U盘病毒处理方法一览

network

对最近泛滥U盘病毒有感``


最近例如随机数字\字母的U盘病毒相当猖狂，变种较多，如果杀软没有及时收入病毒库的话，那么可能无法清除（反被病毒干掉）。此类病毒隐蔽性高，用常规方法无法发觉，但中毒症状明显，并配合关闭杀软进程、禁安全工具服务、远程下载木马等一系列恶劣行为。由于安全工具无法运行，这时候只能手工杀毒了````下面我来针对这些U盘病毒的技术做简单介绍。

1、Autorun.inf

  一个暗藏杀机的文本格式，很多情况下我们把它视为敌人，经过精心设计的Autorun.inf，它会以各种方式激活病毒，不过这此之前它仅仅是个傀儡。如果配合系统默认的"自动播放"功能,那激活病毒的机率将会是100%。

解决方法：

关闭“自动播放”功能，删除Autorun.inf

关闭自动播放功能：

开始—运行—gpedit.msc

计算机配置—管理模板—系统—停用自动播放—设置为“已启用”—选上所有驱动器—确定


此主题相关图片如下：



删除Autorun.inf：

在此之前不要双击进入分区（C盘—Z盘），不然要激活病毒的。

  建议用Winrar（解压包工具），Winrar—文件—改变驱动器—选择对应盘—右键点Autorun.inf删除，也可以用来删除可疑的EXE（Auotun.inf指向的目标）

也可以用DOS，比较简单，开始—运行—CMD，如果要在E盘下删除Autorun.inf，输入：

E:\

(到达E盘）

dir /a

（显示所有E盘下的文件）

del autorun.inf /f/s/a/q

(强制删除附加属性的Autorun.inf)

其实网上有很多的免疫的工具，有需要的话自己去找

2、IFEO重定向劫持

  最近被滥用的技术，IFEO其实是位于注册表的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  这个项主要是用来调试程序（防止溢出），对一般用户意义不大。默认是只有管理员和local system有权读写修改。假设在这个项新建个“程序名字.exe”,键值为Debugger，指向的是另一个程序路径的话，那么运行A程序的时候，会执行B，这就是重定向劫持。

解决方法：

直接把这个项锁死！（也就是写权）

  展开到Image File Execution Options项，右键点“权限”，设置允许读取，不许写入，也可以用一些专门的注册表工具设权。

  如果遇到这种情况，那么我们只要把程序改名，就可以正常运行了。然后用Autoruns删除：


点击浏览该文件

此主题相关图片如下：



  PS：[url=http://gudugengkekao.ys168.com/]http://gudugengkekao.ys168.com/[/url]我网盘里也有相关修复IFEO的工具，个人觉得挺不错的。

3、线程插入

  简单说就是一个病毒文件(dll格式的动态连接库），插入了运行中的进程，那么除非用第三方工具，否则无法发现“驻扎”在宿主内的dll病毒，因为进程管理器毫无异常。这种技术在木马界应用比较广泛，具有一定的隐蔽性。上面提到的U盘病毒就是利用这个技术，使得无法在进程里直接发现，给查杀工作带来难度。


解决方法：

  下载第三方工具，可以查看进程模块的，推荐用冰刃。主要检测Explorer进程模块，该进程是木马最喜欢的场所，应当特别留意。最好可以配合SREng日志查看，那样会更容易辨认。

4、进程守护

  早在几年前比较流行，由于目标太大，现在比较少用。典型的进程守护应该是：两个进程常驻任务管理器，相互监视对方的存在，如不在则激活。

（随机7位数字病毒使用的正是这种技术）

解决方法：

  由于无法同时结束两个进程，我们可以借助冰刃之类工具，按Ctrl同时选上两个进程，然后结束掉。


此主题相关图片如下：



5、木马的自身防护

  很多木马属性都是隐藏只读的，为了保护自己不被消灭，它们会破坏安全模式和“显示隐藏”文件功能。

解决方法：

可以用SREng修复安全模式，也可以用注册表导入。

SREng—系统修复—高级修复—修复安全模式—确定。

隐藏文件的话，用注册表导入即可。


点击浏览该文件


另附上专杀工具：

[url=http://zhuansha.duba.net/259.shtml]http://zhuansha.duba.net/259.shtml[/url]

