碧海潮声大学生网

标题: 〖原创〗最近流行的一种U盘病毒,大家要注意 [打印本页]

作者: 绝望领域 时间: 2006-6-6 04:13
标题: 〖原创〗最近流行的一种U盘病毒,大家要注意
这个U盘病毒大概是在6月1号流行的,随着大家毕业的临近,这个U盘病毒的蔓延也越来越快了.

这是一种新病毒正在通过U盘、移动硬盘传播
目前，各杀毒软件尚未将它列为病毒。

该病毒由如下文件组成：
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog

症状:
当用户双击U盘盘符，会激活autorun.inf自动加载RavMonE.exe
中毒之后，计算机识别U盘时会极为缓慢，病毒又会传染给新的U盘
U盘的打开方式里首选一个auto,其实就是用来激活被感染U盘中的病毒文件,继续感染其他电脑.

另外,这个病毒还把机器从1680和1681端口连接如下Ip：59.41.36.35；61.142.238.94；并从3568端口向58.63.179.228:5288发送数据，以上IP归属地均在广东省广州市。并且,偷偷地开了你电脑的远程登录程序,由此看来,虽然并没有对你系统造成多少危害,但是对于个人隐私以及个人信息的保护来说,存在着很大危害.

大致的解决方法:
步骤1: 显示所有文件;(如果已经设置过的可以进入下一步)
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”，取消“隐藏受保护的操作系统文件(推荐)”
步骤2:按Ctrl+Alt+Del组合键进入进程管理,终止RavMonE.exe(RavMon和RavMonD为正常的瑞星杀毒软件进程)
步骤3:先删除U盘下的病毒文件autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
步骤4:在开始菜单>>>运行>>>输入regedit，删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

大概就能解决情况了

作者: 绝望领域 时间: 2006-6-6 04:23
另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
打开注册表,在开始菜单>>>运行>>>输入regedit,选择查找autorun.inf,如果没有则查找bittorrent.exe,ravmonE.exe找到这一个键值,然后删除就OK了,在那里你可以看到一些关于 ravmone.exe,autorun.inf这些项,删除掉就行,不过不能乱删除的,系统出错我不负责.
另外,我电脑是在HKEY_USERS\S-1-5-21-515967899-1390067357-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5603
和HKEY_USERS\S-1-5-21-515967899-1390067357-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5604下
如果有不懂的,打开这个注册表项,把图发上来,我帮你判断什么可以删什么不可以删

2006-6-7补充:如果搜索autorun.inf没有结果,那么搜索ravmone.exe,bittorrent.exe试试.因为有个类似的木马是bittorrent.exe文件的.

作者: 大麻哈鱼 时间: 2006-6-6 04:36
呵呵，防毒意识确实要有啊，
小网站最好别去，杀毒的注意及时更新。

作者: 绝望领域 时间: 2006-6-6 04:38
补充一点,截止2006-6-5,,病毒是最新的病毒,杀毒软件无法删除的.

作者: 绝望领域 时间: 2006-6-6 04:53
杀毒还在进行中,发现一个变种,生成的病毒文件名叫bitterrent.exe,其他文件和发生症状与第一个一样

作者: 绝望领域 时间: 2006-6-6 05:00
HKEY_USERS\S-1-5-21-861567501-1637723038-682003330-1004\SOFTWARE\Revenger inc.\CMenuExtender\fileNames

I:\bittorrent.exe,I:\msvcr71.dll,I:\autorun.inf(I代表U盘的盘符)

这是从我同学电脑中查出的,路径不一样,但是只要删除那就个项就可以清除auto自动打开的选项,恢复正常的打开

作者: 肥武 时间: 2006-6-6 05:36
对，无业圣人他们学校好多人都中招了

作者: 大麻哈鱼 时间: 2006-6-6 17:54
呵呵，说老实话，这个毒算低级的了。没.sys,没services,没winlogon,没rootkit. [s:4]

作者: yuanwen2006 时间: 2006-6-7 20:18
删除键值是把它后面的数据删除吗？

作者: 绝望领域 时间: 2006-6-7 21:03
就是注册表编辑器,右边那个框里的一条条记录一样的东西啊.

