- 等级
- 建筑队长
- 等级进度
-
- 积分
- 339
- 阅读权限
- 45
- 主题
- 精华
- 社区币
- 星梦
- 注册时间
- 2009-8-7
- 最后登录
- 1970-1-1
|
有可能是病毒,也有可能是U盘病毒免疫文件,过一段时候,你应该会发现你电脑上每一个硬盘中都会有一个Autorun.inf文件夹(该文件夹大多数时候是无法删除的,甚至不能进入,但有时也有例外)
9 k1 {6 f* k, {, ?9 y1 TU盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。 e8 n* Y4 a( Q. i& w
事实表明,目前已经有新的病毒能够有意识地检测autorun.inf的存在,对于能直接删除的则删之,对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如:重要文件.exe,小说.exe)。对于以上这两种传播方式的病毒,仅仅建立autorun.inf文件夹是抵御不了的。0 P% p4 e6 X9 J. _! J1 G
1.在插入U盘时按住键盘 shift 键直到系统提示“设备可以使用”,然后打开U盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(打开我的电脑,按下上面的“文件夹”按钮,或者开始-所有程序-附件-windows资源管理器)将其打开,或者使用快捷键winkey+E打开资源管理器后,一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯) + E5 Q0 i' |8 O6 L3 d5 h W5 v. u* x
2、如果盘内有来路不明的文件,尤其是文件名比较诱惑人的文件,必须多加小心;需要特别提示的是,不要看到图标是文件夹就理所当然是文件夹,不要看到图标是记事本就理所当然是记事本,伪装图标是病毒惯用伎俩。
0 m' Q( H: {- W( h1 x0 K+ U 1 a: S* a( _. |* @, W+ p
3、要有显示文件扩展名的习惯 。方法:打开“我的电脑”,工具--文件夹选项--查看,去掉“隐藏已知文件类型的扩展名”的勾,建议选择显示扩展名同时选上“显示隐藏文件”,去掉“不显示系统文件”的勾,这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件,显示文件扩展名之后,通过文件名后的".exe"即可判断出一个文件可执行文件,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。
( Z, N% ?( d$ x 4、最后不管你用什么办法,或者用什么软件,插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。! k' Y/ X$ U! |, [
下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理,然后按提示操作。注,批处理使用方法:打开开始菜单-附件-记事本,复制批处理内容进去,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到你保存的位置,会出现一个批处理文件,双击运行即可。
' n& C8 D+ ^2 p: n5 o& t @echo off&setlocal enabledelayedexpansion4 c6 a I2 |0 i2 _& Q" E
echo 请在U盘和电脑没有病毒的情况下插入一个U盘&set /p "d=请输入U盘的盘符(比如输入H): "& G0 N$ H" O' Q0 `* B
set "d=!d:~0,1!"&set "a=autorun.inf.!random!.tmp"
) r: L5 _+ j b+ B' P if exist !d!:\autorun.inf attrib.exe -s -h -r !d!:\autorun.inf&ren !d!:\autorun.inf !a!
3 {: J( C \# \/ ]2 ? (echo [autorun]&echo open=calc.exe&echo shellexecute=calc.exe&echo shell=explore
# H* }1 V' M, P6 c! b" ~' b echo shell\open\command=calc.exe&echo shell\explore\command=calc.exe)>!d!:\autorun.inf5 J3 ~5 T- [( r/ _# K9 T t
echo 现在删除并重新插入U盘&echo 打开U盘,如果出现"计算器"&echo 说明你有中Autorun.inf类型病毒的机会
, g) n0 [/ X# O0 ` echo 完成后按任意键继续&pause>nul: K2 ?& I6 {, }' h" c. V- r$ C. z
del !d!:\autorun.inf&if exist !d!:\!a! ren !d!:\!a! autorun.inf&goto :eof
1 e% x+ r" U$ X 推荐的其他方法:0 u( ?( {9 R) k2 L
1、推荐一种彻底拒绝Autorun.inf类型病毒的方法." _( V, X' q( E4 @$ ]8 p" ]; e' U
运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效):
' A# |: E+ Z1 V6 T @ECHO off
