U盘病毒和Autorun.inf文件分析和解决方法

草屋

经常使用U盘的朋友可能已经多次遭遇到了U盘病毒，U盘病毒是一种新病毒，主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称，正是这个道理。就好像身体上有个创口，有可能进入的细菌就不止一种，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种，详细的数字应该没人去统计吧。  
　　现在先说说autorun.inf这个所谓的创口吧……
　　首先，autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。 字串2
　　但相信你已经注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，一插入电脑就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。
　　这里再说说计算机病毒：跟生物界的状况是一样的，细菌、病毒跟人类都是生物体，甚至在大部分情况下，这些微生物也并非完全有害，也会与人体共存。电脑中的病毒跟正常程序一样，都是使用基础原理一致的源代码编写、执行的，只是软件执行的是用户需要的、正常的功能，病毒执行的是用户不需要的、不正常的功能，这里有一个辩证的相对性在里面。简单的例子，比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件，假设我autorun.inf中使用了Format或del命令，那么表示我可以让别人的机器被格式化，或者删除了一些文件，而这其实不需要太高深的电脑知识。
　　说完autorun.inf，再说说目前相关的U盘病毒的隐藏方式：
有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的： 字串8




  另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。
　　也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。要让自己能看到隐藏的文件，怎么办？个人如操作，按如下步骤：打开“我的电脑”，在菜单栏上点“工具”，点“文件夹选项”，出现一个对话框，选择“查看”标签，然后对照下图：




如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西




上图左侧是带病毒的U盘，右键菜单多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。　
　　综上所述：
　　引用
　　目前的U盘病毒都是通过Autorun.inf来进入的； 字串5
　　Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；
　　不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；
　　一般情况下，U盘不应该有Autorun.inf文件；
　　如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。  
如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；
　　同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。
　　注：部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。


　　下面说说RavMon.exe病毒的解决办法吧：
　　昨天某人发现她的U盘有病毒，KV报出一个RavMonE.exe文件，这个也是最经典的一个U盘病毒了……
　　
　　RavmonE.exe病毒运行后，会出现同名的一个进程，该程序并貌似没有显著危害性。程序大小为3.5M，貌似用Python写的，一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由于该疑似病毒文件过于巨大，一般随移动存储器传播。 字串5
　　解决方法：
　　1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程。
　　2、进入c：\\windows，删除其中的ravmone.exe。
　　3、进入c：\\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\\software\\Microsoft\\windows\\CurrentVersion\\Run\\，在右边可以看到一项数值是c：\\windows\\ravmone.exe的，把他删除掉

草屋

经常使用U盘的朋友可能已经多次遭遇到了U盘病毒，U盘病毒是一种新病毒，主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称，正是这个道理。就好像身体上有个创口，有可能进入的细菌就不止一种，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种，详细的数字应该没人去统计吧。  
　　现在先说说autorun.inf这个所谓的创口吧……
　　首先，autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。 字串2
　　但相信你已经注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，一插入电脑就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。
　　这里再说说计算机病毒：跟生物界的状况是一样的，细菌、病毒跟人类都是生物体，甚至在大部分情况下，这些微生物也并非完全有害，也会与人体共存。电脑中的病毒跟正常程序一样，都是使用基础原理一致的源代码编写、执行的，只是软件执行的是用户需要的、正常的功能，病毒执行的是用户不需要的、不正常的功能，这里有一个辩证的相对性在里面。简单的例子，比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件，假设我autorun.inf中使用了Format或del命令，那么表示我可以让别人的机器被格式化，或者删除了一些文件，而这其实不需要太高深的电脑知识。
　　说完autorun.inf，再说说目前相关的U盘病毒的隐藏方式：
有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的： 字串8




  另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。
　　也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。要让自己能看到隐藏的文件，怎么办？个人如操作，按如下步骤：打开“我的电脑”，在菜单栏上点“工具”，点“文件夹选项”，出现一个对话框，选择“查看”标签，然后对照下图：




如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西




上图左侧是带病毒的U盘，右键菜单多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。　
　　综上所述：
　　引用
　　目前的U盘病毒都是通过Autorun.inf来进入的； 字串5
　　Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；
　　不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；
　　一般情况下，U盘不应该有Autorun.inf文件；
　　如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。  
如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；
　　同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。
　　注：部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。


　　下面说说RavMon.exe病毒的解决办法吧：
　　昨天某人发现她的U盘有病毒，KV报出一个RavMonE.exe文件，这个也是最经典的一个U盘病毒了……
　　
　　RavmonE.exe病毒运行后，会出现同名的一个进程，该程序并貌似没有显著危害性。程序大小为3.5M，貌似用Python写的，一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由于该疑似病毒文件过于巨大，一般随移动存储器传播。 字串5
　　解决方法：
　　1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程。
　　2、进入c：\\windows，删除其中的ravmone.exe。
　　3、进入c：\\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\\software\\Microsoft\\windows\\CurrentVersion\\Run\\，在右边可以看到一项数值是c：\\windows\\ravmone.exe的，把他删除掉