这段时间autorun病毒很猖狂虽说不是什么厉害的病毒,但是让人觉得闹心,其实它也没有什么了不起的,现在让我们一起把它彻底封杀。
一、 知已知彼
Autorun病毒主要是利用了系统的自动播放功能和文件夹系统文件隐藏属性,通过修改注册表文件夹属性使自己很好的隐藏起来,其次病毒的右键模仿的和平时的菜单一样没有什么区别,代码如下:
[autorun]
open=a.exe
shell\open=打开(&o)
shell\open\command=a.exe
shell\open\Default=1
shell\explorer=资源管理器(&x)
shell\explorer\command=a.exe
(这里的a.exe不是病毒,是我写了一个调用cmd.exe的代码)不管你是双击还是选择右键的”打开”或者选择”资源管理器”都会中招。如图:1、2、3、4
图1
图2
图3
图4
看到了吧,点了以后这个a.exe就会悄悄的运行,在不知不觉中你就中毒了。了解了它的这些特性后,我们就可以很好的处理它了。
二、 现出原型,一一解决
为了能够让它现出原型我们需要修改一下注册表, HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 将右边窗口中的CheckedValue值改为1;HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced将右边窗口中的ShowSuperHidden值改为1,刷新注册表退出。这时看看那些病毒就应该现身了。还在等什么啊快去把它们都删了。大家一定遇到过这种问题吧,如图5:
图5
文件夹是处于隐藏状态的,如果没有把那个显示所有文件选上的话,一打开移动硬盘或者是U盘,发现里的所有文件都没有了,取而代之的是像如图这样的同名白板的可执行文件,如果这时候你点了他的话那么你就中镖了。用上面的方法将文件显示出来后,直接将白板删除就行了,可是你会发现文件夹的隐藏属性变成灰色的了,如图6:
图6
不能改,怎么办?有办法,在你的移动硬盘中新建一个文本文件在里面写入attrib –s –h –r *.*,保存后把文件扩展名改为bat直接运行即可。
三、 根治与防范
在没有免疫以前不要用第一点所说的方式打开移动设备,可以用以下方法:
(1)点工具栏上的文件夹,然后从当前窗口左边的小窗口中打开移动设备。
(2)在地址栏下拉列表中选中移动设备打开也行。
为了以后不再这样麻烦我们进行最后的免疫,我写了一个批处理文件
- @echo off
- ::关闭系统的自动播放功能
- reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /d 255 /t REG_DWORD /f
- ::在每个盘符下生成一个免疫文件夹
- set alldrive=c d e f g h i
- for %%a in (%alldrive%) do if exist %%a:\ md %%a:\autorun.inf|md %%a:\autorun.inf\autorun.inf..\
- ::修改系统盘下的免疫文件夹的访问权限防止被病毒删除
- set /p pan=请输入系统所在盘符(直接输入字母即可):
- echo y|cacls %pan%:\autorun.inf /d everyone
- ::用cacls把权限设置成不准任何人访问
- echo 操作完成,按任意键退出!
- pause>nul
本文转自sucre03 51CTO博客,原文链接:http://blog.51cto.com/sucre/413681,如需转载请自行联系原作者
