Ravmon.exe病毒如何杀掉?

1. 现象：
双击硬盘的盘符时发现死活打不开，右键菜单选择打开也是不行的，只能通过开始菜单，运行，才可以打开。还算是良性的病毒：）
2. 确认：
通过开始菜单，运行cmd，到类DOS界面。输入某个盘符，打开它，用dir /a查看所有文件，发现有一个RavMon.exe。瑞星也有个程序叫RavMon.exe，所以很有迷惑性，用attrib看它的属性，如果是SHR属性的，就是病毒了。
rose病毒也有类似现象，所以如果发现是rose.exe的话，就是rose病毒了，解决办法类似。
3. 解决：
进入安全模式（必须确保是安全模式下，并期间千万不要双击盘符，否则前功尽弃！）
第一步：
通过开始菜单，运行regedit打开注册表，选择编辑查找，输入RavMon.exe（如果是rose就是rose.exe），找到键值后删除它，然后按F3，继续查找，把所有的RavMon.exe键值都删除。确保这一点，是为了断了RavMon.exe的根源。
第二步：
通过开始菜单，运行cmd，到类DOS界面，进入某个盘，用attrib -h -s -r AutoRun.inf和attrib -h -s -r RavMon.exe来消除这两个文件的隐藏只读特性，然后用del AutoRun.inf和del RavMon.exe来删除它们。之所以要对AutoRun.inf动手的原因是RavMon.exe病毒修改了AutoRun.inf文件，使得你的硬盘打不开了。对每个硬盘都如此操作一边，注意：如果使用过U盘的话，对U盘也要操作！那里面也带了病毒。
4. 完成：
重启到正常模式，双击盘符，应该是可以打开了；网上有人说有可能会还打不开，提示你要定位一个什么东西，我没有碰到。有人的方法是这样的：如出现要求你定位某个命令，如ESKTOP.EXE或其它时，运行regedit，选择编辑查找，输入DEKTOP.EXE或其它，找到的第一个就是C盘的自动运行，删除整个shell子键。 

********************************************************

1.清除病毒.


@echo off
title zhge收集..
color 0a
mode con cols=96 lines=30
rem 强制结束用户名为 当前登录的用户的svchost.exe这个进程。
taskkill /fi "username eq %username%" /im svchost.exe /f
rem 去掉源病毒文件的各项属性。
attrib -s -h -r %windir%/svchost.exe
attrib -s -h -r %windir%/SVCHOST.INI

rem 强制删除源病毒文件。
del %windir%/svchost.exe /q
del %windir%/SVCHOST.INI /q

rem 去除其它分区的病毒文件的属性。
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul attrib -s -h -r %%d:/autorun.inf
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul attrib -s -h -r %%d:/ravmon.exe

rem 删除其它分区的病毒文件。
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul del %%d:/autorun.inf /q
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%d:/nul del %%d:/ravmon.exe /q

rem 删除假的“显示隐藏和文件和文件夹”这个注册表项。
reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" /v SVOHOST /f
rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。
reg add "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
rem 删除启动项里的svchost这个病毒创建的项。
reg delete "HKLM/Software/Microsoft/Windows/CurrentVersion/Run" /v svchost /f
rem cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo 该病毒清除完毕，按回车进入磁盘检查，解决分区无法双击打开
echo 你的有些分区可能不能用双击打开，你只要把打开方式选择为
echo InternetExplorer然后下次双击就能打开了，如果是C盘打不开的话，
echo 重启一下就可以了。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p tmp=所有操作结束，按回车键退出该程序。


2.解决双击无法打开:

@echo off
title gege整理..
color 0a
echo 例如：D盘无法打开则输入 d
set /p input=[请输入无法打开的分区的盘符]
if /i "%input%"=="c" goto :特殊
attrib -s -h -r %input%:/autorun.inf
cls
del %input%:/autorun.inf /q
cls
reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" /v SVOHOST /f
cls
reg delete "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL" /v CheckedValue /f
rem 添加正确的“显示隐藏和文件和文件夹”这个注册表项。
reg add "HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
cls
chkdsk %input%: /f /x
cls
set /p tmp=操作结束,按回车键退出该程序。

:exit
exit

:特殊
attrib -s -h -r %input%:/autorun.inf
del %input%:/autorun.inf /q
echo 操作成功结束，请重启，然后就可以双击就可以打开了。
echo 如果重启之后，还是无法双击打开的话，说明你的电脑
echo 里还有病毒，请先杀毒。然后再运行该程序。
set /p tmp=操作结束，按回车键退出该程序。


把上面的两大段分别复制到记事本里,保存为$%#.bat的格式,运行就可以了!