常见U盘病毒的原理及解决方法

　　常使用U盘的朋友可能已经多次遭遇到了U盘病毒，U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前，各杀毒软件尚未将它列为病毒.而在U盘中毒时将其接入电脑,双击打开U盘盘符时便通过Autorun.inf激活病毒从而使系统感染。
　　病毒组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog

　　病毒原理:
　　U盘病毒主要依赖于U盘等可移动设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U 盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,Autorun.inf是一个安装信息文件,通过它可以实现可移动设备的自动运行。
 
　　有些资料认为Autorun.inf是最典型的中层病毒，是一个主病毒的第一级执行文件，本身INF是不会称为病毒而被任何一款杀毒软件查杀的，但单纯的在U盘类盘中是有可能杀掉的！

　　在Autorun.inf出现的初期，是软硬件生产厂家为了更好的介绍自己的产品或者为了使用户更易使用产品而设置的自引导文件，后来才被病毒制作者利用。现在大部分以只读光盘为载体的软件产品依然使用Autorun.inf，但是由于只读光盘的不可写性，只要第一次刻录没有写入病毒，使用者并不会以它传播病毒。

　　autorun.inf是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。
其文档格式为:

[autorun]
open=病毒.exe (这个是让U盘被双击自动运行时打开病毒.exe)
icon=*.icon (如果有图标文件*.icon,则U盘的盘符显示出该图标.)

　　u盘病毒就是利用这种方式来在用户不知情的双击盘符打开u盘时是系统中毒的，而病毒主体实际上也是隐藏在u盘中.

　　目前相关的U盘病毒的隐藏方式：
　　一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的：
另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。

　　目前主要流行病毒: 记事本病毒,文件夹病毒, 比肩社区病毒toy.exe
　　以toy.exe举例 在Autorun.inf的文档格式中为
[autorun]
open=toy.exe
　　双击U盘盘符,便激活了toy.exe,从而使电脑中毒, 症状是使电脑登陆时使桌面出现蓝色高亮文字诸如"比肩社区使全国……can you fand the program' inner fance" 而且如果系统设置了隐藏系统文件，那么将看不到病毒主体文件。

防治:
步骤1：打开记事本编辑如下:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000B5

　　将上另存为文件名: 禁止U盘自动运行.reg 保存类型选"所有文件" 然后双击此文件将其导入注册表
步骤2: 显示所有文件;(如果已经设置过的可以进入下一步) 我的电脑→工具→文件夹选项→查看 分页
勾选“显示所有文件和文件夹”，取消“隐藏受保护的操作系统文件(推荐)”
步骤3:删除U盘下的病毒文件autorun.inf、toy.exe

　　注意：打开U盘时不能双击盘符，要点鼠标右键，再选打开。
步骤4:在开始菜单→运行→输入regedit，删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
另外,对于如何去掉U盘右键的auto选项,可以采用如下方式.
　　打开注册表,在开始菜单→运行→输入regedit,选择查找autorun.inf,找到这一个键值,然后删除
　　其实这些病毒是对盘符进行传染的，属于跟随鼠标类型的病毒，可对C，D，E，F盘传染！如果感染此病毒的u盘在系统上连接，那么用户双击其它盘符仍有可能使相应的盘感染。

常见U盘病毒:

一.Worm.UsbSpy.a和AdobeR.exe及SXS.EXE、SKS.EXE病毒。

   一般的杀毒软件都可以查出并删除

二.最近在网络上流行一个叫“rose.exe”的病毒

   最初的表现为在你的电脑里面，右键单击各个盘符的时候，第一项由原来的“打开”变成了“自动播放”或“autorun”，然后在你的系统进程里面会出现若干个“rose”的进程，占用电脑的CPU资源。
   通过可移动存储设备传播，一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等

病毒危害:

