〖原创〗最近流行的一种U盘病毒,大家要注意

绝望领域

这个U盘病毒大概是在6月1号流行的,随着大家毕业的临近,这个U盘病毒的蔓延也越来越快了.



这是一种新病毒正在通过U盘、移动硬盘传播
目前，各杀毒软件尚未将它列为病毒。

该病毒由如下文件组成：
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog

症状:
当用户双击U盘盘符，会激活autorun.inf自动加载RavMonE.exe
中毒之后，计算机识别U盘时会极为缓慢，病毒又会传染给新的U盘
U盘的打开方式里首选一个auto,其实就是用来激活被感染U盘中的病毒文件,继续感染其他电脑.

另外,这个病毒还把机器从1680和1681端口连接如下Ip：59.41.36.35；61.142.238.94；并从3568端口向58.63.179.228:5288发送数据，以上IP归属地均在广东省广州市。并且,偷偷地开了你电脑的远程登录程序,由此看来,虽然并没有对你系统造成多少危害,但是对于个人隐私以及个人信息的保护来说,存在着很大危害.

大致的解决方法:
步骤1: 显示所有文件;(如果已经设置过的可以进入下一步)
      我的电脑——工具——文件夹选项——【查看】分页
      勾选“显示所有文件和文件夹”，取消“隐藏受保护的操作系统文件(推荐)”
步骤2:按Ctrl+Alt+Del组合键进入进程管理,终止RavMonE.exe(RavMon和RavMonD为正常的瑞星杀毒软件进程)
步骤3:先删除U盘下的病毒文件autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
步骤4:在开始菜单>>>运行>>>输入regedit，删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

大概就能解决情况了

绝望领域

另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
打开注册表,在开始菜单>>>运行>>>输入regedit,选择查找autorun.inf,如果没有则查找bittorrent.exe,ravmonE.exe找到这一个键值,然后删除就OK了,在那里你可以看到 一些关于 ravmone.exe,autorun.inf这些项,删除掉就行,不过不能乱删除的,系统出错我不负责.
另外,我电脑是在HKEY_USERS\S-1-5-21-515967899-1390067357-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5603
和HKEY_USERS\S-1-5-21-515967899-1390067357-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5604下
如果有不懂的,打开这个注册表项,把图发上来,我帮你判断什么可以删什么不可以删


2006-6-7补充:如果搜索autorun.inf没有结果,那么搜索ravmone.exe,bittorrent.exe试试.因为有个类似的木马是bittorrent.exe文件的.

大麻哈鱼

呵呵，防毒意识确实要有啊，
小网站最好别去，杀毒的注意及时更新。

绝望领域

补充一点,截止2006-6-5,,病毒是最新的病毒,杀毒软件无法删除的.

绝望领域

杀毒还在进行中,发现一个变种,生成的病毒文件名叫bitterrent.exe,其他文件和发生症状与第一个一样

绝望领域

HKEY_USERS\S-1-5-21-861567501-1637723038-682003330-1004\SOFTWARE\Revenger inc.\CMenuExtender\fileNames

I:\bittorrent.exe,I:\msvcr71.dll,I:\autorun.inf(I代表U盘的盘符)

这是从我同学电脑中查出的,路径不一样,但是只要删除那就个项就可以清除auto自动打开的选项,恢复正常的打开

肥武

对，无业圣人他们学校好多人都中招了

大麻哈鱼

呵呵，说老实话，这个毒算低级的了。没.sys,没services,没winlogon,没rootkit. [s:4]

yuanwen2006

删除键值是把它后面的数据删除吗？

绝望领域

就是注册表编辑器,右边那个框里的一条条记录一样的东西啊.