VPS    微软    Win10    云市场    苹果    Office2016

详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒

 技术教程   2006-09-17
详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒

最近,有关U盘病毒的情况非常严重,以湛江年会为例,在各人递交的U盘上,发现有病毒的比例可以高达90%。

这里记录一下有关此病毒的一些个人看法:

首先,目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的,而事实上autorun.inf相当于一个传染途径,经过这个途径入侵的病毒,理论上是“任何”病毒。因此大家可以在网上发现,当搜索到autorun.inf之后,附带的病毒往往有不同的名称,正是这个道理www.x-force.cn。就好像身体上有个创口,有可能进入的细菌就不止一种,在不同环境下进入的细菌可以不同,甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒,也因此导致在查杀上会存在混乱,因为U盘病毒不止一种或几十种~~详细的数字应该没人去统计吧。

现在先说说autorun.inf这个所谓的创口吧……
首先,autorun.inf这个文件是很早就存在的,在WinXP以前的其他windows系统(如Win98,2000等),需要让光盘、U盘插入到机器自动运行的话,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序,也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以,这本身是一个常规且合理的文件和技术。www.x-force.cn
但相信你已经注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过这个autorun.inf文件,可以放置正常的启动程序,如我们经常使用的各种教学光盘,一插入电脑就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。

这里再说说计算机病毒:跟生物界的状况是一样的,细菌、病毒跟人类都是生物体,甚至在大部分情况下,这些微生物也并非完全有害,也会与人体共存。电脑中的病毒跟正常程序一样,都是使用基础原理一致的源代码编写、执行的,只是软件执行的是用户需要的、www.x-force.cn
正常的功能,病毒执行的是用户不需要的、不正常的功能,这里有一个辩证的相对性在里面。简单的例子,比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件,假设我autorun.inf中使用了Format或del命令,那么表示我可以让别人的机器被格式化,或者删除了一些文件,而这其实不需要太高深的电脑知识。

说完autorun.inf,再说说目前相关的U盘病毒的隐藏方式:www.x-force.cn
有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的,但是堂而皇之的放在U盘里肯定会被用户发现而删除(即使不知道其是病毒,不是自己的不知名文件也会删除吧),所以,病毒肯定会隐藏起来存放在一般情况下看不到的地方了。www.x-force.cn
一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站了,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的:
详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒

另一种是假冒杀毒软件方式:病毒在U盘中放置一个程序,改名为“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。www.x-force.cn

也许有人会问,为什么在你的机器上能看到上面的文件,我的机器看不到呢?很简单,通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等等,一般情况下当然就看不到了。www.x-force.cn
要让自己能看到隐藏的文件,怎么办?
个人如操作,按如下步骤:打开“我的电脑”,在菜单栏上点“工具”,点“文件夹选项”,出现一个对话框,选择“查看”标签,然后对照下图:
详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒
通过该操作后,即可看到隐藏起来的文件,包括上述病毒了,这样,你以后也可以肉眼发现别人U盘上的病毒,作一回赤脚医生了。www.x-force.cn

如果U盘带有上述病毒,还会一个现象,当你点击U盘时,会多了一些东西:
详细解析U盘病毒、Autorun.inf文件和RavMonE.exe病毒
上图左侧是带病毒的U盘,右键菜单多了“自动播放”、“Open”、“Browser”等项目;右侧是杀毒后的,没有这些项目。www.x-force.cn
这里注明一下:凡是带Autorun.inf的移动媒体,包括光盘,右键都会出现“自动播放”的菜单,这是正常的功能。

综上所述:

- 目前的U盘病毒都是通过Autorun.inf来进入的;

- Autorun.inf本身是正常的文件,但可被利用作其他恶意的操作;

- 不同的人可通过Autorun.inf放置不同的病毒,因此无法简单说是什么病毒,可以是一切病毒、木马、黑客程序等;

- 一般情况下,U盘不应该有Autorun.inf文件;*

- 如果发现U盘有Autorun.inf,且不是你自己创建生成的,请删除它,并且尽快查毒;

- 如果有貌似回收站、瑞星文件等文件,而你又能通过对比硬盘上的回收站名称、正版的瑞星名称,同时确认该内容不是你创建生成的,请删除它;

- 同时,一般建议插入U盘时,不要双击U盘,另外有一个更好的技巧:插入U盘前,按住Shift键,然后插入U盘,建议按键的时间长一点。插入后,用右键点击U盘,选择“资源管理器”来打开U盘。

注:
*:部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计,目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式,因此建议购买U盘是先做识别,或咨询销售人员。

下面说说RavMon.exe病毒的解决办法吧:www.x-force.cn
昨天某人发现她的U盘有病毒,KV报出一个RavMonE.exe文件,这个也是最经典的一个U盘病毒了...

