時間:2013-05-28 來源:武漢網(wǎng)whw.cc 作者:whw.cc 我要糾錯
一、防止病毒利用autorun.inf感染系統(tǒng)
所謂的autorun并非某種病毒的名稱,只是病毒感染系統(tǒng)的一種途徑。具體來說就是通過在移動存儲設(shè)備或者硬盤的根目錄下創(chuàng)建autorun.inf文件,來幫助觸發(fā)病毒。
autorun.inf通?梢詫崿F(xiàn)兩種功能:
一是自動播放,例如將安裝光盤放入光驅(qū)后會自動運行安裝程序,將U盤插入后會自動釋放病毒。
二是修改屏蔽原來的“打開”“資源管理器”等菜單命令,使之與病毒關(guān)聯(lián)。此時雙擊U盤或者右鍵菜單選擇“打開/資源管理器”也會觸發(fā)病毒的運行。
【應(yīng)對方法】
1. 防止病毒自動運行
〖暫時禁用〗
插入U盤時按住shift鍵,直到該設(shè)備完全被識別。即可暫時禁止U盤自動播放
〖徹底禁用〗
方法一:組策略編輯器
運行g(shù)pedit.msc,找到[計算機配置--管理模板--系統(tǒng)--關(guān)閉自動播放]或者[用戶配置--管理模板--系統(tǒng)--關(guān)閉自動播放]
該項目共有三個選項:不禁用/禁用光驅(qū)(實際上是禁用光驅(qū)和U盤等移動設(shè)備)/禁用全部
方法二:注冊表編輯器
運行regedit,找到[HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Policies\Explorer](與組策略中用戶配置對應(yīng))或者[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer](與組策略中計算機配置對應(yīng))
把這主鍵下的<NoDriveTypeAutoRun>鍵的十六進制鍵值改為FF,然后重新啟動,即可禁用全部的自動播放
2. 正確的打開U盤途徑
既然病毒有可能會修改“打開”“資源管理器”等菜單命令,因此絕對不要雙擊打開U盤,或者用右鍵菜單里的這兩項。
最方便的方法是點擊我的電腦上方工具欄的“文件夾”,然后從左側(cè)導(dǎo)航欄進入U盤。
也可以在我的電腦上方的地址欄直接輸入“U盤盤符:”然后回車。
二、清除U盤內(nèi)的病毒
病毒的劣跡首先當(dāng)然是復(fù)制自身到U盤,其次很多病毒還會把U盤中原有的文件改成隱藏屬性,然后用自身來冒名頂替。例如比較常見的打印店Global會把U盤內(nèi)所有文件夾都改成隱藏,然后創(chuàng)建“文件夾名.exe”的程序,欺騙用戶點擊觸發(fā)病毒。這在那些文件夾選項設(shè)置為“不顯示隱藏文件”以及“隱藏已知文件類型的擴展名”的系統(tǒng)中,就只能看到由病毒偽裝的內(nèi)容。因此很多人即使用正確的方式打開了U盤,不注意區(qū)分病毒偽裝還是會中招。
【應(yīng)對方法】
這個不用廢話,直接拿殺毒軟件掃描U盤即可。
或者按正確的方法打開U盤手動把看不順眼的autorun.inf以及不是自己創(chuàng)建的.exe,.vbe等等文件統(tǒng)統(tǒng)刪掉(病毒通常為隱藏屬性,需要設(shè)置顯示隱藏文件)。
三、善后工作
殺毒軟件雖然會清除病毒,但是autorun.inf本身并不是病毒,因此不會被自動清除。所以有時候殺過毒的U盤再雙擊會無法打開。此外,由于病毒把文件屬性全部改成了隱藏,因此在“不顯示隱藏文件”的系統(tǒng)上看,好像是U盤殺過毒之后什么東西都沒有了。
【應(yīng)對方法】
1. 清除殘留的autorun.inf
對于autorun.inf的殘留,只要按照之前提到的正確方法進入U盤,然后手動刪除autorun.inf(有可能它是隱藏屬性),之后拔掉U盤重新插上即可。
2. 顯示被隱藏的文件
方法一:[我的電腦--工具--文件夾選項--查看]里選擇“顯示所有文件和文件夾”。
方法二:在WinRAR中瀏覽U盤,也可以看到隱藏文件和文件夾。
方法三:利用Windows的搜索功能,在U盤內(nèi)搜索“*”,勾選高級選項中的“搜索系統(tǒng)文件和隱藏文件”,可以找出U盤中所有隱藏的非隱藏的內(nèi)容。
方法四:直接去掉文件的隱藏屬性再查看。
〖附問題〗為什么在文件夾選項里設(shè)置顯示隱藏文件無效?
打開注冊表編輯器,找到主鍵[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL],把其下<CheckedValue>的鍵值(注意檢查該鍵類型是不是dword,若不是請刪除后重建)改為1。
然后再修改文件夾選項試試。如果還是不行,并且<CheckedValue>鍵值會自動變回0,很不幸,你可能已經(jīng)中毒了,請按一般的步驟查殺病毒。
3. 去掉文件的隱藏屬性
在運行對話框中輸入“attrib -s -h -r U:\*.* /s /d”然后回車(將其中的U替換為U盤所在的盤符)。
這實際上是同時去掉了系統(tǒng)、隱藏、只讀三個屬性,關(guān)于attrib命令各參數(shù)的自行Google。
四、其他應(yīng)對autorun的方法簡介
僅僅是簡介,具體實現(xiàn)的詳情請自行Google。另外現(xiàn)在的病毒對某些方法也有了應(yīng)對策略,不保證100%有用。
1. 將U盤格式轉(zhuǎn)換為NTFS,然后用NTFS的安全策略去掉其他用戶對U盤的寫權(quán)限。
2. 在U盤根目錄下建立一個名為“autorun.inf”的文件夾,然后在文件夾下建立一個不能用普通方法刪除的文件。
3. 絕對安全的方法——使用帶寫保護功能的U盤!
本文章出至http://www.lrupan***
標(biāo)簽:
關(guān)于我們 | 打賞支持 | 廣告服務(wù) | 聯(lián)系我們 | 網(wǎng)站地圖 | 免責(zé)聲明 | 幫助中心 | 友情鏈接 |
Copyright © 2022 whw.cc Inc. All Rights Reserved. 武漢網(wǎng) 版權(quán)所有
鄂ICP備19009404號-6 公安備 42010502000112