總說
U盤對病毒的傳播要借助autorun.inf文件的幫助,病毒首先把自身復制到u盤,然後創建壹個autorun.inf,在妳雙擊u盤時,會根據autorun.inf中的設置去運行u盤中的病毒,我們只要可以阻止autorun.inf文件的創建,那麽U盤上就算有病毒也只能躺著睡大覺了,大家可能也想到這個,但是不管給autorun.inf設置了什麽屬性,病毒都會更改它,我提到的方法就是,在根目錄下,刪除autorun.inf文件,然後,根目下建立壹個文件夾,名字就叫autorun.inf,這樣壹來,因為在同壹目錄下,同名的文件和文件夾不能***存的原理,病毒就無能為力,創建不了autorun.inf文件了,以後會不會出新病毒,自動去刪文件夾,然後再建立文件就不知道了,但至少現階段,這種方法是非常有效的。
編輯本段現狀分析
事實表明,目前已經有新的病毒能夠有意識地檢測autorun.inf的存在,對於能直接刪除的則刪之,對於“無法刪除”的則用重命名的方式毀之;還有壹種很早就出現的以文件名誘騙用戶點擊的病毒(如:重要文件.exe,小說.exe)。對於以上這兩種傳播方式的病毒,僅僅建立autorun.inf文件夾是抵禦不了的。
編輯本段應對策略
1、在插入U盤時按住鍵盤shift鍵直到系統提示“設備可以使用”,然後打開U盤時不要雙擊打開,也不要用右鍵菜單的打開選項打開,而要使用資源管理器(開始-所有程序-附件-windows資源管理器)將其打開,或者使用快捷鍵winkey+E打開資源管理器後,壹定通過左側欄的樹形目錄打開可移動設備!(要養成這樣的良好習慣)
2、如果盤內有來路不明的文件,尤其是文件名比較誘惑人的文件,必須多加小心;需要特別提示的是,不要看到圖標是文件夾就理所當然是文件夾,不要看到圖標是記事本就理所當然是記事本,偽裝圖標是病毒慣用伎倆。
編輯本段autorun.inf
autorun.inf文件是從Windows95開始的,最初用在其安裝盤裏,實現自動安裝,以後的各版本都保留了該文件並且部分內容也可用於其他存儲設備。
其結構有三個部分:[AutoRun] [AutoRun.Alpha] [DeviceInstall]
[AutoRun]適用於Windows95以上系統與32位以上CD-ROM,必選。
[AutoRun.alpha]適用於基於RISC的計算機光驅,適用系統為Windows NT 4.0,可選。
[DeviceInstall]適用於Windows XP以上系統,可選。
[AutoRun]部分的命令及其詳解
1、DefaultIcon
含義:指定應用程序的默認圖標。
格式:
DefalutIcon=圖標路徑名[,序號]
參數:
圖標文件名:應用程序的默認圖標路徑名,格式可以為.ico、.bmp、.exe、.dll。當文件格式為.exe和.dll時,有時需要使用序號來指定圖標。
序號:當文件格式為.exe和.dll時,文件可能包括多余壹個圖標,此時需要使用序號來指定圖標,需要註意的是,序號是從0開始的。
備註:
應用程序的默認圖標將在windows explorer核心的驅動顯示窗口中替代設備的默認圖標來顯示。
圖標路徑名的默認目錄是設備根目錄。
2、Icon
含義:指定設備顯示圖標。
格式:
Icon=圖標路徑名[,序號]
參數:
圖標文件名:應用程序的默認圖標路徑名,格式可以為.ico、.bmp、.exe、.dll。當文件格式為.exe和.dll時,有時需要使用序號來指定圖標。
序號:當文件格式為.exe和.dll時,文件可能包括多余壹個圖標,此時需要使用序號來指定圖標,需要註意的是,序號是從0開始的。
備註:
設備顯示圖標將在windows explorer核心的驅動顯示窗口中替代設備的默認圖標來顯示。
圖標路徑名的默認目錄是設備根目錄。
當存在應用程序默認圖標(DefaultIcon)時,本命令無效。
3、Label
含義:指定設備描述
格式:
Label=描述
參數:
描述:任意文字,可以包括空格。
備註:
設備描述將在windows explorer核心的驅動顯示窗口中替代設備的默認描述卷標來顯示。
在非windows explorer核心的驅動顯示窗口中(例如右擊設備選擇屬性)顯示的仍然是設備的卷標。
4、Open
含義:指定設備啟用時運行之命令行。
格式:
Open=命令行
(命令行:程序路徑名 [參數])
參數:
命令行:自動運行的命令行,必須是.exe、.com、.bat文件,其他格式文件可以使用start.exe打開或使用ShellExecute命令。
備註:
命令行的起始目錄是設備根目錄和系統的$Path環境變量。
5、ShellExecute
含義:
指定設備啟用時執行文件。(操作系統支持未知)