瑞星的专杀。。。那个。。。就不。。











U盘病毒又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒,随着U盘,移动硬盘,存储卡等移动存储设备的普及,U盘病毒也随之泛滥起来.近日,国家计算机病毒处理中心 发布公告称U盘已成为病毒和恶意木马程序传播的主要途径.面对这一需要,U盘病毒专杀工具USBCleaner应运而生了.USBCleaner是一种纯绿色的辅助杀毒工具,具有检测查杀70余种U盘病毒,U盘病毒广谱扫描,U盘病毒免疫,修复显示隐藏文件及系统文件,安全卸载移动盘盘符等功能,全方位一体化修复杀除U盘病毒.同时USBCleaner能迅速对新出现的U盘病毒进行处理.


本版更新情况:
1.修正清理SexIE.exe病毒代码错误
2.修正清理autorun.pif,setuprs1.pif病毒代码错误
3.修正autorun.pif,setuprs1.pif病毒映象劫持无法清除的错误
4.修正多处变种病毒判断代码的错误
5.修正一处代码错误
6.增加7个新U盘类病毒的查杀,其中包括u.vbe,rising.exe变种,sys.exe,autorun.exe变种,ghost.pif,RECYCLER.exe变种,oso.exe变种

network

1.内置强力清除技术针对各种变种autorun自动播放病毒都可以轻松清除.
2.支持随windows自动启动后台运行,实时保护USB移动设备安全,实时查杀硬盘、mp3、u盘、mp4、移动硬盘中的自动播放类病毒.
3.实时侦测系统日期修改类病毒,可以有效查杀最新autorun类病毒.
4.软件提供了强大的系统修复功能,全面修复病毒对系统破坏,修复文件夹选项丢失、无法显示隐藏文件等问题.
5.安全打开USB移动设备且可选禁止自动播放,双重保护,不会触发播放病毒,安全可靠
7.强力修复能力使系统杀毒后轻松解决硬盘双击无法打开等系统问题。
8.支持设备安全移除功能

network

autorun.inf sxs.exe病毒手动解决方法

--------------------------------------------------------------------------------

2007-05-02 18:40:26　标签：网络安全　


autorun.inf sxs.exe病毒手动解决方法

一、确认中已中此病毒：

依次执行 开始--运行--输入"cmd"--输入"X:"(X为盘符可以是D盘，可以是E盘。)--输入"dir /a/w"

如果可以看到autorun.inf　和sxs.exe 那确定你的系统已经中此病毒。

二：解决方法：

这时候在纯DOS里,运行以下命令

比如E盘

e:

attirb -s -r -h autorun.inf

del autorun.inf

attrib -s -r -h sxs.exe

del sxs.exe

f:

attirb -s -r -h autorun.inf

del autorun.inf

attrib -s -r -h sxs.exe

del sxs.exe

.......................

每个盘符进行操作

如果不幸U盘或移动存储中标了,在干净的系统上插入U盘,注间:插入之前按住Shift键,这是防止这个U盘自动运行.否则所谓的干净又变成垃圾了.

清除成功后再去行还原或者重装,注意,一定要全部清除所有磁盘的 autorun.inf sxs.exe否则还是会中病毒的.

参考以上步骤前因该注意的问题：操作以上步骤前请清理IE临时文件夹。
出自 51CTO.COM博客

network

针对自动播放病毒有效保护,实时删除USB移动设备中的病毒,保证mp3、mp4、优盘、SD、TF、移动硬盘数据安全,修复受损系统,可以随系统自动运行.针对Autorun类播放病毒可以有效的发现并清除.
1.内置强力清除技术针对各种变种autorun自动播放病毒都可以轻松清除， 采用不基于特征码查毒方式更准确安全可靠查杀U盘病毒。
2.支持随Windows启动后台运行，实时保护USB移动设备安全，实时保护 硬盘、mp3、u盘、mp4、sd卡、tf卡、psp、移动硬盘中的自动播放类病毒。
3.实时侦测系统日期修改类病毒，可以有效查杀最新autorun类U盘病毒。
4.软件提供了强大的系统修复功能，全面修复病毒对系统破坏，修复文件夹选项丢失、无法显示隐藏文件等问题。
5.安全打开USB移动设备且可选禁止自动播放，双重保护，不会触发病毒，安全可靠。
6.支持最新通过ani感染方式传播的autorun类病毒以及系统ani漏洞扫描功能。
7.强力修复能力使系统杀毒后轻松解决硬盘双击无法打开等系统问题。
8.支持设备安全移除功能
官网：http://www.oovista.com
~Support Windows 98/2000/xp/2003/vista~
官方下载：
http://www.oovista.com/software/usbkill.exe

