剿滅RavMonE病毒全過程

　中毒啦！中毒啦！……一時間，很多同學都發出了這樣的聲音，究竟是怎麼一回事呢？原來所有U盤或移動硬盤（甚至是MP3）的根目錄下出現了一個名（計算機愛好者，學習計算機基礎，電腦入門，請到本站http://.，我站同時提供計算機基礎知識教程，計算機基礎知識試題供大家學習和使用），為http://www.pcdu.net/anquan/AntiVirus/的文件，刪除後又會自動出現。而且，打開U盤或移動硬盤的速度也大大減慢，而最要命的是出現這種症狀的移動設備都無法安全刪除，始終會彈出“無法停止”的提示，這究竟是不是病毒呢？

　　RavMon這個名字有些眼熟，上網一查才發現，RavMon.exe是瑞星的一個自動監控程序，而且正常情況下確實可能會在移動設備中建立這樣的一個文件。但是為什麼偏偏這幾天冒出這些問題呢？

　　仔細觀察了下進程列表，發現進程名字為RavMonE.exe。看來這個程序來者不善。果然，瑞星公司發布的計算機病毒及木馬播報稱，RavMonE.exe屬於間諜變種R/S（Trojan.Spy.leSpy.r/s）木馬病毒，該木馬病毒運行後會將自身復制到Windows目錄下，文件名RavMonE.exe。同時會在注冊表項目中添加相關項，以實現隨系統啟動自動運行（如圖）。由於其文件名與瑞星監控程序“RavMon”較像，具有較高的迷惑性，不易被用戶發現。而且該病毒會自動復制自身到優盤以及移動硬盤上，如果用戶將這些移動存儲設備連接到其它的計算機上，則其它計算機也可能會該感染病毒。既然知道了真相，筆者總結了以下解決方法。

　　計算機基礎知識http://.）/Upfiles/BeyondPic/dnaq/2009-09/20090928162845857.jpg" onclick="get_larger(this)" / style="cursor: pointer" alt="點此在新窗口浏覽圖片" onmousewheel="return bbimg(this)" onload="javascript:resizepic(this)" border="0"/>

　　圖1 兩個進程驚人的相似

　　1 結束掉RavMonE.exe的進程，可能不止一個，細細觀察，全部結束掉。

　　2 刪除移動設備中的RavMonE.exe或http://www.pcdu.net/anquan/AntiVirus/文件。然後在C盤中搜索“Rav”，刪除Windows目錄下的RavMonE.exe等文件

　　3 點擊“開始/運行”輸入regedit，進入到注冊表編輯器中，查找RavMon，將查找到的所有項目一一刪除，這一過程比較費時間，因為要刪除不少目錄，最後重啟電腦就可以了。

剿滅RavMonE病毒全過程.