yoon2002

RavMonE.exe病毒
一种新病毒正在通过U盘、移动硬盘传播目前，各杀毒软件尚未将它列为病毒推荐大家使用公用电脑时，使用带写保护口的U盘！

该病毒由如下文件组成：
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog

当用户双击U盘盘符，会激活autorun.inf自动加载RavMonE.exe
中毒之后，计算机识别U盘时会出现一些问题，双击打开十分缓慢，且U盘无法正常退出，病毒又会传染给新的U盘单看文件名就可判定这是病毒，RavMonE.exe企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件

解决办法：
1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程
2、进入c:\windows，删除其中的ravmone.exe
3、进入c:\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c:\windows\ravmone.exe的，把他删除掉
4、完成后，病毒就被清除了。对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。至此为止,您机器上的“木马”就算完全解除了.

现在是您的移动设施,首先你您的移动设施拔出,再插入(这个步骤不能少).在我的电脑中该盘符上按住鼠标右键.检查第一个选项是否为"Auto“,如果是,那就是该盘已中马,如果不是,可以放心双击使用.

如果为"Auto“了,目前有两种解决方法:
1,格式化该移动设施,该法删除比较彻底,适合文件不多、空间不大的移动设施,格式化后,问题完全解决
2,点右键选择”打开“(千万不能双击打开,否则木马又会进行复制),找到该盘下的ravmonE.exe文件,autorun文件,超级文本以fot开头的文件,全部删除(autorun、超级文本以fot为隐藏,可以在我的电脑窗口最上端-工具-文件夹选项-查看-显示所有隐藏文件让它显示),在确定没有上述文件后,退出U盘,再插入检查是否有"Auto“,如果没有,则删除成功.

总结一下:
1、避免中此种木马只需在开启移动设施的时候右键-打开进入即可,这样拷贝或打开盘内文件均不会被感染,木马的传播方式是“双击该盘盘符”。
2、通过观察是否有"Auto“判断该盘是否中过此类木马,再通过"Auto“解决方案进行处理


wincfgs.exe病毒
病毒文件：wincfgs.exe (c:\windows\system32\wincfgs.exe)
病毒名称：Trojanspy.USBpy.a
相关症状：开机自动弹记事本，修改系统启动项.
传播途径：U盘等移动存储
清除方法：打开任务管理器结束wincfgs进程控制面版-文件夹选项-设置显示系统文件及隐藏文件
删除C:\windows\KB20060111.exe(也许文件名不同，和记事本一样的蓝色图标)
删除C:\windows\system32\wincfgs.exe(黄色问号图标的隐藏系统文件)

开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将"项、值、数据"这三个查找选项选上,搜索"KB20060111.exe"，删除找到的项/值，按F3键查找下一个并删除项/值,直到搜索完毕.
同理搜索删除".\RECYCLER\RECYCLER\autorun.exe"和 "wincfgs.exe"的相关项/值

注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项.(因为第5步已经删除，如果没有看到wincfgs相关项则略过)

开始-运行-msconfig-点最后的"启动"-取消"wincfgs"-确定-重启至此,病毒已经清除完毕!

msinfmgr.exe病毒
现象：病毒主文件的文件名为msinfmgr.exe。在染毒的闪盘上会发现有msinfmgr.exe和autorun.inf文件，感染电脑后在安全模式下会看到/windows/system32下建立msinfmgr.exe和msinfmgr.dll文件，在/windows/system32/drivers下建立msinfomgr.sys文件。在D盘下建立文件msinfmgr.exe和autorun.inf文件，因此有不少人中毒后重装系统一样染毒。任务管理器中会出现多个msinfmgr.exe进程，并会不断增多，短时间内就会造成系统瘫痪，同时很多软件都无法运行，进入Windows会报错。

解决方法：
1 进入安全模式
2 在“开始--运行”下：regedit
注意：在对注册表进行操作的时候，最好先将注册表备份，方法：“开始”—“导出注册表”将备份注册表文件放在非系统盘，当杀毒完毕以后，再将备份注册表文件删除。
3 查找msinfmgr 第一次查找到的是LEGACY_MSINFMGR
A) 删除LEGACY_MSINFMGR。
若提示“无法删除LEGACY_MSINFMGR：删除时出错” ---解决方法：选择该项右键权限—完全控制点勾。应用，然后就可以删除了。
B）接着继续查找msinfmgr 会找到一个msinfmgr文件夹，删除。
接着继续查找msinfmgr，找到就删除，直到整个注册表内都删除完毕。

