每个盘符下面会出现两个RavMon.exe Autorun文件,自动隐藏,手动杀掉后会自动恢复

发布网友发布时间：2022-05-27 08:51

共5个回答

热心网友时间：2023-10-13 18:12

U盘感染型蠕虫病毒spoclsv.exe （熊猫烧香变种）
手动删除指南仅供参考。

问题的提出：http://zhidao.baidu.com/question/17482543.html
症状：在正常启动情况下，任务管理器打不开（自动关闭），杀毒软件自动关闭，regedit、msconfig 等均无法运行。有SRENG日志（略）
分析：

1. 杀毒前关闭系统还原(Win2000系统可以忽略）：右键我的电脑，属性，系统还原，在所有驱动器上关闭系统还原打勾即可。
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮，将删除所有脱机内容打勾，点确定删除。

进行如下操作前请不要进行任何双击磁盘打开的操作。下载的工具直接放到桌面上，切记切记！！！！

2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件（包括完整的路径），勾选“抑止杀灭对象再次生成”，点杀灭
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\3.exe
C:\setup.exe
C:\AutoRun.inf
D:\setup.exe
D:\AutoRun.inf
E:\setup.exe
E:\AutoRun.inf
F:\setup.exe
F:\AutoRun.inf
（如果有G盘继续输入这两个文件，盘符改一下。依次类推）
重启计算机然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式？重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接，看懂再下手操作！
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
【如下操作有风险，必须看懂上面的方法再操作。】

启动项目 -->注册表的如下项
<svcshare><C:\WINDOWS\system32\drivers\spoclsv.exe> [N/A]
启动项目 -->服务-->Win32服务应用程序的如下项
[3 / 321]
<C:\WINDOWS\3.exe><N/A>

4 SREng 修复Windows Shell
位置：系统修复--->Windows Shell 点全选，点"修复" 参考附图
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

5 最后，被病毒感染的EXE文件用Nimaya（熊猫烧香)专杀专杀下载: http:\\hzqedison.mm9mm.com\mopery\nimuya.zip 这个是目前最有效的。也可以试试，瑞星22日更新过的专杀： http://it.rising.com.cn/Channels/Service/2006-11/1163505486d38734.shtml
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠授权。『转载请保留此申明！』
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－如下转载：CISRT的详细分析资料再就是，最近出现的变种很多很多。。注意系统异常时找安全专家（论坛）求助。From 【CISRT2007003】熊猫烧香变种修改网页文件spoclsv.exe 解决方案CISRT可疑文件、病毒样本上报信箱：cisrt@163.com（备用）
cisrt@126.com（备用）
newvirus@cisrt.com
发送文件样本时请使用RAR或ZIP格式，并请给压缩文档添加密码virus
档案编号：CISRT2007003
病毒名称：N/A（Kaspersky）
病毒别名：Worm.WhBoy.y.35328（毒霸）
病毒大小：35,328 字节
加壳方式：nPack
样本MD5：3204b209e9199b644ca76d352fbf84ec
样本SHA1：83dcd1a7f487d160d51b59782efc4c916c3255ac
发现时间：2007.1
更新时间：2007.1
关联病毒：
传播方式：恶意网页、其它病毒下载，还可通过移动磁盘（如U盘）、局域网传播

热心网友时间：2023-10-13 18:13

1,表现主要是注册表监控，无法浏览隐藏文件。每个驱动器下面添加ravmon.exe,autorun.exe
主要来源自c:\\window下的svhost.exe,区别于系统system32下的。还有svhost.ini.

2，方法。

在进程中去掉用户的svhost.exe,而不是system的svhost。
修改注册表
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]
把原来得CheckedValue去掉，新建一个dword的。

\"CheckedValue\"=dword:00000001

然后在文件夹选项中选择显示隐藏文件夹，到windows目录下下，删除相应文件svhost.exe,svhost.ini。在注册表里删除病毒的启动项，可以查找svhost.exe。在windows目录下的是有问题的项。
再删除各个驱动器的两个文件ravmon.exe,autorun

By Thu PenguinBaby

热心网友时间：2023-10-13 18:13

解决起来是比较麻烦
首先它是一种病毒，它伪装为svchost.exe进程，实际查看它的路径是执行的\windows\svchost.exe，在每个分区中形成autorun.inf和ravmon.exe文件。
解决办法：
建议在纯dos下查杀：
nt分区的可采用ntfsdos这样的软件，可以在dos下面对nt分区进行操作。
（1）用dos外部命令deltree 删除所有分区里的autorun.inf和ravmon.exe文件。
（2）deltree删除windows（你的系统目录）下的svchost.exe和svchost.ini
(3）在winxp的regedit,查找所有ravmon，全部删除。
至此此病毒全部清除。

还有一点，它会使你的显示与隐藏文件夹的功能失效。也就是无论怎么设置，不显示隐藏文件。
也可以在安全模式下一试，我没有试过。

热心网友时间：2023-10-13 18:14

“开始”下的运行然后输入cmd ，然后在DOS状态下输入命令attrib autorun.inf -s -h -r回车，然后输入del autorun.inf,这样就可以删除了autorun.inf文件，其它的也用这种方法，当然要在文件所在的盘符下才能删除。autorun.inf 这个文件是自动运行文件也就是说只要你打开这个MP3这个硬盘盘符就会运行 ravmon.exe 这个文件 autorun.inf这个文件主要是让ravmon.exe的听明白了吗？？？？？？？？？？？？？哈哈

热心网友时间：2023-10-13 18:15

去网上下个RAVMON专杀就搞定了