U盤病毒預防攻略

U盤病毒的預防:U盤病毒的感染，一部分是用戶去點擊運行U盤上的可執行文件感染的，另一部分是由于移動存儲設備插入時啟用了自動播放而感染的。所以，要防止U盤病毒的再感染，有必要限制移動存儲設備的自動播放功能。

方法：（1）開始→運行→gpedit.msc→本地計算機策略→計算機配置→管理模版→系統
關閉自動播放屬性設成已啟動，可根據需要，決定是只作用于光驅或所有驅動器

方法（2）在插入光盤時長按Shift鍵。

rose.exe專殺

癥狀：右鍵單擊各個盤符的時候，第一項由原來的“打開”變成了“自動播放”，然后在你的系統進程里面會出現若干個“rose”的進程，占用電腦的CPU資源。

防范辦法：1、將U盤插入電腦，當出現操作提示框時，不要選擇任何操作，關掉。
　　 2、進入我的電腦，從地址下拉列表中選擇U盤并進入，或者右鍵單擊可移動磁盤，在彈出的菜單中選擇“打開”進入。千萬不要直接點擊U盤的盤符進去，否則會立刻激活病毒！
殺毒方法有很多，可以在網上搜索。具體看你喜歡哪種了，也可用專殺

備注：干掉的那個“rose.exe"在正常，安全，DOS模式下是系統保護文件，干不掉或找不到的！

在任務管理器中結束rose.exe進程

Auto病毒

癥狀：癥狀：雙擊盤符無法打開，只能通過右鍵打開；幾天之后刪除系統NTDETECT.COM文件，系統無法啟動。

傳播途徑：U盤、MP3、移動硬盤

防范辦法

（1）在你的可移動磁盤里創建一個文本文檔，命名為：“autorun.inf”。
因為在windows操作系統中，同一目錄下不允許有相同名字的文件和文件夾共存，而大多木馬和病毒都是通過“autorun.inf”文件來自動運行病毒，達到侵入計算機的目的的。
（2）這個病毒靠U盤傳播速度超快~大家以后插了U盤都右鍵打開!雙擊有毒盤就中了~切記~!防范才是關鍵! 在插U盤時候按住shift鍵以防止病毒隨U盤自動運行(大概5秒),等盤符出現后,右鍵打開

在任務管理器中結束rose.exe進程

注：auto 是rose的變種，其實是一種病毒

一個專殺ROSE病毒的工具

doc.exe病毒（即：word病毒）

癥狀：U盤插入后，即被寫入win32.exe、win33.exe以及很多.exe的病毒文件，以相似圖標冒充mp3和doc文檔；任務管理器打開察看，有名為doc.exe的進程

此病毒名為：Worm.DocKill.b（移動殺手），可感染Win95以上的操作系統，以及MP3、U盤、軟盤等存儲媒體

中毒后可用專殺工具查殺

在任務管理器中結束doc.exe進程

RavMonE.exe、RavMonLog病毒

RavMonE.exe.病毒,是通過U盤、移動硬盤傳播,目前，各殺毒軟件尚未將它列為病毒。（只能手工殺毒）

癥狀：雖然這個東西沒有什么危害,只是另到你打開移動硬盤的速度變得很慢,雙擊U盤等好幾秒就彈出任務管理器模式的文件夾,而不是直接打開.

中毒后，①優盤不能正常退出；②讀取優盤內容速度變慢；③查看所有文件，發現多了RavMonE.exe，RavMonLog
該病毒由如下文件組成：
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
當用戶雙擊U盤盤符，會激活autorun.inf自動加載RavMonE.exe
中毒之后，計算機識別U盤時會極為緩慢，病毒又會傳染給新的U盤

單看文件名就可判定這是病毒，RavMonE.exe企圖冒充瑞星殺毒軟件的正常
文件RavMon.exe和RavMonD.exe。計算機初級用戶會誤以為RavMonE.exe也是正常文件
解決方法:
Step 1.開機時按F8鍵，進入【安全模式】
我的電腦——工具——文件夾選項——【查看】分頁
勾選“顯示所有文件和文件夾”，取消“隱藏受保護的操作系統文件(推薦)”
Step 2.用任務管理器(Ctrl+Alt+Del)終止 RavMonE.exe進程
1)在開始菜單>>>搜索>>>所有文件和文件夾(記得在【更多高級選項】中勾選“搜索
隱藏的文件和文件夾”)，檢索以下文件：RavMonE.exe、RavMonLog，刪除它們
2)對于msvcr71.dll和autorun.inf這兩個文件，只刪除與RavMonE.exe在同一
文件夾內的，其余的則保留
3)不要錯過閃存、移動硬盤內的病毒，以免交叉感染，再次中毒
Step 3.在開始菜單>>>運行>>>輸入regedit，刪除注冊表的鍵值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] C:WINDOWSRavMonE.exe
一切做完后，就發現雙擊又回到了以前的樣子