RavmonE.exe病毒运行后,会出现同名的一个进程,该程序并貌似没有显著危害性。程序大小为3.5M,貌似用Python写的,一般会占用19-20M左右资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字,估计可能在有窃取帐号密码之类的危害吧,不过由

于该疑似病毒文件过于巨大,一般随移动存储器传播。www.x-force.cn
解决方法:
1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
2、进入c:\windows,删除其中的ravmone.exe
3、进入c:\windows,运行regedit.exe,在左边依次点开
HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是
c:\windows\ravmone.exe的,把他删除掉
4、完成后,病毒就被清除了。

杀掉U盘中的病毒的方法:
对移动存储设备,如果中毒,则把文件夹选项中隐藏受保护的操作系统文件钩掉,点上显示所有文件和文件夹,点击确定,然后在移动存储设备中会看到如下几个文件,autorun.inf,msvcr71.dl,ravmone.exe,都删除掉,还有一个后缀为tmp的文件,也可以删除,完成后,病毒就清除了。

但对于上面的处理U盘中的病毒的方法,经过我的亲身经历后作小小补充:
就是在删除autorun.inf,msvcr71.dl,RavMonE.exe这三个文件时,直接删可能会删不掉的,要先到进程管理那了先结束RavMonE.exe再删除这三个文件,如果还不行就到安全模式里删,这样就一定行。

小结:www.x-force.cn
不要以为这个是小小的病毒,它是不知不觉的在后台运行的,它长期会占用你差不多20M内存,它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行,例如学校,公司等。这个病毒任你格式化U盘也格不掉,用很多杀毒软件也奈它不何。一般让你看不出来,不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”,看看。。你可能见到多出了三个不明的文件,那你就是中招了!有空检查一下你的U盘吧!祝你好运!
注意:如果进程是Ravmon.exe ,这个应该是瑞星的程序而不病毒

推荐使用瑞星杀毒软件进行查杀~www.x-force.cn
本站相关链接:免费享用瑞星的正版升级服务

参考资料:

解读Autorun.inf,打造自动播放光盘
解析来自Autorun.inf文件的攻击_黑客技术_黑客_天极Yesky
雅虎助手
江民科技
天天安全网- 特络伊木马如何利用文件关联和设置名
autorun.inf怎么杀? - 计算机技术- 经典论坛
原创-U盘“拒绝访问”病毒的清除办法
开机自动弹出记事本问题的解决方法- Windows操作系统使用交流- 雅虎社区

本文部分文字图片转载自 呼吸病学分会飘雪工作室 ,并由本站进行适当的补充和修改。

各位正在潜水的同学请注意,有 21 位无聊人士 在异次元附近海域出没!
  • 前天我的移动硬盘就中了ravmone.exe,发现过程如下:
    借给同事回去拷贝电影,拿回后接上自己的电脑后没发现什么问题,当双击移动硬盘的盘符后有大概15秒时间没有反映,之后打开了,可并不是平时熟悉的窗口,而是资源管理器的界面。当时有点奇怪,也没在意,当我拷贝完新的电影后关闭窗口,这时多了个心眼,想再次打开,同样过了10秒才打开。这时候就怀疑出问题了,而且想暂停USB也不行,提示说该设备目前无法终止。打开任务管理器,里面有3个ravmone.exe的进程,当我把这3个进程全部终止后USB设备就能正常关闭了。
    当时看到ravmone.exe这个进程以为是瑞星的程序,也就没认为是病毒,充其量也就类似流氓软件之类的,打开注册表删除了启动项中的启动键值,在WINDOWS目下删除了该程序文件,同时删除了移动硬盘中的autorun.inf,msvcr71.dl,ravmone.exe三个文件。然后从心里骂了瑞星,居然也用autorun.inf推广他们的程序。
    今天看了站长的文章才知道这是个病毒,谢谢提醒,今后会注意。