: c) Y! t# I: Z3 l% p: f8 l REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f
3 k! q" {$ Y! v4 Z; p. ]4 @9 b+ J REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
! l8 N/ C, z2 R4 z ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 []>%temp%\temp.txt
) ]- d( e H) b' J8 U& V REGINI.exe %temp%\temp.txt2 @+ x5 s: y+ K' m* A0 g0 o/ b* c
GOTO :eof- p& c o' Z' A1 N
如果想再恢复Autorun.inf功能运行这个批处理:
) w8 M, P( t; m! D [ @ECHO off
8 { E E- Q* q, c3 h; ~ ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [7]>%temp%\temp.txt# N) V0 n8 {/ H
REGINI.exe %temp%\temp.txt
+ \0 Z/ |; \$ w* D4 m REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f& d; T- l/ T2 L. F, [
REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints23 x; r; ?: k+ p! X
GOTO :eof
( V8 d$ w2 m& J9 @ 2、对于伪装型病毒,可以通过它的可执行属性判断出来。
4 x! a% v. S. R+ x" \7 j 除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--".exe"扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个".exe"。1 \/ s( ?* a& }* ^& F
以管理员身份运行下面的批处理:* W" D5 o# j! u2 B! M/ D
@ECHO off
2 V7 \ k, K% [; D REG.exe ADD HKCR\exefile /v AlwaysShowExt /t REG_SZ /f
% B1 N0 S8 h$ G8 z# V) V, Y' I TASKKILL.exe /im explorer.exe /f
1 o. D/ U0 U" X( s& B A START %windir%\explorer.exe
0 N( @% S0 Z! t* I! g* y0 @: ? GOTO :eof
1 z7 }4 s B1 I" o 要恢复不显示exe扩展名运行这个批处理:- a$ ^1 ~1 w/ q8 K2 C2 P
@ECHO off
9 I+ c" z. X+ Z+ j( k, I; h REG.exe DELETE HKCR\exefile /v AlwaysShowExt /f
Z$ L8 W1 y) Q7 [9 f, @ TASKKILL.exe /im explorer.exe /f
0 C4 z" t; b4 E5 U START %windir%\explorer.exe
( [* @5 w9 q1 `. H# I# { GOTO :eof
0 R) v" n. N9 X6 q- a! Iautorun.inf文件是从Windows95开始的,最初用在其安装盘里,实现自动安装,以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。 3 h6 m4 `% t) `* h( E' h
其结构有三个部分:[AutoRun] [AutoRun.Alpha] [DeviceInstall]
7 \" e) T/ b+ m3 Q# | [AutoRun]适用于Windows95以上系统与32位以上CD-ROM,必选。 ! X( Q6 y% |: j: y* P/ r! \
[AutoRun.alpha]适用于基于RISC的计算机光驱,适用系统为Windows NT 4.0,可选。 8 ~8 i8 `# M; O* ^. F
[DeviceInstall]适用于Windows XP以上系统,可选。 # F J- H5 q) C( K0 U
[AutoRun]部分的命令及其详解
" L' v' b* Q6 g; [& l9 S 1、DefaultIcon 4 |: `- M b" ?, n
含义:指定应用程序的默认图标。 ; e6 ^( g7 G% e$ d
格式:
+ G8 c, F/ w0 B- n# o DefalutIcon=图标路径名[,序号] " u5 h+ x) w( r; b3 a' Y
参数:
: Y5 k! k6 H; b) ]% {% Z 图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时,有时需要使用序号来指定图标。
! I. @. d" M4 G0 V( S/ I+ ` 序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。
8 G: F" E+ m# g/ W! c0 i7 w1 ]; j 备注:
! j5 ] W/ b& a 应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。
