U盘病毒autorun.inf的原理及查杀经验

wangtao189

U盘插来插去，难免会中一些不该中的东西，呵呵。当然你可以用U盘查杀工具，在U盘插到你的电脑上检测一下，但是要是你没装，或者是在别人的没装工具的电脑上呢？（要是你不管别人电脑死活，那就不需要了……呵呵）。有的人要说，没事我的U盘有免疫，这里我要说，免疫都是没用的，除非你的U盘带写保护，这个才是根本，要不然其他的像建什么...文件夹防删除的，其实都没用的。一句话就直接删除了。这里我来简单说一下U盘病毒的手动查杀吧。海天说的不好的地方，大家见谅……
其实这个U盘手工查杀就是几个DOS命令，虽然现在时windows的时代，但DOS命令还是不能缺少的，其实要讲的几个命令是dir、attrib、del各个参数。（高手略过）
我们先来讲下现在U盘病毒的原理吧。病毒首先把自身复制到u盘的隐藏地方，比如说RECYCLER文件夹里，然后创建一个autorun.inf文件,这样在你打开u盘时，会根据autorun.inf中的设置自动去运行u盘里的病毒。原来的autorun.inf病毒还好，只有双击会中病毒，但是现在的病毒不管右键点击打开、资源管理都会中毒……代码是：
[autorun]
OPEN=SVCH0ST.EXE
shell\open=打开(&O)
shell\open\Command=SVCH0ST.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=SVCH0ST.EXE
现在还有的U盘病毒是隐藏U盘里原有的文件夹，然后再创建文件夹图标、以每个文件夹命名的exe文件，而我们一般不会喜欢选择显示后缀名，所以就会直接选择病毒文件的exe文件。有的人会问U盘里的文件夹都被杀毒软件都杀了，但空间还占，其实就是这里所说的，杀软杀掉了exe病毒文件，但原来的文件都还隐藏着。
OK，U盘病毒差不多就是这些，我们来讲下U盘的DOS命令查杀。
1、开始-运行，输入cmd，这样就打开了windows界面下的dos窗口（其实这个并不是真正的DOS窗口，差不多算是windows“伪造”的吧，呵呵）。进入U盘盘符，比如你的U盘盘符是F盘，那么就输入"f:"这样就进入F盘了。
2、进入U盘以后你要查看有没有病毒，一般病毒都是可执行文件，比如exe、vbs、bat、com都是windows下可执行的文件，还有autorun.inf文件，这个是病毒启动的关键，有它就肯定有病毒。我们可以用dir、attrib命令查看，输入"dir /a"，就可以查看U盘根目录下的隐藏文件，这样就算病毒是隐藏的我们也能一目了然，只要找上面所说的几种可执行文件。
有的朋友U盘里会放很多文件，用dir命令列出来看的眼花缭乱，这时我们可以直接用attrib命令，这个命令式显示文件属性的，而一般病毒都是隐藏的有的更是会加系统属性，这样我们就可以用attrib命令查看到的文件会少很多，下图所示的Thumbs.db文件就是有隐藏、质素、系统属性的，当然这个不是病毒，这个是图片的数据库，我只是拿它说明下。
稍微扩展下dir命令/S参数，这个参数是查找盘符下所有文件，就是指，你进入盘符根目录，用dir命令只能看到跟目录下的文件，而你加上/S参数查看的就是当前盘符下的所有文件，包括文件夹里的文件。这样我们就可以用"dir /a /s *.exe"命令查看U盘下的所有exe文件，就算它藏在哪个角落都给翻出来，当然不一定exe文件就一定是病毒啊，说不定是你自己的文件呢。（用/S参数也可以查找文件，我觉得DOS下的windows界面下的速度快）

3、找到病毒了现在开始动刀了。我们先来讲比较复杂的，就是找到病毒去掉属性再删除。找到了autorun.inf文件，我们想看看它到底是让哪个病毒自动运行，运行命令"type autorun.inf"，这样就显示了autorun.inf里的内容，open=后面跟的就是病毒文件。在dos下，你直接用del命令删除那些有参数的文件是删除不了的，这时你可以用attrib命令去掉病毒的隐藏、只读、系统属性。命令是"attrib -s -h -r *.exe"这样你就可以去除根目录下所有exe文件的隐藏、只读、系统属性。（同理减号改成加号就是加上那些属性。）去除属性后我们就直接可以用del命令删除了。
现在来讲一步直接删除吧，就是用del的/F参数，这个是强制删除文件，我们就可用"del /a /f *.exe"命令直接强制删除根目录下的exe文件。
ps：这里要注意上面的伪装文件夹的exe病毒文件。
OK，现在病毒杀的差不多了，我们来讲下防护吧，自己的电脑上你可以用组策略禁用U盘自动播放，但这个还是有点瑕疵，最好的是用组策略禁用U盘盘符的exe、vbs等可执行文件的执行权限。
开始-运行-gpedit.msc进入组策略，进入计算机配置-windows设置-安全设置-软件限制策略-其他规则，创建一个“新路径规则”，这里输入你的U盘盘符，比如说F盘就输入"f:\*.exe"下面设置成不允许的，这样U盘里的exe病毒文件想要执行都不行。
而那些用autorun.inf文件夹里创建不可删除的...\文件夹免疫的方法，对付一般病毒还行，但是要强一点的病毒可以直接删除，就算不能删除，也能改名后新建。
ps：删除，可以直接用“rd /s /q autorun.inf”来删除免疫的autorun.inf文件夹，可谓是一步到位啊。

U盘的查杀就写到这，记录的是海天平时所用到的方法，虽然都是一些简单的DOS命令，但不可否认dos还是很强大的。这里写的有错误的地方大家积极指教。病毒永远是存在的，杀软只是一个防护，不可能完全防住病毒，也不可能有那种方法能够完全的防住病毒，所以平常还是要大家自己注意，不要运行一些不明文件，注意备份，发现可疑情况，立即杀毒。杀软杀不了还是要手工杀毒的，可以借助一些超强的ARK工具，比如我上次推荐的Xuetr就是很强悍的，遇到病毒慢慢杀，实在不行，我们还能还原呢

a98736112

能说得简单点吗？

a98736112

太复杂看不懂啊！