作者: bingzhu 时间: 2006-6-8 00:42
现在专业机房里出现了新病毒，有还原卡还能中毒，看来这毒还是蛮强的！
昨天上机一个个反映慢，我的是超慢，火了，把能关的全关了，网也给断了，真是郁闷！！！
有没有谁研究过这病毒，现在要考试了，我是没时间去搞了哦！！^_^

作者: amwzhenyu 时间: 2006-6-8 01:24
移动硬盘上所有的.EXE文件都被感染了。。郁闷。。。

作者: bingzhu 时间: 2006-6-8 02:38
昨天我同学的U盘插到电脑上一看,文件名全是乱码!不知道是不是这家伙干的!!!!哎........

作者: ldb逍遥自在 时间: 2006-6-8 22:12
看到这种病毒的解决方法非常激动 (不会为找不到高手而烦恼郁闷) 希望版主能把我加为好友我的 QQ 527102696

作者: angle655 时间: 2006-6-8 22:58
阿三,你又在这害人了

作者: feixuelingk 时间: 2006-6-8 23:32
是不是要把所有ＲＵＮ下的键值都删掉啊，这是我ＲＵＮ下的，
[attach]13708[/attach]
你帮我看看这个能不能删的
[attach]13709[/attach]
谢谢拉，真是辛苦你了，呵呵

作者: feixuelingk 时间: 2006-6-8 23:38
我的邮箱是feixuelingkong@yahoo.com.cn
知道能告诉我一声不
谢谢你了
你可是我的救星
看了你的帖子才知道自己中了毒

作者: 绝望领域 时间: 2006-6-9 00:14

引用第15楼feixuelingk于2006-06-08 15:32发表的“”:
是不是要把所有ＲＵＮ下的键值都删掉啊，这是我ＲＵＮ下的，
[attach]21073[/attach]
你帮我看看这个能不能删的
[attach]21074[/attach]
谢谢拉，真是辛苦你了，呵呵

首先你第一副不是RUN下的键值,
第2副图里的,前3个肯定是那个病毒,第4个从名字看,可能也是病毒文件.可以删除.
另外,光删除键值没用,还要删除相应的病毒文件,你可以在我的电脑里搜索相关病毒文件,就是数据项里面的那些.

稍后我把删除过程截图吧

作者: 惟一 时间: 2006-6-9 00:27
HKEY_USERS\S-1-5-21-515967899-1390067357-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5603
和HKEY_USERS\S-1-5-21-515967899-1390067357-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5604
根本的都是搜索过的历史记录。
杀毒注册表首先看services,run,load，

作者: 绝望领域 时间: 2006-6-9 00:28

引用第10楼bingzhu于2006-06-07 16:42发表的“”:
现在专业机房里出现了新病毒，有还原卡还能中毒，看来这毒还是蛮强的！
昨天上机一个个反映慢，我的是超慢，火了，把能关的全关了，网也给断了，真是郁闷！！！
有没有谁研究过这病毒，现在要考试了，我是没时间去搞了哦！！^_^

正如楼上所说,最近流行一种能够穿透还原卡的病毒,我还以为上次那种QQ病毒是小病毒呢...

作者: 不是马甲 时间: 2006-6-9 00:49
昨天中了这个病毒
估计被同学带过来的
现在还没杀掉,麻烦了

作者: 我是誰 时间: 2006-6-9 05:44

引用第1楼曾经的回忆于2006-06-05 20:23发表的“”:
另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
.......