　　1、在系统中占用大量cpu资源。

　　2、在每个分区下建立rose.exe 和autorun.inf 2个文件，且它们都隐藏系统保护文件之内，无法搜索到这些文件，但是在双击该盘符时病毒就自动运行了。

　　3、若你继续无视该病毒，可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统，简单的说就是你电脑突然死机了，然后就再也开不了机。即便在你重新格式化C盘，重新安装系统之后，你只是清除了C盘的该病毒，但是它在其他盘下仍然存在，且会再次发作。

杀毒方式

    1、按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。

　  2、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。

　　3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。
　　4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除，可将这两个文件的属性由“只读”改为“存档。若还不能删除，则重启电脑，在自检时按F8进入到安全模式下去删除。

预防办法

　　1、当别人将U盘插入自己的电脑，当出现操作提示框时，不要选择任何操作，关掉。

　　2、进入我的电脑，从地址下拉列表中选择U盘并进入，或者右键单击可移动磁盘，在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去，否则会立刻激活病毒！

　　3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件，直接删除！

　　4、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。

三.可手工清除的U盘doc.exe病毒

　　感染U盘文件的病毒DOC.exe,它的表现特征：
U盘插入后，即被写入win32.exe、win33.exe以及很多.exe的病毒文件，以相似图标冒充mp3和doc文档；任务管理器打开察看，有名为doc.exe的进程。

　　此病毒名为：Worm.DocKill.b（移动杀手），可感染Win95以上的操作系统，以及MP3、U盘、软盘等存储媒体

病毒根治：
1.不要插U盘
2.在任务管理器中将 DOC.exe 结束
3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除
4.打开资源管理器，找到文件夹
  c:\Documents and settings\All Users\[开始]菜单\程序\启动
  将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe)
5.运行regedit，将开机运行项目中的doc.exe清除
  在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(另有资料表明：该病毒还创建了 c:\windows\system32\hook.dll , 并将之加入了注册表启动项里，不过我这里没发现这种情况)

后遗症的治疗：
　　经该病毒感染后，系统无法显示隐藏文件和文件扩展名，即使去文件夹选项中去改设置也没用，这时需要手工修改注册表

6.显示所有文件和文件夹
在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
将CheckedValue的值改为1

7.取消"隐藏已知文件的扩展名"
在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\HiddenFileExt]
将 CheckedValue的值改为0

改完后，去文件夹选项看，在"选显示所有文件和文件夹"已恢复正常了

8.插上U盘，将其中的*.exe文件全部删除

基本上就杀灭完成了

　　手工删除的过程：
1.调出任务管理器，把进程里的DOC.EXE结束掉。
2.打开注册表，去掉 [HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run]
   下的DOC.exe启动项。
3.打开CMD窗口(DOS)，进入 X:\Windows 目录，
   键入命令 Attrib Doc.exe -h -s -r ,再键入 Del Doc.exe。
　　重启电脑，再看任务管理器里还有没有Doc.exe ，没有就成功了。

　　一定要确定DOC.exe被清除了！你的Word文档才能使用。

　　用资源管理器进入Window\wj的目录看看，你电脑上所有的Word文档都在这里，只是被更名成了命令文件(.COM)。
　　进入命令行模式，cd c:\Window\wj 用命令ren *.com *.doc 这样病毒清除的word文档都在你面前了
唯一遗憾的是：你需要从新分类放到原来的文件夹里面因为开机运行的ww.bat所产生的ww.txt文件已经删除里面保存了病毒删除word文件的具体路径 ww.bat文件内容为：dir *.doc/a/b/s >>c:\ww.txt 实际意义就是：将doc文件去掉各种属性列出并将其路径保存到ww.txt文件里面