格式:
ShellExecute=執行文件路徑名 [參數]
參數:
執行文件路徑名:設備啟用時執行文件路徑名。可以是任意格式文件。系統會調用設置的程序執行此文件。
參數:參數,根據執行文件作調整
備註:
命令行的起始目錄是設備根目錄和系統的$Path環境變量。
6、Shell關鍵字Command
含義:
定義設備右鍵菜單執行命令行。
格式:
Shell關鍵字Command=命令行
(命令行:程序路徑名 [參數])
參數:
命令行:自動運行的命令行,必須是.exe、.com、.bat文件,其他格式文件可以使用start.exe打開。
備註:
命令行的起始目錄是設備根目錄和系統的$Path環境變量。
7、Shell關鍵字
含義:定義設備右鍵菜單文本。
格式:
Shell關鍵字=文本
參數:
關鍵字:用以標記菜單,可以使用任何字符表示,包括空格。
文本:在右鍵菜單中顯示的文本。可以使用任何字符,不能存在空格。
備註:
在同壹Autorun.inf文件中,不同右鍵菜單關鍵字不同,相同右鍵菜單關鍵字相同。
右鍵菜單文本中可以使用&設定加速鍵,&&輸出壹個&。
Shell關鍵字Command命令Shell關鍵字兩者缺壹不可,順序無所謂。
當不存在Open、ShellExecute與Shell命令時,設備啟用時運行第壹個設備右鍵菜單指定命令。
8、Shell
含義:定義設備啟用時運行之設備右鍵命令。
格式:
Shell=關鍵字
參數:
關鍵字:標記過的菜單關鍵字
備註:
Shell指定的關鍵字可以在AutoRun.inf文件的任意部分。
OpenShellExecuteShell命令後定義的優先級高。
編輯本段[AutoRun.alpha]部分的命令簡介
[AutoRun.alpha]部分的命令與[AutoRun]部分的命令相同,只不過在基於RISC的計算機光驅中,[AutoRun.alpha]優先級高於[AutoRun]
[DeviceInstall]部分命令及其詳解
DriverPath
含義:定義搜索驅動程序目錄。
格式:
DriverPath=驅動程序路徑
參數:
驅動程序路徑:驅動程序所在路徑,包括其子路徑。
備註:
Windows XP以上支持。
僅CD-ROM支持
當系統監測到壹個新的設備時,會提示用戶尋找設備的驅動程序。當用戶點選此CD-ROM時,當[DeviceInstall]部分存在時,系統會按照DriverPath所標記的路徑出尋找驅動程序。未標記的路徑系統將忽略查找。當[DeviceInstall]部分不存在時,系統將進行完全查找。
如果不希望系統在此CD-ROM中搜索驅動程序,只加壹行[DeviceInstall]不加DriverPath命令即可。
系統識別該文件過程如下:
系統在插入U盤的時候會根據這個AUTORUN.INF文件在註冊表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]下建立壹個u盤的關聯項,使雙擊打開指定的程序(如病毒程序)。
Windows 2000/XP下如何刪除autorun.inf文件夾在命令提示符中,輸入rd (文件夾路徑)即可刪除文件夾
如文件夾內有內容可把rd替換為deltree來完成刪除。
========================================================================
清除autorun病毒的批處理文件代碼
u盤插上
首先新建個文本文檔,在裏面添加以下內容:
@echo on
taskkill /im explorer.exe /f
rem 結束病毒進程(以u.vbe病毒的進程w.exe為例)
taskkill /im w.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
=====到這裏為止(這行不用復制)==========================
其次打開我的電腦,在菜單欄裏選擇“工具-文件夾選項-查看”,將“隱藏已知文件類型的擴展名”前面的勾去掉-確定-退出窗口。
再次將剛才新建的那個文件文檔的文件名,由“新建文本文檔.txt”改為“u.vbe病毒消除.bat”。
最後直接雙擊它就能清除這個病毒了!
另外對於殺毒軟件長生的此類文件夾(如超級巡警),可用DOS命令快速幹凈的刪除,方法如下
假設autorun.inf文件夾是在D盤,操作如下: 打開“開始”,選擇“運行”,輸入“CMD”,打開命令行窗口,在命令行窗口中輸入壹下命令:
第壹步:輸入D: 然後回車
第二步:輸入rmdir /s autorun.inf 然後回車
第三步:當出現提示時,按“Y”,並回車
其他盤照此方法執行即可!!