. ~6 [8 d. e. w r9 v* ]- d 图标路径名的默认目录是设备根目录。 " b4 v+ A2 b$ n
2、Icon
6 j/ \/ w0 ^$ y- ^! M* E6 ~ 含义:指定设备显示图标。 0 p& N4 I6 @) ^( k x: w3 ^! z
格式: & U* @# l. \- {: \, [: {, \, x2 F3 \
Icon=图标路径名[,序号]
. R$ n; u6 |$ }( K/ [( Y0 `! B 参数: & B, q; T9 E: m
图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时,有时需要使用序号来指定图标。
& i. G+ O' g% B' B( m- j 序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。 4 J7 z& o1 u4 k
备注: A0 O7 ~- O# N
设备显示图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。 + v9 S0 U- I, `3 p
图标路径名的默认目录是设备根目录。
. S5 M; x! x4 {. d( ` 当存在应用程序默认图标(DefaultIcon)时,本命令无效。
! E T+ e6 O0 J5 G* @1 | 3、Label
/ [/ k1 g3 y, m 含义:指定设备描述
* q6 u/ I3 N& D7 h) Q; m7 _ 格式:
& ]4 ?! G) ^7 J0 d" a$ I# z Label=描述
0 S4 |+ s( D$ I, G, w- P9 V1 p* n2 a 参数: ! R. @9 h: @. O; A
描述:任意文字,可以包括空格。 4 q1 K; r0 r, B" p9 _4 t
备注: 5 ~2 H8 z! I" @% v6 I9 h
设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。 4 }* g9 m# n! w! d! @; {
在非windows explorer核心的驱动显示窗口中(例如右击设备选择属性)显示的仍然是设备的卷标。! u% F7 @/ @: a. t: V1 f
4、Open ; U6 J0 V8 u( _( e
含义:指定设备启用时运行之命令行。 8 o9 _5 r& g& j
格式: " g" a$ E6 M1 p4 Y0 ]+ u0 V
Open=命令行
+ d, q: S6 [- Y" |! @2 v7 Y q3 T7 J3 b" A (命令行:程序路径名 [参数])
5 K9 k7 Z- o4 c 参数: - Q; \% s: Q: w6 O1 O
命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开或使用ShellExecute命令。
2 D @$ y' ]" q) C* N% b 备注:
, r" q- Q. f& \) ` 命令行的起始目录是设备根目录和系统的$Path环境变量。 8 Y* s" E3 B! w4 G5 B# z8 ?
5、ShellExecute / `/ s* Y% f* U
含义:
( e3 S+ q/ F& D) Q2 j 指定设备启用时执行文件。(操作系统支持未知) - K7 h5 {) ?* p6 G& [7 v5 T
格式:
3 ^5 G& H. G$ { ShellExecute=执行文件路径名 [参数]
# I. {1 Y' y$ s 参数:
6 s+ ^! q5 S: a5 s# M 执行文件路径名:设备启用时执行文件路径名。可以是任意格式文件。系统会调用设置的程序执行此文件。 : T0 V& D6 p4 a$ k3 E3 U$ Z6 R; @
参数:参数,根据执行文件作调整 / l- q5 y; y% F9 g) i9 s2 c
备注:
' s, j' B4 h' c8 }8 L( t z7 r Q6 y1 d4 A 命令行的起始目录是设备根目录和系统的$Path环境变量。 / I: V! f8 ~ c2 t/ }4 D
6、Shell关键字Command
. J$ M, T" ~9 L. m* N 含义: - b4 L, K) Y# I/ m9 w
定义设备右键菜单执行命令行。
7 K5 I8 M4 d/ B$ w# G: @ 格式: ! r- o, ]9 G" O) a
Shell关键字Command=命令行
2 N8 B! ]2 ?' U (命令行:程序路径名 [参数]) 1 g3 M4 V; f0 Q5 C6 M2 y& Z; Z0 p/ \
参数:
( Z( V8 i" L7 B) v( [! \5 Y 命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开。 # Y) E+ U/ l$ d5 Y( k
备注:
! i* O" d6 g. G4 n8 W" P" A M 命令行的起始目录是设备根目录和系统的$Path环境变量。
8 _1 Y( ?! D$ D" Y' ` 7、Shell关键字 7 a w: l7 E) g* F4 z! b+ e
含义:定义设备右键菜单文本。
8 G- p" }& n( d/ ]1 @3 [ 格式:
: s" x. a% N# ^+ G Shell关键字=文本 & T; `5 v& n: q2 A* _0 b5 Y, I
参数: & I, Q' l& b3 {9 X! Y7 ~
关键字:用以标记菜单,可以使用任何字符表示,包括空格。 7 l: A% z, n7 [, E8 r* `3 b7 x V