打开我的电脑，在“工具—文件夹选项—查看”
1 将“隐藏受保护的操作系统合文件夹”和“隐藏已知文件类型的扩展名”对勾摘掉；
2 选择“显示所有文件和文件夹”选项。然后应用。
A）在system32目录下：
删除msinfmgr.exe和msinfdll.dll这俩个文件，在删除msinfdll.dll时，会提示无法删除。解决方法：修改msinfdll.dll文件的后缀名为“msinfdll.txt”，这时还是不能删除，需要在第5步完成以后才可以重启再删除。
B）在system32\drivers目录下：
删除msinfomgr.sys
4 在D盘下删除msinfmgr.exe和Autorun.inf这俩个文件，并且检查其他盘符下是否有msinfmgr.exe和Autorun.inf这俩个文件，全部删除。
5 重新启动计算机：
在system32目录下删除刚才修改后缀名的那个msinfdll.txt文件。


AdobeR.exe病毒
症状：每次插上U盘，都会在U盘根目录下产生一个AdobeR.exe文件，图标是一个普通可执行程序的图标。同时，会产生一个隐藏的autorun.inf文件，内容大意为“双击U盘，则执行AdobeR.exe”。在注册表开机运行目录下，也产生一个运行那个文件的指令。最关键的是，每次删掉后拔掉，再插上，都会重新在产生那两个文件！

机理：这是一个U盘病毒。基本过程是检测到有U盘插入后自动从感染主机中复制AdobeR.exe和自动启动文件autorun.inf，使得U盘图标在被双击后，执行AdobeR.exe，吞噬系统的内存（每次双击，进程里都会多一个adober.exe），并修改注册表，在系统盘中自我备份，以感染更多的插往该主机上的U盘。

解决方案：打开:我的电脑——工具——文件夹选项——查看选项页去掉 {{{ 隐藏受保护的操作系统文件（推荐） }}} 前面的勾勾选 {{{ 显示所有文件和文件夹 }}}
删除C:\windows下的adober.exe
删除U盘里的adober.exe autorun.exe autorun.inf
然后打开注册表，ctrl＋F及F3查找所有包含adober.exe的，删除注意:注册表里有很多,所以多ctrl＋F几下


DOC.exe病毒
表现特征：
U盘插入后，即被写入win32.exe、win33.exe以及很多.exe的病毒文件，以相似图标冒充mp3和doc文档；任务管理器打开察看，有名为doc.exe的进程。
此病毒名为：Worm.DocKill.b（移动杀手），可感染Win95以上的操作系统，以及MP3、U盘、软盘等存储媒体

病毒根治：
1.不要插U盘
2.在任务管理器中将 DOC.exe 结束
3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除
4.打开资源管理器，找到文件夹
c:\Documents and settings\All Users\[开始]菜单\程序\启动
将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe)
5.运行regedit，将开机运行项目中的doc.exe清除
在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(另有资料表明：该病毒还创建了 c:\windows\system32\hook.dll , 并将之加入了注册表启动项里，不过我这里没发现这种情况)
后遗症的治疗：经该病毒感染后，系统无法显示隐藏文件和文件扩展名，即使去文件夹选项中去改设置也没用，这时需要手工去注册表改
6.显示所有文件和文件夹在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
将CheckedValue的值改为1
7.取消"隐藏已知文件的扩展名"
在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\HiddenFileExt]
将 CheckedValue的值改为0
改完后，去文件夹选项看，在"选显示所有文件和文件夹"已恢复正常了
8.插上U盘，将其中的*.exe文件全部删除
基本上就杀灭完成了

主机杀完毒后，找个恢复删除文件的工具来恢复U盘文件，不过很难说能不能再找回来，请节哀！试下这个软件：
O&O DiskRecovery 3.0 汉化破解版
http://www.hanzify.org/index.php?Go=Show::List&ID=9307