network

通过注册表编辑器与权限控制结合的办法，可以彻底杜绝双击盘符情况下的autorun.inf调用，具体的办法如下：

1.开始——运行——regedit；
2.定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\；
CurrentVersion\Explorer\MountPoints2；
3.在MountPoints2上右键——权限；
4.添加——输入everyone——检查名称——确定；
5.选择完全控制栏的拒绝，应用，对安全警告回答是；
应该算是比较完美的方案了：经过这样的权限设置，任何情况下的autorun.inf调用将被屏蔽，在默认状态下，带autorun的光盘和优盘被装载的时候，目录会被打开，双击盘符的结果是打开目录，而不是执行程序，同时，右键也不会出现任何形式的自动运行菜单。
分析一下，那个键值应该就是Windows用来记录和管理双击盘符和盘符上的右键菜单的，在里面查找，然后决定执行什么操作，仔细查看的话，你会发现更多的内容。我们把这个键值的操作权限对everyone屏蔽之后，系统无法访问到这个对应表，于是只有打开的操作。
这样就应该可以彻底的解决自动运行、以及双击盘符带来的染毒问题了。




超级巡警之U盘病毒免疫器 V1.2

network

对Autorun.inf类U盘病毒的攻防经验总结


“RavMonE.exe"、"rose.exe"、"sxs.exe"、"copy.exe"、"setup.exe"...根目录下的神秘幽灵，系统安全的杀手，它们被称作“U盘病毒”。无数Windows用户，都在为它们而焦头烂额。这一篇文章是一篇对自己对U盘病毒的研究和与U盘病毒斗争的经验教训的总结。

Windows 95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现在不应该出现的地方的回收站，总之，它们是系统安全的严重威胁。

Autorun.inf被病毒利用一般有4种方式：

1.
OPEN=filename.exe
自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

2.
shellAutocommand=filename.exe
shell=Auto
修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？

3.
shellexecute=filename.exe
ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

4.
shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)

这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。
面对这种危险，尤其是第四种，仅仅依靠Explorer本身，已经很难判断可移动磁盘是否已经中毒。而在这种情况下，一部分人也根据自己的经验，做出了“免疫”工具。

免疫的办法，对可移动磁盘和硬盘：

1、同名目录

目录在Windows下是一种特殊的文件，而两个同一目录下的文件不能同名。于是，新建一个目录“autorun.inf"在可移动磁盘的根目录，可以防止早期未考虑这种情况存在的病毒创建autorun.inf，减少传播成功的概率。

2、autorun.inf下的非法文件名目录

有些病毒加入了容错处理代码，在生成autorun.inf之前先试图删除autorun.inf目录。
在Windows NT Win32子系统下，诸如"filename."这样的目录名是允许存在的，但是为了保持和DOS/Win9x的8.3文件系统的兼容性（.后为空非法），直接调用标准Win32 API中的目录查询函数是无法查询这类目录中的内容的，会返回错误。但是，删除目录必须要逐级删除其下的整个树形结构，因此必须查询其下每个子目录的内容。因此，在“autorun.inf"目录建一个此类特殊目录，方法如"MD x:autorun.infyksoft.."，可以防止autorun.inf目录轻易被删除。类似的还有利用Native API创建使用DOS保留名的目录（如con、lpt1、prn等）也能达到相似的目的。

3、NTFS权限控制

病毒制造者也是黑客，知道Windows的这几个可算是Bug的功能。他们可以做一个程序，扫描目录时发现某目录名最后一个字节为'.'则通过访问"dirfullname.."、或者通过利用Windows NT的Native API中的文件系统函数直接插手，删除该特殊目录。

