伪瑞星进程病毒

伪瑞星进程的病毒（RavMon.exe）``貌似没有什么大作为,简单写了``

 

使用的是进程常驻监视技术``````比较粘人``

 

释放:

 

%systemroot%\MDM.EXE

%systemroot%\SVCHOST.EXE

%systemroot%\SVCHOST.INI(记录病毒版本的）

 

每个分区的:

 

X:\AutoRun.inf

X:\RavMon.exe

 

X代表C-Z盘

 

 

AutoRun.inf内容为:

 

[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"

 

RavMon.exe 其实就是%systemroot%\SVCHOST.EXE,MD5不变.

 

其中MDM.EXE还加入了注册表启动项``并破坏了"显示隐藏文件功能"```

 

SVCHOST.EXE常驻进程,监视自身同党的存在、注册表项和移动盘的介入（U盘传播）

 

记住,这个是伪系统病毒,路径不同的``` 真正的路径是在：C:\Windows\System32下

 

 

解决方法:

 

 

[url]http://free.ys168.com/?gudugengkekao1[/url]下载:

 

PowerRmv.com 101KB

 

显示隐藏文件.reg 9KB

 

SREng.rar 597KB

 

 

下载后直接放桌面``关闭一切不必要的进程``

 

在完成下面之前，请不要进入C盘至F盘(包括移动盘)

 

1、运行PowerRmv，选上“抑制杀灭对象再次生成”，填入：

 

C:\Windows\MDM.EXE

C:\Windows\SVCHOST.EXE

C:\Windows\SVCHOST.INI

C:\AutoRun.inf

C:\RavMon.exe

D:\AutoRun.inf

D:\RavMon.exe

E:\AutoRun.inf

E:\RavMon.exe

F:\AutoRun.inf

F:\RavMon.exe

 

有几个盘，都填入一次就可以了``

 

 

2、打开SREng，删除注册表启动：

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<SVCHOST><C:\winnt\MDM.EXE>

 

3、完成上面后，把修复隐藏文件的注册表导入就可以了````

 

另：注意U盘病毒，实在是太泛滥了``另附上免疫工具：

U盘免疫器.rar 19KB

也可以自己网上找`````

一些PP``：