ROSE.exe和COPY.exe病毒
病毒主要表现：
1、在系统中占用大量cpu资源
2、在每个分区下建立copy.exe和autorun.inf 两个文件(copy还生成host.exe)，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。
4、删除word文档，前几天一个老师的电脑中病毒后，电脑里的所有word文档被删除，其他文件都没事。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统。由于某些原因，各种杀毒软件均没有提供相应的病毒库，导致无法通过杀毒软件查杀该病毒。

现提供手动杀毒方式，具体如下：
1、调出任务管理器，在进程页面中结束掉所有名称为Rose.exe或者是temp1.exe和temp2.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，查找所有的“rose.exe”键值项，找到后将整个shell子键删除。
3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的copy.exe和autorun.inf文件(copy还有host.exe)。
5、在c:windows\system32下查找有没有rose.exe或者是temp1.exet和temp2.exe文件，如果存在就直接删掉。

对于copy.exe还可以：
将如下的内容复制，保存成一个文件，文件名 s.bat 。（打开记事本，将如下的内容复制进去，然后选择 “文件”菜单-->另存为，保存类型一定要选择“所有文件” ，文件名输入 "s.bat" 【你最好直接拷贝，" 是半角的单引号切记切记】将这个文件保存到桌面即可然后在桌面上双击 s.bat 这个文件，运行，重启你的电脑，问题即可解决
;------------ 线下面的内容复制，别复制这一行 ----
@echo off
c:
cd \
attrib -s -h -r copy.exe
del copy.exe /F
attrib -s -h -r *.inf
del autorun.inf /F
d:
cd \
attrib -s -h -r copy.exe
del copy.exe /F
attrib -s -h -r *.inf
del autorun.inf /F
e:
cd \
attrib -s -h -r copy.exe
del copy.exe /F
attrib -s -h -r *.inf
del autorun.inf /F
@echo 修复完成。按任意键继续……记得手动重启计算机!!
pause
;------------复制该线以上的内容别复制这一行 --------

最近这种病毒非常猖獗,虽然很容易就杀掉了,但也会影响大家的工作.建议大家在打开U盘时,用右键打开,如果发现右键菜单里有自动播放选项,说明中招了,选择打开进入U盘后,把病毒删除即可免去上面大量的工作.同时建议关闭自动播放功能。

[ 本帖最后由 taokevin 于 2008-4-8 14:30 编辑 ]

yoon2002

SES.exe病毒
双击E和F盘时系统提示：windows找不到文件sxs.exe。

解决方法：这是修改过的ROSE病毒可以结束SXS的进程删除，记住，用鼠标右键进入硬盘同时按下Ctrl+Shift+Esc三个键打开windows任务管理器选择里面的“进程”标签在“映像名称”下查找“sxs.exe” 但击它再选择“结束进程”

一定要结束所有的“sxs.exe”进程打开我的电脑单击工具菜单下的“文件夹选项”

单击“查看”标签把“高级设置”中的

“隐藏受保护的操作系统文件（推荐）”前面的勾取消并选择下面的“显示所有文件和文件夹”选项单击“确定”

用鼠标右键点C盘（不能双击！）选择 “打开”

删除C盘下的 “autorun.inf”文件和“sxs.exe”文件用鼠标右键点D盘选择 “打开”

删除D盘下的 “autorun.inf”文件和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）

……

以此类推删除所有盘上的 AUTORUN.INF文件和“rose.exe”文件单击开始选择“运行” 输入 "regedit"(没有引号) ，回车依次展开注册表编辑器左边的我的电脑

>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

删除Run项中的 ROSE （c:\windows\system32\SXS.exe）这个项目关闭注册表编辑器然后重新启动计算机删除硬盘上是ROSE：按下shift键不放插入U盘直到电脑提示“新硬件可以使用”

打开我的电脑这时在U盘的图标上点鼠标右键选择“打开” （不要点自动播放或者是双击！）删除 SXS.exe和autorun.inf文件病毒就没有了


TOY.exe(比肩社区)病毒
最近出现的西南民族大学“比肩社区病毒”！疯狂传播，一定要小心！卡巴，诺顿，江民、瑞星、金山、PC-cillin、McAfee VirusScan、熊猫卫士等杀毒软件几乎都不能彻底查杀（查杀后依然不能双击打开U盘）！