因此，基于更低层的文件系统权限控制的办法出现了。将U盘、移动硬盘格式化为NTFS文件系统，创建Autorun.inf目录，设置该目录对任何用户都没有任何权限，病毒不仅无法删除，甚至无法列出该目录内容。

但是，该办法不适合于音乐播放器之类通常不支持NTFS的设备。

这三步可谓是一步比一步精彩。但是，最大的问题不在怎么防止生成这个autorun.inf上，而是系统本身、Explorer的脆弱性。病毒作者很快就会做出更强大的方案。这是我的预想。

1、结合ANI漏洞，在autorun.inf里将icon设成一个ANI漏洞的Exploit文件（经过我的实验，发现Windows有一种特性，就算把ani扩展名改为ico，还是可以解析出图标），这样只要一打开“我的电脑”，未打补丁、无杀软的系统就会直接遭殃。这样的东西还可以放到网上的各种资源ISO中。

2、提高病毒的整体编程水平，综合以上各种反免疫方式，另外利用多数国内windows用户常以高权限登录系统的特点，自动将没有权限的Autorun.inf目录获得所有权、加读写删除权限，击破这最坚固的堡垒。

面对如此恐怖的东西，对付的办法已经不多了。但是它们其实是一切windows安全问题的基本解决方案，

1、一定要将系统和安全软件保持在最新状态。即使是盗版用户，微软也不会不给重要级别的安全更新，也从来没有过在重要级别安全更新中加入反盗版程序的记录。

2、尽量以受限制的帐户使用系统和上网，这样可以减少病毒进入系统的概率。Vista之所以加入UAC功能，正是因为它能够使用户在尽量方便的同时，享受到受限用户的安全。

3、某种程度上，可以说QQ、IE和某些装备能换真钱、什么都要真钱的网游是导致大量病毒木马编写者出现的“万恶之源”。通过IE漏洞，制作网页木马，安装盗号程序，盗取账号，获得人民币。这条黑色产业链中，IE其实是最容易剪断的一环。珍爱系统，系统一定要更新，要有能防止网页木马的杀毒软件，用IE不要乱上各种小型下载站、色情网站等高危站点，如果有可能，使用非IE引擎的浏览器。

4、恶意捆绑软件，现在越来越和病毒木马接近。部分恶意软件的FSD HOOK自我防御程序可能被病毒利用来保护自己（如SONY XCP事件），而一些恶意软件本身就是一个病毒木马的下载器。因此，不要让流氓接近你的机器。

Autorun.inf的攻防战还在继续，只会变得越来越精彩，网民的安全意识会在攻与防的对立与统一中获得突破性的进展

network

病毒autorun.vbs查杀方法  

--------------------------------------------------------------------------------

2006-10-13 13:12:02　标签：病毒 Autorun　


最近机器有个怪现象，打开“我的电脑”以后，无论双击哪个盘的图标，系统都会重新打开一个窗口，同时杀毒软件报告：regedit.exe程序试图修改注册表XXX键值，已被拦截。  
然后我打开硬盘各个分区，发现根目录下多出七个文件：autorun.bat  autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh，都是隐藏、系统、只读属性，打开任务管理器，只有一个wscript.exe在运行，机器速度也没有慢多少，不太像欢乐时光。  
其中autorun.inf文件内容如下：
autorun风暴
[autorun]
open=

shell\open=打开(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=WScript.exe .\autorun.vbs



第一步，去注册表项目里把加载在注册表userinit后的autorun.exe给删了
然后停止wscript那个进程停止脚本调用
然后把各盘及system32里面的7个文件全部删掉
重新启动
这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程userinit后面增加这个autorun以保证其下次能够自启动，然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs，进而实现一个循环链，单纯删除文件都会被恢复


解决方法：
1、
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersi /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