文本:在右键菜单中显示的文本。可以使用任何字符,不能存在空格。 e, r% ~! m: Q2 J' k! `% m
备注:
6 S* D, _# W+ S" z% l, R 在同一Autorun.inf文件中,不同右键菜单关键字不同,相同右键菜单关键字相同。
( E* k4 M! \% i6 F" P1 q& y 右键菜单文本中可以使用&设定加速键,&&输出一个&。 , z1 z$ Q- Y8 ]3 d4 Y( f! v" {
Shell关键字Command命令Shell关键字两者缺一不可,顺序无所谓。 , W1 i) c8 h0 X ]. W% C6 @" z$ O
当不存在Open、ShellExecute与Shell命令时,设备启用时运行第一个设备右键菜单指定命令。 $ O- x) T$ p$ }" Q- [
8、Shell : k, q- O, F% K
含义:定义设备启用时运行之设备右键命令。
# B0 L3 D' j& ]) {1 e 格式:
( I( y; {3 O' Z% O% n: d W" n Shell=关键字 & A( A _4 Z# b/ i7 j
参数:
/ p5 f Z: @6 o" b9 ~9 M5 r+ D; w1 l 关键字:标记过的菜单关键字 , S, x) n$ z/ U' C1 x
备注:
4 i: d1 O+ D+ G. s" U- W Shell指定的关键字可以在AutoRun.inf文件的任意部分。 $ |2 |! }* o1 N0 P9 }
OpenShellExecuteShell命令后定义的优先级高。' S4 R _% z" ?4 a) G& {
S% H [) N; E) n+ Y
清除autorun病毒的批处理文件代码
) r; M: d" Q; Z% s u盘插上
$ ~8 Q" x5 |0 E- O! E2 w( a 首先新建个文本文档,在里面添加以下内容: # l4 Y" V+ Z( @4 u1 ]/ ?
@echo on ' l$ ~/ Y: a% ^. |
taskkill /im explorer.exe /f
5 `0 M" a4 ]/ Y0 y. ~ rem 结束病毒进程(以u.vbe病毒的进程w.exe为例)+ b$ [- C% P' l+ f p* C+ N) b
taskkill /im w.exe
* `- G# E8 F: d" O* D& B- A+ |2 S start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f 4 d' C6 H+ E' N P
start reg import kill.reg 5 H1 A" Q1 p! e& P# {5 B
del c:\autorun.* /f /q /as & }. Z+ `5 B! [
del %SYSTEMROOT%\system32\autorun.* /f /q /as
b+ ?6 C6 W- }; e# h$ @/ }/ ~ del d:\autorun.* /f /q /as
( j, I& k& r: @ del e:\autorun.* /f /q /as ; R+ P% g* N- k
del f:\autorun.* /f /q /as - O7 r9 }; R" @, q& c( y
del g:\autorun.* /f /q /as : I% C. I- X: G, ]
del h:\autorun.* /f /q /as
/ x P* e) W- q8 h4 J# P del i:\autorun.* /f /q /as
5 i" {0 ^: e! y/ g1 o/ M. G del j:\autorun.* /f /q /as
8 t/ b5 M# B0 F! [4 g. W6 S' v del k:\autorun.* /f /q /as % I, Z* i- K0 t y6 _6 U( g
del l:\autorun.* /f /q /as ) l& N1 L2 ]! ~' a, k& ?8 ^* Z
start explorer.exe
7 o6 W' V' V, Q7 m =====到这里为止(这行不用复制)========================== # p) P0 L h ]
其次打开我的电脑,在菜单栏里选择“工具-文件夹选项-查看”,将“隐藏已知文件类型的扩展名”前面的勾去掉-确定-退出窗口。
- X0 \: b. O# \* W0 |, R0 Q! c 再次将刚才新建的那个文件文档的文件名,由“新建文本文档.txt”改为“u.vbe病毒消除.bat”。
5 O" ~" t: f6 t) I$ }# B4 H: } 最后直接双击它就能清除这个病毒了! ; z" ~! Z: H" y: L! n6 g8 v6 ?
【另外】对于杀毒软件产生的此类文件夹(如超级巡警),可用DOS命令快速干净的删除,方法如下0 U6 C7 C! }" X6 x" v3 O
假设autorun.inf文件夹是在D盘,操作如下: 打开“开始”,选择“运行”,输入“CMD”,打开命令行窗口,在命令行窗口中输入一下命令:
+ I' r Y8 z# X+ k 第一步:输入D: 然后回车 # ~( g# e% _* R) T
第二步:输入rmdir /s autorun.inf 然后回车
3 S6 N1 k A* G- k! c 第三步:当出现提示时,按“Y”,并回车 ( ~6 u2 O2 `/ u; u4 Z
其他盘照此方法执行即可!! ! |
|
快捷导航
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
IP卡
狗仔卡
粤ICP备05068573号