杀毒大战（ravmone.exe & KB20060111.exe） ※

1.RavMonE.exe
这个病毒一开始差点把我搞疯了，什么杀毒软件都杀不掉。是近日出来的，因为与瑞星的杀毒软件（RavMonD.exe）只一字差。RavMonE.exe企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe，容易会误以为RavMonE.exe也是正常文件。
其症状为该U盘打开很慢，退出又退不了，任务管理器中有RavMonE.exe进程，右击U盘有auto选项。它是通过通过U盘、移动硬盘传播。目前，各杀毒软件尚未将它列为病毒。所以只有通过手动清除。
解决方法:
Step 1.开机时按F8键，进入【安全模式】
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”，取消“隐藏受保护的操作系统文件(推荐)”
Step 2.用任务管理器(Ctrl+Alt+Del)终止 RavMonE.exe进程
Step 3.在开始菜单>>>搜索>>>所有文件和文件夹(记得在【更多高级选项】中勾选“搜索 隐藏的文件和文件夹”)，检索所有含RavMone的文件，删除它们（对于msvcr71.dll和autorun.inf这两个文件，只删除与RavMonE.exe在同一
文件夹内的，其余的则保留）
Step 4.在开始菜单>>>运行>>>输入regedit，删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] C:\WINDOWS\RavMonE.exe
对已感染的U盘
先把文件夹选项中隐藏保护的操作文件勾掉，显示所有文件和文件夹，确定，然后右键u盘会看到如下几个文件，autorun.inf,msvcr71.dl,ravmone.exe,都删掉，还有一个后缀为tmp的文件也可以删除，完成后，病毒就清除了
2.KB20060111.exe 开机记事本病毒
症状：开机即出现空的记事本，进程中有KB20060111.exe
解决方法：
1)打开任务管理器结束wincfgs进程。
2)控制面版-文件夹选项-设置显示系统文件及隐藏文件。（没有文件夹选项或者设置了但无法显示隐藏文件则是中了其他病毒，于该病毒无关）
3)搜索硬盘删除KB20060111.exe（也许文件名不同，在XP系统中是和记事本一样的蓝色图标，位置是C:\WINDOWS\KB20060111.exe），搜索硬盘删除wincfgs.exe（在XP系统中是黄色问号图标的隐藏系统文件，位置是C:\windows\system32\wincfgs.exe）。
XP系统的搜索方法：开始－搜索－文件或文件夹－所有文件和文件夹－要在“更多高级选项”选择“搜索系统文件夹、隐藏的文件和文件夹、子文件夹”－输入文件名，只搜索系统盘(C盘)。
4)开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将“项、值、数据”这三个查找选项选上，搜索“KB20060111.exe”，删除找到的项/值，按F3键查找下一个并删除项/值，直到搜索完毕。同理搜索删除“.\RECYCLER\RECYCLER\autorun.exe”和“wincfgs.exe”的相关项/值。（提示注册表被锁定，无法打开注册表编辑器，则是中了其他病毒，于该病毒无关）

5)注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。没有的话当然不用删除了！！！
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load

6）开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***，选择否。(没有看到wincfgs启动项则略过)
7）结束。
删除U盘/MP3的空记事本病毒
1、设置一下能看到系统隐藏文件.
2、打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN.
3、打开U盘/MP3后看到RECYCLER文件夹.删除.
4、再删除autorun.inf就行了.
5、杀了后正常拔出U盘，再插上就可以了.否则双击打开U盘出现“拒绝访问”。
6、结束.