虚界之魔兽豆瓣:关于最近出现的优盘病毒RavmonE

【RavMonE的文件】
AUTORUN.INF、RavMonE.exe、msvcr71.dll、RavMonLog
前三个被设定为隐藏的系统文件
RavMonLog估计只是一个小的启动信息记录文件

【RavMonE的启动方式】
(1)AUTORUN.INF脚本启动：
[AutoRun]
open=RavMonE.exe e
shellexecute=RavMonE.exe e
shell\Auto\command=RavMonE.exe e
shell=Auto
(2)注册表自启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavAV
值为：C:\WINDOWS\RavMonE.exe

【发作后果】
打开移动设备的速度很慢很慢
运行被感染的盘符时RavMonE会试图访问网络(被动型木马或DDOS僵尸客户端)
其他破坏能力暂不了解

【删除步骤】
1. 杀掉所有RavMonE.exe进程
2. 删除被感染盘符内的AUTORUN.INF、RavMonE.exe、msvcr71.dll、RavMonLog文件(前三个被设定为隐藏的系统文件)
3. 删除注册表的启动信息以及所有和RavMonE相关的键(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavAV)
4. 删除C:\WINDOWS\RavMonE.exe、C:\WINDOWS\Prefetch\RAVMONE.EXE-31CDBCCD.pf
5. 重启一下(被感染的盘符找不到RavMonE文件打开)

【这东西是病毒的可能性很小】
1. 事情的起因还应该由瑞星杀毒软件的自动监控程序开始说起，这个东西99.99%应该是"瑞星移动磁盘自动监控程序"，它会在C盘WINDOWS下自动创建RavMonE.exe，当然所有的移动磁盘也一样。
2. 所以接下来移动硬盘插入这台电脑的时候，移动硬盘已经不是普通硬盘了，而是一个带有自动监控程序的移动硬盘。双击该盘符将导致类似于杀毒的功能(所以很慢)，那个RavMonLog也应该是记录的磁盘里的文件数量。
3. 这个程序是可以脱离瑞星的，即使你的电脑里没有瑞星杀毒软件。
4.RavMonE.exe的大小为3M多，一般病毒的客户端是数百K，似乎不像是病毒(当然也可能是病毒作者水平很烂)。

这是个ROSE病毒,主要是wincfgs.exe 这个文件存在于系统中,它会大量占用系统的资源,到网上下载一个ROSE病毒专杀工具就行了,不过不太好用,别一种方法就是搜索硬盘上的wincfgs.exe这个文件,然后把它全部删除,再进入注册表中,查找wincfgs.exe这个文件,然后全部删除,一般情况下,就没事了.这个文件在系统启动的时候,进程中就会有wincfgs.exe这个文件,删除以后,以后再用U盘的时候,不要双击打开,也不会让系统自动打开,用右键打开.这样就不会再感染了.