件分析
EE直播间
更多
-
无线前沿新技术与测试技术峰会-线上直播 直播时间: 12月05日 09:30 -
首场直播发布: Keysight AP5000 系列新型高性价比模拟信号源 直播时间: 12月06日 10:00 -
全面掌握功率表应用及校准 直播时间: 12月10日 10:00 -
提升毫米波信号测试精度 直播时间: 12月18日 14:00
关闭
站长推荐
/2 
/2
文章评论(0条评论)
登录后参与讨论