一般感染途径：
这种情况多半是因为在WINXP/WIN2003下使用了优盘或者移动硬盘引起的。病毒隐藏在优盘上，有两种方式感染电脑：
1、插上USB接口后，系统会有自动播放，点击确定，就自动运行病毒文件； -_eQ t|8P
2、自动播放窗口点取消，此时并非万事大吉，当双击我的电脑后，双击优盘盘符，这时你打开的并不是优盘，而是运行了病毒程序！正确的方法是在优盘上点右键，再点打开。在使用移动介质时一定要有防范意识！

如果你没有注意以上两点，碰巧你的优盘上又有比肩的病毒，那你就已经中招了。此时，桌面上会显示PS: can you find the program',27h,'s interface ?
History Must Be Remeber !
God said: Let there be light. And there was light.
And darkness was upon the face of the deep.
And the earth was without form, and void
In the beginning God created the heaven and the earth.
仅以此悼念比肩!
......
比肩社区( Compare And Cooperation ): 等文字信息。病毒作用机理：

病毒发作症状：病毒在用户桌面上显示特定的信息。当用户插入移动设备时,病毒将自身复制至移动设备根目录下，并添加自动启动文件，使用户连接其它电脑时，感染病毒。病毒主要通过移动设备进行传播。最大的危险：他会将你U盘的WORD文档删掉！

1、病毒运行后将自身复制为以下文件:
c:\windows\system32\mslog0n.exe
c:\windows\system32\wincfgs.exe

2、同时将病毒复制至以下文件夹下，以实现病毒开机自动启动:
C:\Documents and Settings\用户名\[开始] 菜单\程序\启动\systemnt.exe

3、当用户插入移动设备时，病毒将自身复制为以下文件:
%Root%\toy.exe
半生成自启动文件"%root%\autorun.inf",文件内容如下:
[autorun]
shellexecute=Toy.exe

无需恐慌：

这时首先打开任务管理器，点进程，按映像名称排序，你可以找到这这些或者部分进程：windows.exe，temp2.exe，winlog0n.exe（注意0n不是on，前面的是阿拉伯数字零）和以当前用户名运行的svchost.exe进程(此处注意,必须是当前用户名运行的svchost.exe进程,用户名为system的是系统进程,结束掉这个进程很容易造成系统重启,建议到安全模式下杀毒)。它们会占用大量系统资源，导致运行速度变慢，分别将它们结束。

接下来干掉病毒的主要文件，先在文件菜单的工具的文件夹选型中的查看选项中将显示所有文件选上,取消隐藏受保护的系统文件选项,确定后以资源管理器的方式打开C盘,到相应目录下删除前述病毒文件(在删除过程中,如果提示文件在使用或者磁盘保护无法删除提示之类的,记得调出任务管理器,干掉前面提到的temp2.exe进程,如果在安全模式下可能不会出现这样的问题)。
当然以上的清除过程也可以交给杀毒软件来完成,目前各大杀毒软件都能查杀,其实杀毒后打不U盘的问题,主要是杀毒软件不会杀掉文件Autorun.inf文件和没有修复注册表带来的问题.

如果是按上面手工删除的方法,可以直接开始修复注册表的步骤,如果是用杀毒软件查杀的,按手工的方法先将U盘盘符下的Autorun.inf文件删除,如果害怕删错,可以用记事本先打开看看,如果看到如下字样,表示是病毒文件:
[autorun]
Shellexecute=copy.exe
杀无赦！！！！！手工修复注册表:（实在不熟悉注册表或嫌麻烦的可以用超级兔子等相应功能解决）

依次打开开始菜单、运行，输入regedit回车，在新开的注册表编辑器窗口里选中”我的电脑“，点工具栏上的”编辑\查找“按钮，输入Toy.exe,并将”查看“下面各项勾选上，回车，待查找到相应的键值后右键删除，再按F3按钮继续查找，直至全部查到删除。
如此这般再查找删除：Autorun.inf等键值。至此，应该已经完全解决比肩社区病毒困扰问题。防范措施：

打开记事本编辑如下:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5

将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件"
然后双击此文件将其导入注册表【注意】：打开U盘时不能双击盘符，要点鼠标右键，再选打开。

[ 本帖最后由 yoon2002 于 2006-11-11 17:40 编辑 ]

twrainy

大家的U盘在打开之前可以先查一边毒

yoon2002

最好禁止“自动播放”，右键－打开U盘～