在任務管理器中結束RavMonE.exe進程

U盤破壞者（Worm.vb.hy）

病毒介紹：它是一個能在WIN9X／NT／2000／XP／2003系統上運行的蠕蟲病毒。它會將自身復制到優盤、移動硬盤等移動存儲設備上，試圖通過它們傳播。該病毒運行后會在后臺破壞硬盤數據，致使中毒電腦重新啟動時完全崩潰，無法進入系統。

癥狀：如果點擊U盤中的“我的電腦”圖標后，硬盤燈頻頻閃動，則很有可能是受到該病毒的攻擊，應該立刻關閉計算機，阻止病毒對硬盤數據的進一步破壞。

tel.xls.exe(Kaspersky--Trojan.Win32.VB.atg)

病毒介紹：盜取QQ帳號密碼的木馬病毒，特點是可以通過可移動磁盤傳播。該病毒的主要危害是盜取QQ帳戶和密碼，盜取方式為鍵盤記錄，包括軟件盤，將盜取的號碼和密碼通過郵件發送到指定郵箱。

癥狀：每次雙擊盤符出現一個新窗口，windows任務管理器出現了一個Excel的程序，鼠標右鍵點盤符出現"Auto"字樣，無發顯示隱藏文件，系統變慢,CPU經常100％。

SXS.EXE（Trojan.PSW.QQPass.pqb ） 

病毒介紹：可以通過可移動磁盤傳播，主要危害是盜取QQ帳戶和密碼，并且會終止大量反病毒軟件的進程，降低系統的安全等級。而且經常是感染電腦上每個磁盤，重裝系統如果沒有及時清除其他磁盤的病毒，很快就會復發。

AdobeR.exe（Troj_Spy.IeSpy.t）

病毒介紹：Troj_Spy.IeSpy.t木馬。它主要通過移動存儲器攜帶傳播，中毒之后，計算機識別移動存儲器時會極為緩慢，病毒又會傳染給新的移動存儲器。該病毒在移動存儲器中存在一個autorun.inf文件，autorun.inf自動加載RavMonE.exe中毒。在機器上，病毒修改注冊表創建啟動項實現自啟動，運行后竊取用戶信息，并造成移動存儲器無法正常退出，只能硬插拔。該病毒在機器內清除后，一定要手動將移動 信再息卸進排程洋庫咱息羊processlib.net技bbs.processlib.net打www.processlib.net鳴www.processlib.net呈存儲器內的上述病毒文件全部刪除。

癥狀：雙擊 u盤/移動硬盤，沒反映。等一會后彈出對話框：Adober.exe error，請察看AdobeR.exe.log。并且U盤里多了一個AdobeR.exe文件和AdobeR.exe.log文件。并且右鍵點擊可移動磁盤在菜單最上面是Auto這一選項。進程中出現 adober.exe ,電腦速度緩慢。

cn911.exe(Worm.WhBoy.h熊貓燒香病毒)

病毒介紹：該病毒運行后，會將其自身拷貝到C:WINDOWSSystem32Driversspoclsv.exe，并添加注冊表到自啟動項。該病毒在指定時間范圍內，大量感染、刪除用戶主機文件，中止大量反病毒軟件進程，給用戶正常的工作和學習帶來極大的影響。

systemnt.exe toy.exe 比肩社區病毒

癥狀：開機就會在桌面上出現比肩社區的紅色文字，進程中出現一個mslogon.exe的進程，還揚言要毀掉電腦上所有的word ，在U盤里有兩個病毒文件：toy.exe 和 AutoRun.idf。 在網上查詢到有關病毒的資料為：“在感染后U盤里就會多出兩個文件Autorun.inf和Toy.exe。

不知名的病毒

癥狀：右鍵打開U盤，第一項是非正常的“打開”，在第三個位子上是正常的打開。U盤使用者會很輕易的點擊最上方的“打開”，即病毒激活。在點擊第一個“打開”時，會出現第二個對話框。

殺毒：用木馬殺客掃描U盤，將木馬隔離，在隔離區刪除即可

還有許多，不一一介紹，名稱列表如下：

AdobeR.exe
bittorrent.exe
copy.exe
desktop.exe
desktop2.exe
folder.exe
host.exe
msinfmgr.exe
msvcr71.dll
RavMonE.exe
RavMonLog
RECYCLER/*.*
RECYCLER
SHE.exe
sxs.exe
SYSTEM.VER
toy.exe
setup.pif  

我認為最基本的U盤病毒防范方法:不要雙擊可移動硬盤