U盘病毒原理二
病毒根治:
1.不要插U盘。
2.在任务管理器中将 DOC.exe 结束。
3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除。
4.打开资源管理器,找到文件夹。
c:do cuments and settingsAll Users[开始]菜单程序启动。
将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe)
5.运行regedit,将开机运行项目中的doc.exe清除。
在 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(另有资料表明:该病毒还创建了 c:windowssystem32hook.dll , 并将之加入了注册表启动项里,不过我这里没发现这种情况)后遗症的治疗:
经该病毒感染后,系统无法显示隐藏文件和文件扩展名,即使去文件夹选项中去改设置也没用,这时需要手工修改注册表6.显示所有文件和文件夹。
在 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer。
AdvancedFolderHiddenSHOWALL]
将CheckedValue的值改为17.取消"隐藏已知文件的扩展名"
在 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenFileExt]
将 CheckedValue的值改为0改完后,去文件夹选项看,在"选显示所有文件和文件夹"已恢复正常了8.插上U盘,将其中的*.exe文件全部删除基本上就杀灭完成了手工删除的过程:
1.调出任务管理器,把进程里的DOC.EXE结束掉。
2.打开注册表,去掉 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
下的DOC.exe启动项。
3.打开CMD窗口(DOS),进入 X:Windows 目录,键入命令 Attrib Doc.exe -h -s -r ,再键入 Del Doc.exe。
重启电脑,再看任务管理器里还有没有Doc.exe ,没有就成功了。一定要确定DOC.exe被清除了!你的Word文档才能使用。用资源管理器进入Windowwj的目录看看,你电脑上所有的Word文档都在这里,只是被更名成了命令文件(.COM)。
进入命令行模式,cd c:Windowwj 用命令ren *.com *.doc 这样病毒清除的word文档都在你面前了。
唯一遗憾的是:你需要从新分类放到原来的文件夹里面因为开机运行的ww.bat所产生的ww.txt文件已经删除里面保存了病毒删除word文件的具体路径 ww.bat文件内容为:dir*.doc/a/b/>>c:ww.txt 实际意义就是:将doc文件去掉各种属性列出并将其路径保存到ww.txt文件里面四.RavMonE.exe病毒查杀。
记住杀好了直接重启(最好在安全模式下杀)并且不要双击任何磁盘符。
RavMonE.exe、RavMonLog是直接病毒,但也是鼠标跟随型的!该病毒是一种伪装成瑞星文件的病毒,也是瑞星的客星,一般瑞星监测不到,所以用瑞星的用户可能会杀不掉该病毒,或者用户也会以为这是瑞星的产品。
如果没装瑞星,RavMonE.exe、RavMonLog可以手动,如果安装了瑞星,删除将会有难度。
RavmonE.exe病毒运行后,会出现同名的一个进程,该程序大小为3.5M,一般会占用19-20M左右资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字,估计可能在有窃取帐号密码之类的危害吧,不过由于该疑似病毒文件过于巨大,一般随移动存储器传播。
解决方法:
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
2、进入c:windows,删除其中的ravmone.exe
3、进入c:windows,运行regedit.exe,在左边依次点开 HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun,在右边可以看到一项数值是 c:windows avmone.exe的,把他删除掉
4、完成后,病毒就被清除了。
杀掉U盘中的病毒的方法:
对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。
但对于上面的处理U盘中的病毒的方法,作小小补充:就是在删除autorun.inf,msvcr71.dl,RavMonE.exe这三个文件时,直接删可能会删不掉的,要先到进程管理那了先结束RavMonE.exe再删除这三个文件,如果还不行就到安全模式里删,这样就一定行。目前大部分杀毒软件尚未提供查杀该病毒的病毒定义更新。该病毒通过U盘/移动硬盘进行传播,并在受感染计算机系统目录下生成病毒主程序,在注册表中加载自启动键值。被感染的U盘在根目录下有三个文件:RavMonE.exe、msvcr71.dll、autorun.inf上述三个文件被设置了“系统”、“隐藏”属性以隐藏自己。病毒发作后,U盘/移动硬盘将无法正常拨出。中毒之后,计算机识别U盘时会极为缓慢,病毒又会传染给新的U盘。
手动清除方法:
1、查看Windows任务管理器,将进程列表中所有名称为“RavMonE.exe”的进程结束掉;
2、到系统目录下(一般为C:Windows)查找RavMonE.exe文件,若存在则删除;
3、插上U盘/移动硬盘,打开“我的电脑”,查看移动磁盘的盘符,如(H:、G:等),以“H:”为例;
4、在“命令提示符”(可通过“开始”-“运行”-“cmd”打开)下输入以下命令:
attrib -s -h H: avmone.exe
attrib -s -h H:autorun.inf
attrib -s -h H:msvcr71.dll
del H: avmone.exe
del H:autorun.inf
del H:msvcr71.dll
5、若以上步骤都操作成功则说明病毒已经清除干净 附:判断U盘/移动硬盘是否被感染的方法:当U盘/移动硬盘被系统正常识别后,请不要随意使用“双击”方式打开U盘/移动硬盘,这样将导致被感染的U盘/移动硬盘上的病毒发作。应该用鼠标右键点击U盘/移动硬盘的图标,在弹出的菜单中检查是否有名称为“Auto”的菜单项,如果有,说明该移动设备已经被感染该病毒,应该使用上述两种方法清除
总结:一.U盘病毒的预防U盘病毒的感染,一部分是用户去点击运行U盘上的可执行文件感染的,另一部分是由于移动存储设备插入时启用了自动播放而感染的。所以,要防止U盘病毒的再感染,有必要限制移动存储设备的自动播放功能。
使用组策略一次性全部关闭自动播放功能:
① 点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;
② 在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
③ 选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开,一般就会出现一些隐藏的文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它,退出U盘。.在频繁使用u盘时应注意在u盘被打开前及时杀毒先,然后用右键点开查看u盘内容,双击可能会导致系统立即中毒。对于有些u盘病毒,格式化也不能清除,所以,日常使用时,尤其是去公共场合使用回来后,应及时执行检测和杀毒工作。 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
举一个“hello word”例子。
下面是一个简单的DOS批处理病毒源程序autoexec.bat(假设从A盘启动):程序语句程序注解;
IF exist c:autoexec.bat goto Virus REM 首先检查时机;
Goto No_Virus REM 若时机不成熟则潜伏;
:Virus REM 时机成熟时(子程序)
c: REM 转到C盘;
ren autoexec.bat auto.bat REM 将正常文件改名,准备冒名顶替;
copy a:autoexec.bat c: REM 自我复制,开始繁殖;
echo Hello Word! REM 病毒发作,表现症状;
:No_Virus REM 正常程序入口;
a: REM 转回A盘;
/auto REM 执行正常程序;
pause REM 暂停等待按任意键继续;
这个程序非常简单,但却包含了计算机病毒的典型结构,引导部分、传染部分、激发部分等五脏俱全。其触发机制是:C盘存在autoexec.bat文件,当我们用带有此病毒的启动软盘启动微机时,若C盘也有autoexec.bat文件,则病毒将C盘原autoexec.bat文件改名为auto.bat,把自身复制到C盘并显示“Hello Word!”。如果按以前的分类,它可以算是个良性病毒(但再良的病毒都要占用系统资源)。当然它还无加密和没有严重破坏系统的行为,但要是把echo Hello Word!改为format c:或deltree c:/y等那就…
哎呀,环球小编暂时没收集到U盘相关的品牌排行,可以看看右侧信息,有很多与《U盘病毒原理二》相关的资讯