U盘病毒与Autorun.inf文件详细分析(3)

综上所述：

　　引用

　　目前的U盘病毒都是通过Autorun.inf来进入的；

　　Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；

　　不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；

　　一般情况下，U盘不应该有Autorun.inf文件；

　　如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒；

　　如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；

　　同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。

　　注：部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。

　　下面说说RavMon.exe病毒的解决办法吧：

　　昨天某人发现她的U盘有病毒，KV报出一个RavMonE.exe文件，这个也是最经典的一个U盘病毒了……

　　引用

　　RavmonE.exe病毒运行后，会出现同名的一个进程，该程序并貌似没有显著危害性。程序大小为3.5M，貌似用Python写的，一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由于该疑似病毒文件过于巨大，一般随移动存储器传播。

　　解决方法：

　　1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程。

　　2、进入c：\windows，删除其中的ravmone.exe。

　　3、进入c：\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c：\windows\ravmone.exe的，把他删除掉。

　　4、完成后，病毒就被清除了。

　　杀掉U盘中的病毒的方法：

　　对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。

　　但对于上面的处理U盘中的病毒的方法，经过我的亲身经历后作小小补充：就是在删除autorun.inf，msvcr71.dl，RavMonE.exe这三个文件时，直接删可能会删不掉的，要先到进程管理那了先结束RavMonE.exe再删除这三个文件，如果还不行就到安全模式里删，这样就一定行。

　　小结：

　　不要以为这个是小小的病毒，它是不知不觉的在后台运行的，它长期会占用你差不多20M内存，它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行，例如学校，公司等。这个病毒任你格式化U盘也格不掉，用很多杀毒软件也奈它不何。一般让你看不出来，不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”，看看……你可能见到多出了三个不明的文件，那你就是中招了！有空检查一下你的U盘吧！祝你好运！注意：如果进程是Ravmon.exe ，这个应该是瑞星的程序而不病毒！