    10 10
     
  • 这个病毒我遇到n多~~大家用别人的U盘或者移动硬盘确实得小心一下哦……

    7 10
     
  • 讨厌的东西。
    我看到的一种组合是 autorun.inf+pagefiles.pif,还可能有其它的exe文件,都是隐藏的系统属性的文件。
    见到很多机器的本地硬盘上中了这个,不小心双击盘符就……有些是弹IE的,弹出无数IE来……
    不知道建一个空的 autorun.inf 加系统和只读属性有没有用。
    如果是NTFS格式的分区,可以建一个空的 autorun.inf,把文件权限设成所有用户都不能读写。这样就万无一失,即不影响使用,又不怕这个病毒写在你的分区上。
    不过要是碰上了 ViKing 病毒,#$%#$%#%#$……在移动硬盘上,重要的文件我一般都用RAR压缩,在别人的电脑上接来接去,也不太注意什么。好像还没有病毒可以直接写进压缩包的。(自己会解压RAR文件的病毒,太傻了吧……硬盘灯会狂闪的)

    7 10
     
  • 如果是NTFS格式的分区,可以建一个空的 autorun.inf,把文件权限设成所有用户都不能读写。这样就万无一失,即不影响使用,又不怕这个病毒写在你的分区上。

    哈哈!!还真跟我一样~~我帮n多人这样搞了。。。很有效的,用NTFS的安全权限全部设置“拒绝”!万无一失~~
    我还想着准备把这技巧加在文章后呢……[muteness]

    9 10
     
  • RECYCLER文件夾未必就是病毒產生……只要你在不同的電腦上用過移動設備,就會出現RECYCLER文件夾。

    7 10
     
  • 我也没说RECYCLER文件夾是病毒呢~~只是,这个病毒会藏在RECYCLER文件夾里而已哦

    6 10
     
  • 在干净的U盘的根目录下建立一个文件夹,命名为autorun.inf,运用windows自身文件名不能相同的属性,即可防范此病毒!!!

    10 10
     
  • 这里有个新现象。当删除U盘中的autorun.inf和cecycler后,这两个文件过一会又会自动出现。请问是怎么回事呢?中毒现象也是双击U盘无法打开,右键有2个open,点open打开U盘后发现里面有2个隐藏文件- autorun.inf&cecycler

    10 10
     
  • 更新,在进程中有ofcpfwsvcs.exe,上网看可能是病毒的说~

    9 10
     
  • 明天更新杀毒情况。另外发现,在HKEY_CURRENT_USERSoftwareMicrosoftSearch AssistantACMru路径下,很多奇怪的文件,比如说000-ofcpfwsvcs.exe;001-wincfgs.exe;003-recycler。好像都是病毒的说。

    7 10
     
  • 在C:Windows/system32中,发现两个隐藏文件,autorun3.exe和ofcpfwsvcs.exe

    8 10
     
  • 引用来自 JoJo:

    当删除U盘中的autorun.inf和cecycler后,这两个文件过一会又会自动出现

    这个肯定是病毒进程恢复了。。。要杀杀毒了。。呵呵

    8 10
     
  • 搞定了,主要是因为ofcpfwsvcs.exe。 删除后病毒不会自动出现。

    6 10
     
  • 我的U盘出现了autorun.inf和tool.exe这两个病毒,删了又有,真是讨厌
    插上U盘,按shift键,用右键打开U盘,删掉病毒文件,这是杀U盘病毒常有的方法,为什么杀我U盘的这俩毒就不奏效呢?
    以前也中过autorun.inf和sxs.exe病毒,杀了就没了,这次可遇到麻烦的了

    7 10
     
  • 因为你还有病毒的进程在后台把吧?你一删除了,它就会自动生成。。。。

    7 10
     
  • 谢谢告知。

    9 10
     
  • 真的不错。谢谢。。再谢谢。。每次来都收获很大

    7 10
     
  • 别推荐瑞星了,现在学校机房、打印室瑞星和病毒还有360都完美共存的,把大家u盘感染了,它自己没事,还跟你提示你的U盘有病毒。

    6 10
     
  • 好吧我承认我挖出这N久以前的文章是为了找有没有好用的软件能真正实现我U盘的保护……

    7 10
     
  • 现在的病毒都是隐藏U盘根目录下的 所有文件夹,

    然后生成同名的.exe病毒。。。图标和文件夹一样。。。。很强悍的~~~

    一运行就中毒。。。

    10 10
     
  • 瑞星不是万能的,它误杀了不少伪病毒文件。

    6 10
     





评论内容 (*必填):
Ctrl + Enter 快速提交