〖原创〗最近流行的一种U盘病毒,大家要注意

不是马甲

昨天中了这个病毒
估计被同学带过来的
现在还没杀掉,麻烦了

我是誰

引用第1楼曾经的回忆于2006-06-05 20:23发表的“”:
另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
.......

纠正楼主的一点小小小小的问题:
auto选项并不是由注册表控制的。autorun.inf就是专用用来控制存储盘的自动播放功能，内容一般如下格式

2. [autorun]
3. OPEN=SETUP.EXE
4. ICON=SETUP.EXE,1
6. shell\configure=配置(&C)...
7. shell\configure\command=SETUP.EXE
9. shell\install=安装(&I)...
10. shell\install\command=SETUP.EXE

复制代码

open表示自动播放运行的程序，icon是盘图标，而后面的shell就表示自定义的菜单项了。

如果没猜错，Ｕ盘里的autorun.inf内容应该包括

2. [autorun]
3. open=RavMonE.exe
4. shell\auto=auto
5. shell\auto\command=RavMonE.exe

复制代码

所以，只要把autorun.inf删除，就能解决菜单的问题。你发上来的注册表项都是无关的

这个病毒看起来应该非常简单，msvcr71.dll表明是VC编写的。没经过多少的防杀处理，没什么大破坏力。

绝望领域

引用第18楼惟一于2006-06-08 16:27发表的“”:
HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5603
和HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5604
根本的都是搜索过的历史记录。
杀毒注册表首先看services,run,load，

请这位朋友先看清楚.
我说的这个HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5603
和HKEY_USERSS-1-5-21-515967899-1390067357-1801674531-1003SoftwareMicrosoftSearch AssistantACMru5604
是指要去掉U盘打开方式中的AUTO选项,因为这个打开方式,里面用SHELL命令运行了病毒文件.
至于你说的services,run,load是删除病毒的自启动项,我会手动杀毒,这些肯定知道.

绝望领域

引用第21楼我是誰于2006-06-08 21:44发表的“”:

纠正楼主的一点小小小小的问题:
auto选项并不是由注册表控制的。autorun.inf就是专用用来控制存储盘的自动播放功能，内容一般如下格式
[code]
[autorun]
.......

这个自动播放的确在注册表项中存在,

我是誰

看来的确如此，病毒利用shell键在注册表中也建立了菜单项。 [s:1]

amwzhenyu

小伙子，最近这××病毒很是泛滥啊。。刚又人打电话跟偶说咋办了。。。哎

JQ

这个病毒算是比较简单了
用右键打开U盘就不会触发病毒

烈火如歌

全班中毒

恒温17℃

刚删了。。。。。。

是说最近怎么不对劲

tangyouyou

我的天啊~~~~~~
我在安全模式下找不到ravmone.exe的进程,不过发现bittorrent.exe这个程序再运行
在c:/windows/system32里面搜不到ravmon，可是盘照样有毒.........
而且
我运行regedit.exe后发现
HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c:\windows\bittorrent.exe
这个程序占用很多内存,400多MB~~~~
我不知道该怎么办啊~~~~~~~各位救救啊~~~~~~~~~


[s:8]