四.RavMonE.exe病毒查杀
　　记住杀好了直接重启(最好在安全模式下杀)并且不要双击任何磁盘符!
　　RavMonE.exe、RavMonLog是直接病毒，但也是鼠标跟随型的！该病毒是一种伪装成瑞星文件的病毒，也是瑞星的客星，一般瑞星监测不到,所以用瑞星的用户可能会杀不掉该病毒，或者用户也会以为这是瑞星的产品。
　　如果没装瑞星，RavMonE.exe、RavMonLog可以手动，如果安装了瑞星，删除将会有难度。 RavmonE.exe病毒运行后，会出现同名的一个进程，该程序大小为3.5M，一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由于该疑似病毒文件过于巨大，一般随移动存储器传播。

 　　解决方法：

　　1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程

　　2、进入c:\windows，删除其中的ravmone.exe

　　3、进入c:\windows，运行regedit.exe，在左边依次点开

　　HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是

　　c:\windows\ravmone.exe的，把他删除掉

    4、完成后，病毒就被清除了。

　　杀掉U盘中的病毒的方法：

　　对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。

　　但对于上面的处理U盘中的病毒的方法，作小小补充：就是在删除autorun.inf，msvcr71.dl，RavMonE.exe这三个文件时，直接删可能会删不掉的，要先到进程管理那了先结束RavMonE.exe再删除这三个文件，如果还不行就到安全模式里删，这样就一定行。

　　目前大部分杀毒软件尚未提供查杀该病毒的病毒定义更新。

　　该病毒通过U盘/移动硬盘进行传播，并在受感染计算机系统目录下生成病毒主程序，在注册表中加载自启动键值。被感染的U盘在根目录下有三个文件：

RavMonE.exe、msvcr71.dll、autorun.inf

　　上述三个文件被设置了“系统”、“隐藏”属性以隐藏自己。病毒发作后，U盘/移动硬盘将无法正常拨出。中毒之后，计算机识别U盘时会极为缓慢，病毒又会传染给新的U盘。

　　手动清除方法：

1查看Windows任务管理器，将进程列表中所有名称为“RavMonE.exe”的进程结束掉；

2到系统目录下（一般为C:\Windows）查找RavMonE.exe文件，若存在则删除；

3插上U盘/移动硬盘，打开“我的电脑”，查看移动磁盘的盘符，如（H:\、G:\等），以“H:\”为例；

4在“命令提示符”（可通过“开始”－“运行”－“cmd”打开）下输入以下命令：

    attrib -s -h H:\ravmone.exe
    attrib -s -h H:\autorun.inf
    attrib -s -h H:\msvcr71.dll
    del H:\ravmone.exe
    del H:\autorun.inf
    del H:\msvcr71.dll
5若以上步骤都操作成功则说明病毒已经清除干净

附：判断U盘/移动硬盘是否被感染的方法：

　　当U盘/移动硬盘被系统正常识别后，请不要随意使用“双击”方式打开U盘/移动硬盘，这样将导致被感染的U盘/移动硬盘上的病毒发作。应该用鼠标右键点击U盘/移动硬盘的图标，在弹出的菜单中检查是否有名称为“Auto”的菜单项，如果有，说明该移动设备已经被感染该病毒，应该使用上述两种方法清除

总结:

一.U盘病毒的预防

　　U盘病毒的感染，一部分是用户去点击运行U盘上的可执行文件感染的，另一部分是由于移动存储设备插入时启用了自动播放而感染的。所以，要防止U盘病毒的再感染，有必要限制移动存储设备的自动播放功能。
 

　　使用组策略一次性全部关闭自动播放功能：
① 点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口；
② 在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；
③ 选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。

　　在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。

　　在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开,一般就会出现一些隐藏的文件,打开autorun.ini文件,将里面涉及到几个dll与exe文件从U盘里面删除,最后关闭autorun.ini文件,并且删除它,退出U盘。

二.在频繁使用u盘时应注意在u盘被打开前及时杀毒先，然后用右键点开查看u盘内容,双击可能会导致系统立即中毒。对于有些u盘病毒，格式化也不能清除，所以，日常使用时,尤其是去公共场合使用回来后，应及时执行检测和杀毒工作。