详解U盘病毒黑名单上的四类病毒(2)

　　黑名单三：autorun.inf+msvcr71.dll+RavMonE.exe+RavMonLog。同样当用户双击U盘盘符会激活 autorun.inf从而自动加载RavMonE.exe或RavMon.exe(这里的RavMon.exe可能是RavMonE.exe的变种，企 图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe)。其杀毒过程基本相似：打开任务管理器(ctrl+alt+del或者任务 栏右键点击也可)，终止所有ravmone.exe的进程，进入c:\windows，删除其中的ravmone.exe，在运行中输入regedit依 次展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\，找到相 应的键值c:\windows\ravmone.exe将其删除。如果想要确保病毒的残遗物的清除，可以在注册表中查找相应的关键字，逐一删除(切忌，修 改注册表时请先备份)。也可在运行中输入msconfig在“启动”标签中删除相应的启动项。

　　黑名单四：desktop.exe+ desktop2.exe+autorun.inf。可能还会有其他一些文件，这些文件都是隐藏的。笔者曾感染过，相当可恨!!感染该病毒后的主要症状是打 开文件夹选项,把显示所有文件选中,再点确定那个单选框是选中了显示所有文件,然而隐藏文件却没有出现,再次打开文件夹选项,显示的还是不显示隐藏文件及 文件夹。该病毒感染到电脑后会生成SVCHOST.EXE病毒母本。常用的杀软件对这个病毒基本没有多大反应。看来又只好手动杀毒了。

　　首先打开任务管理 器，把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。而后在运行中输入regedit，即进入注册表编辑器，这一步上面 已经讲得很详细了。找到[HKEY_LOCAL_MAC HINE\SOFTWARE\Microsoft\Windows\ CurrentVersionExplorer\Advanced\Folder\Hidden\SHOWALL] 把“CheckedValue”的健值改为1,类型为dword。再找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNTCurrentVersion\Winlogon] 把“Userinit”这个键的键值改为“userinit.exe，”(注意别忘了带逗号)。然后“打开文件夹选项”->“查看”->把 “隐藏受保护的操作系统文件”的勾去掉->“显示所有文件和文件夹”选上->确定。这次OK了。

　　下面开始切入正题：进入c:\windows \system32\目录。按类型排列图标(这样好找)。找到wuauserv.exe文件，删除。在目录最底下会有两个注册表文件，分别是 boothide.reg和bootrun.reg，删除(不要管弹出的警告，那纯粹是吓唬人的)。最后得用到一个小工具killbox。因为还有一个病 毒名为svchost.exe(和系统的svchost进程一样，只不过是保存的路径不同而已)藏在c:\windows\system32\ svchost\目录里。

　　这个文件笔者在多种情况下都不能解决(包括安全模式)。Killbox能强行删除各种文件。打开此软件，在预览处找到c:\ windows\system32\svchost\svchost.exe这个文件，点删除。会弹出一个对话框提示你要不要备份要删除的文件，点“是” (不点是就没反应)。而后会弹出一个警告倒计时在六十秒后关机，同时弹出一个删除成功的提示。六十秒后机器会重启。待机器重启后，使用完killbox， 会在系统盘的根目录下(如果你的系统装在C盘，那么就在C盘下)会生成一个文件夹名的第一个字符为“!”的文件夹，别忘了把它也删除了。至此，整个杀毒过 程才算完成。以后插U盘的时候别忘了打开任务管理器，查查有什么可以的进程呦!!

　　如果我们不幸感染了这U盘病毒黑名单上的四类病毒，本文的解决方案将直到你如何查杀这些病毒。虽然病毒运作的原理比较深奥，但了解这一些将帮助我们在以后使用中预防U盘病毒感染。