纠正楼主的一点小小小小的问题:
auto选项并不是由注册表控制的。autorun.inf就是专用用来控制存储盘的自动播放功能，内容一般如下格式

[autorun]
OPEN=SETUP.EXE
ICON=SETUP.EXE,1
shell\configure=配置(&C)...
shell\configure\command=SETUP.EXE
shell\install=安装(&I)...
shell\install\command=SETUP.EXE

复制代码

open表示自动播放运行的程序，icon是盘图标，而后面的shell就表示自定义的菜单项了。

如果没猜错，Ｕ盘里的autorun.inf内容应该包括

[autorun]
open=RavMonE.exe
shell\auto=auto
shell\auto\command=RavMonE.exe

复制代码

所以，只要把autorun.inf删除，就能解决菜单的问题。你发上来的注册表项都是无关的

这个病毒看起来应该非常简单，msvcr71.dll表明是VC编写的。没经过多少的防杀处理，没什么大破坏力。

作者: 绝望领域 时间: 2006-6-9 19:09

引用第18楼惟一于2006-06-08 16:27发表的“”:
HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5603
和HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5604
根本的都是搜索过的历史记录。
杀毒注册表首先看services,run,load，

请这位朋友先看清楚.
我说的这个HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5603
和HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5604
是指要去掉U盘打开方式中的AUTO选项,因为这个打开方式,里面用SHELL命令运行了病毒文件.
至于你说的services,run,load是删除病毒的自启动项,我会手动杀毒,这些肯定知道.

作者: 绝望领域 时间: 2006-6-9 19:09

引用第21楼我是誰于2006-06-08 21:44发表的“”:

纠正楼主的一点小小小小的问题:
auto选项并不是由注册表控制的。autorun.inf就是专用用来控制存储盘的自动播放功能，内容一般如下格式
[code]
[autorun]
.......

这个自动播放的确在注册表项中存在,

作者: 我是誰 时间: 2006-6-9 23:12
看来的确如此，病毒利用shell键在注册表中也建立了菜单项。 [s:1]

作者: amwzhenyu 时间: 2006-6-11 01:34
小伙子，最近这××病毒很是泛滥啊。。刚又人打电话跟偶说咋办了。。。哎

作者: JQ 时间: 2006-6-11 02:57
这个病毒算是比较简单了
用右键打开U盘就不会触发病毒

作者: 烈火如歌 时间: 2006-6-13 01:52
全班中毒

作者: 恒温17℃ 时间: 2006-6-14 06:19
刚删了。。。。。。

是说最近怎么不对劲

作者: tangyouyou 时间: 2006-6-14 08:16
我的天啊~~~~~~
我在安全模式下找不到ravmone.exe的进程,不过发现bittorrent.exe这个程序再运行
在c:/windows/system32里面搜不到ravmon，可是盘照样有毒.........
而且
我运行regedit.exe后发现
HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c:\windows\bittorrent.exe
这个程序占用很多内存,400多MB~~~~
我不知道该怎么办啊~~~~~~~各位救救啊~~~~~~~~~

[s:8]

作者: 雨寒 时间: 2006-6-17 00:49
全部步骤写一下吧楼主，给你加分，我想把autorun。INF清空后删除病毒文件，再在注册表里删除那些键值就可以了吧，这个病毒很聪明，因为进程与瑞星杀毒还有BT软件的相似。

作者: nansha 时间: 2006-8-28 22:19
症状:
当用户双击U盘盘符，会激活autorun.inf自动加载RavMonE.exe
中毒之后，计算机识别U盘时会极为缓慢，病毒又会传染给新的U盘
U盘的打开方式里首选一个auto,其实就是用来激活被感染U盘中的病毒文件,继续感染其他电脑俺中过这毒！症状一模一样．

作者: 荒凉的河岸 时间: 2006-8-28 22:43
貌似偶电脑被改成USB启动

作者: 无聊人 时间: 2006-8-29 11:05
feixuelingk 你是怎么把这些注册表图片弄上论坛的啊

作者: xugeyuanbawo! 时间: 2010-4-14 15:45
怎么预防病毒啊？？？

作者: 依旧 时间: 2010-4-14 17:26
这帖子好有历史感a~~~

欢迎光临碧海潮声大学生网 (http://www.zjoubbs.com/)