可恨的RAVMON.EXET+AUTORUN.INF

glts

今天又中了这个鬼东西，太烦人了。


autorun.inf的内容如下,自动在注册表里建立这些项目
[autorun]
open=ravmon.exe
shell\open=打开(%O)
shell\open\command=ravmon.exe
shell\explore=资源管理器器($X)
shell\explore\command="ravmon.exe -e"

中毒表现:
1.中招后隐藏文件打不开
2.接入任何USB设备,都会感染到USB设备上
3.利用系统自动运行功能,任意传播
4.每个盘的根目录下会生成RAVMON.EXE和AUTORUN.INF这两个文件
5.在注册表生成如下图所示

解决办法:
1.关闭设备的所有文件的自动播放功能,都改之为"不操作"
2.删除注册表里的相应的项目
3.进入安全模式或光盘启动到DOS状态,在DOS状态转到磁盘根目,也可建立批处理文件来执行

@echo off
cd\
attrib autorun.inf -h -r -s
del ravmon.exe/f
attrib ravmon.exe -h -r -s
del ravmon.exe/f
md autorun.inf
md ravmon.exe

把此批处理文件复制到每个磁盘的根目录运行一次,这样之后就会在每个盘的根目录下都会生成
ravmon.exe和autorun.inf这两个文件夹,这样是为了不让有毒外接设备接入时再次感染本系统
因为此病毒只会在磁盘根目下建立这两个文件,那么我们手工以这两个文件的名字命名建立两个文件
夹后,这样一来此有毒文件就不会生成了,再把注册表清理干静.我曾经在安装有瑞星的机器上也居然会
中此毒,而且是很多很多次,太烦人了.

最后这个网址还是小心些吧,大家看图应该知道了:http://myhome.ik8.com(爱克吧)(估计是玩马者吧)

[ 本帖最后由 glts 于 2007-7-7 15:45 编辑 ]

wangyuankai

知道你憎恨，也不能上传感染文件吧。

glts

好删除，我的意思是让大家玩一下，应试不至于这么笨不知道在虚拟机下玩的，不过还是删除算了。