當心U盤病毒和Autorun.inf文件分析[圖]

　　上圖左側是帶病毒的U盤，右鍵菜單多了『自動播放』、『Open』、『Browser』等項目；右側是殺毒後的，沒有這些項目。這裡注明一下：凡是帶Autorun.inf的移動媒體，包括光盤，右鍵都會出現『自動播放』的菜單，這是正常的功能。　

　　綜上所述：

　　引用

　　目前的U盤病毒都是通過Autorun.inf來進入的；

　　Autorun.inf本身是正常的文件，但可被利用作其他惡意的操作；

　　不同的人可通過Autorun.inf放置不同的病毒，因此無法簡單說是什麼病毒，可以是一切病毒、木馬、黑客程序等；

　　一般情況下，U盤不應該有Autorun.inf文件；

　　如果發現U盤有Autorun.inf，且不是你自己創建生成的，請刪除它，並且盡快查毒；

　　如果有貌似回收站、瑞星文件等文件，而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱，同時確認該內容不是你創建生成的，請刪除它；

　　同時，一般建議插入U盤時，不要雙擊U盤，另外有一個更好的技巧：插入U盤前，按住Shift鍵，然後插入U盤，建議按鍵的時間長一點。插入後，用右鍵點擊U盤，選擇『資源管理器』來打開U盤。

　　注：部分U盤制造商可能也會利用Autorun.inf進行自己的特色設計，目的是為了讓用戶執行廠商的特色程序。已確認部分廠商確實使用了這種方式，因此建議購買U盤是先做識別，或諮詢銷售人員。

　　下面說說RavMon.exe病毒的解決辦法吧：

　　昨天某人發現她的U盤有病毒，KV報出一個RavMonE.exe文件，這個也是最經典的一個U盤病毒了……

　　引用

　　RavmonE.exe病毒運行後，會出現同名的一個進程，該程序並貌似沒有顯著危害性。程序大小為3.5M，貌似用Python寫的，一般會佔用19-20M左右資源，在Windows目錄內隱藏為系統文件，且自動添加到系統啟動項內。其生成的Log文件常含有不同的六位數字，估計可能在有竊取帳號密碼之類的危害吧，不過由於該疑似病毒文件過於巨大，一般隨移動存儲器傳播。

　　解決方法：

　　1、打開任務管理器（ctrl+alt+del或者任務欄右鍵點擊也可），終止所有ravmone.exe的進程。

　　2、進入c：\windows，刪除其中的ravmone.exe。

　　3、進入c：\windows，運行regedit.exe，在左邊依次點開HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項數值是c：\windows\ravmone.exe的，把他刪除掉。

　　4、完成後，病毒就被清除了。

　　殺掉U盤中的病毒的方法：

　　對移動存儲設備，如果中毒，則把文件夾選項中隱藏受保護的操作系統文件鉤掉，點上顯示所有文件和文件夾，點擊確定，然後在移動存儲設備中會看到如下幾個文件，autorun.inf，msvcr71.dl，ravmone.exe，都刪除掉，還有一個後綴為tmp的文件，也可以刪除，完成後，病毒就清除了。

　　但對於上面的處理U盤中的病毒的方法，經過我的親身經歷後作小小補充：就是在刪除autorun.inf，msvcr71.dl，RavMonE.exe這三個文件時，直接刪可能會刪不掉的，要先到進程管理那了先結束RavMonE.exe再刪除這三個文件，如果還不行就到安全模式裡刪，這樣就一定行。

　　小結：

　　不要以為這個是小小的病毒，它是不知不覺的在後臺運行的，它長期會佔用你差不多20M內存，它隨系統啟動。它會莫名奇妙的使你的計算機在沈默中死亡。相信這病毒在公共的計算機中非常流行，例如學校，公司等。這個病毒任你格式化U盤也格不掉，用很多殺毒軟件也奈它不何。一般讓你看不出來，不信你可以把U盤插入電腦中再把『文件夾選項中隱藏受保護的操作系統文件鉤掉』，看看……你可能見到多出了三個不明的文件，那你就是中招了！有空檢查一下你的U盤吧！祝你好運！注意：如果進程是Ravmon.exe ，這個應該是瑞星的程序而不病毒！