2、
需要修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
下 查找
autorun.vbs
把数值修改成explorer.exe %1 就可以打开硬盘了
提示 所有硬盘都要改
userinit
在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下
xp的正确数值应该是c:\windows\system32\userinit.exe, 逗号别删

network

最近，有关U盘病毒的情况非常严重，以湛江年会为例，在各人递交的U盘上，发现有病毒的比例可以高达90%。
这里记录一下有关此病毒的一些个人看法：
首先，目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称，正是这个道理。就好像身体上有个创口，有可能进入的细菌就不止一种，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种~~详细的数字应该没人去统计吧。
现在先说说autorun.inf这个所谓的创口吧……
首先，autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。
但相信你已经注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，一插入电脑就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。
这里再说说计算机病毒：跟生物界的状况是一样的，细菌、病毒跟人类都是生物体，甚至在大部分情况下，这些微生物也并非完全有害，也会与人体共存。电脑中的病毒跟正常程序一样，都是使用基础原理一致的源代码编写、执行的，只是软件执行的是用户需要的、正常的功能，病毒执行的是用户不需要的、不正常的功能，这里有一个辩证的相对性在里面。简单的例子，比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件，假设我autorun.inf中使用了Format或del命令，那么表示我可以让别人的机器被格式化，或者删除了一些文件，而这其实不需要太高深的电脑知识。
说完autorun.inf，再说说目前相关的U盘病毒的隐藏方式：
有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方了。
一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的：

另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。
也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。
要让自己能看到隐藏的文件，怎么办？
个人如操作，按如下步骤：打开“我的电脑”，在菜单栏上点“工具”，点“文件夹选项”，出现一个对话框，选择“查看”标签，然后对照下图：

network

如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西：

上图左侧是带病毒的U盘，右键菜单多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。
这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。
综上所述：
引用

• 目前的U盘病毒都是通过Autorun.inf来进入的；
• Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；
• 不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；
• 一般情况下，U盘不应该有Autorun.inf文件；*
• 如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒；
• 如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；
• 同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。

注：
*：部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。

下面说说RavMon.exe病毒的解决办法吧：
昨天某人发现她的U盘有病毒，KV报出一个RavMonE.exe文件，这个也是最经典的一个U盘病毒了...
引用

RavmonE.exe病毒运行后，会出现同名的一个进程，该程序并貌似没有显著危害性。程序大小为3.5M，貌似用Python写的,一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由
于该疑似病毒文件过于巨大，一般随移动存储器传播。
解决方法：
1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程
2、进入c:\windows，删除其中的ravmone.exe
3、进入c:\windows，运行regedit.exe，在左边依次点开
HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是
c:\windows\ravmone.exe的，把他删除掉
4、完成后，病毒就被清除了。
杀掉U盘中的病毒的方法：
对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。
但对于上面的处理U盘中的病毒的方法，经过我的亲身经历后作小小补充：
就是在删除autorun.inf，msvcr71.dl，RavMonE.exe这三个文件时，直接删可能会删不掉的，要先到进程管理那了先结束RavMonE.exe再删除这三个文件，如果还不行就到安全模式里删，这样就一定行。
小结：
不要以为这个是小小的病毒，它是不知不觉的在后台运行的，它长期会占用你差不多20M内存，它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行，例如学校，公司等。这个病毒任你格式化U盘也格不掉，用很多杀毒软件也奈它不何。一般让你看不出来，不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”，看看。。你可能见到多出了三个不明的文件，那你就是中招了！有空检查一下你的U盘吧！祝你好运！
注意：如果进程是Ravmon.exe ，这个应该是瑞星的程序而不病毒！

network

U盘病毒病状及解决方法:

U盘病毒病状表现:

　　1、双击打开U盘时，计算机提示找不到copy.exe。

　　2、显示隐藏文件时发现有copy.exe host.exe autorun.ini三个可疑文件。

　　3、部分U盘表现为所有文件属性被修改为隐藏。

　　4、打开系统进程有可能发现temp1.exe或temp2.exe。

解决办法：

　　先打开进程，将temp1和temp2停止进程（有时没有temp2），然后打开你的非系统盘（注意：必须用右键打开）否则病毒会自动运行。
　　删除copy.exe;autorun.inf;host.exe。只要有病毒的盘都是这样。然后进入系统盘{注意：必须用右键打开}同样删除copy.exe;autorun.inf;host.exe。进入windows文件夹，删除***host 文件。同样进入sys32删除temp1和temp2文件。

或用下载专杀工具：
　　单独查杀rose.exe：http://www.1997s.com/download/rainbowdesert/rose.rar

　　单独查杀copyexe：http://www.1997s.com/download/97luntan/copy.rar