下载文档原格式
Autorun病毒如今已经式微,但是仍然有一些新病毒用这种方式传播,实在是因为这种方式很方便但又很快速。
并且也有一些新的保护自己的方法出现。
例如宅男病毒(sola)的新版本就算是其中的佼佼者。
要手工杀这类病毒,重要的一点是要知道如何判读autorun.inf文件,从这个文件找到病毒的线索。
病毒最先开始进入你的系统就是从这个文件开始的,然后又用这种方式埋伏于硬盘各个分区和移动磁盘中。
这个文件是典型的inf安装信息文件,因此它总是有一个段是用来告诉windows它需要运行的程序是谁在哪儿。
举例有一个U盘病毒的autorun.inf文件内容如下:[autorun]OPEN=EXPLORER.EXEshellopen=打开(&O)shellopenCommand=EXPLORER.EXEshellopenDefault=1shellexplore=资源管理器(&X)shellexploreCommand=EXPLORER.EXE其中方括号[autorun]就表明其下这个段适用于系统的“自动运行”,第一行将在U盘盘符的右键菜单中增加一个名叫OPEN的项,并且如果没有其他语句定义默认项,它就将是加粗的默认选项,也就是说,在左键双击时会选中这条。
等于号右边就是将会运行的程序,名叫EXPLORER.EXE,这个看起来与系统的“资源管理器”一样,其实不是,这个文件按照病毒作者的意思是在U盘根目录下,它应该就是病毒母体,一般情况下,它运行之后会进一步在系统中生成其他病毒文件,当然也有一些简单的病毒只是把这个文件和autorun.inf文件复制到其他分区中。
第二行厉害一些,相对来说,第一行会在右键菜单中出现中文系统中不常见的OPEN选项,警惕性高一点的用户会有所发现。
而第二行就会直接隐藏了原来的“打开”项,你即使在右键中选择“打开”也会使EXPLORER.EXE文件得以运行。
不过,第二行仅仅是产生了一个右键的菜单项,第三行才告诉系统这个菜单项应该运行什么,同样的它也是指向的EXPLORER.EXE这个病毒文件。
1 重启系统(移动硬盘接入系统),按F8进入安全模式,
2 关闭系统还原功能。
右键点击“我的电脑”进入属性页,点击系统还原,勾选在所有驱动器上关闭系统还原,点击确定。
3 关闭回收站功能。
右键点击“回收站”进入属性页,勾选删除时不将文件移入回收站,而是彻底删除,并且要保证所有驱动器均使用同一设置是点选状态。
点击确定。
4 删除病毒文件,进入感染病毒的磁盘,打开文件夹选项,取消隐藏所有受保护的操作系统,可以看到RECYCLERS,System Volume Information等文件夹,jwgkvsq.vmx就在RECYCLERS文件夹内,此时直接删除,会提示该文件正在使用中,无法删除,进入文件夹,找到jwgkvsq.vmx文件,右键点击该文件进入属性页,点击安全选项卡,点击高级,点击所有者选项卡,选择administrators或administrator,点击确定退出,再右键点击进入jwgkvsq.vmx属性页,可以看到此时的使用权限可以修改了,勾选“允许完全控制”,点击确定退出,此时就可以真正删除该文件了。
常见的几种autorun类病毒查杀方法现在使用移动存储工具的人群比较多,比如U盘,移动硬盘,MP3等。
方便的同时就会存在危机。
Autorun病毒是其中之一的十分常见的病毒,因此本文为大家介绍了几种十分简单的删除Autorun病毒方法。
首先中毒后的症状是:双击盘符打不开,或者是新开一个窗口打开,或者是让你选择文件的打开方式…其实最明显的现像是鼠标右键中新增了两项,auto或者是自动播放。
如果发现以上症状那么就基本可以确定你中了autorun一类的病毒了。
但是如果放入光盘后才出现的,那就属于正常,请不要多想。
哈哈。
病毒的触发方法:平时用户都是双击打开磁盘,病毒正是利用了这一点,在注册表中关于盘符的那一项,新加了两个键值shell command ,然后你双击打开盘符的时候病毒就会先启动,然后再打开磁盘,有的时候是双击没有反应,只能用右键打开。
重装系统照样还是会中的。
那么下面我们来说一下此类病毒的通用查杀方法,希望大家都能自己动手。
首先我要说的就是做系统的时候,就一定要做到的前两点:1、修改组策略关闭自动播放运行-->gpedit.msc-->用户配置-->系统-->关闭自动播放-->已启用-所有驱动器2、关掉自动播放所用到的一个服务运行-->services.msc-->Shell Hardware Detection服务-->启动类型-->禁用以下是你确定你中毒以后要做的,先结束病毒的进程。
3、中毒以后查杀:修改注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2]将此键值下所有带“+”的项依次展开,如有“command”的,或者是“shell”的,把下面的路径中的文件记下来,然后全部删除。
默认所有的盘符中是没有+下的值的电脑知识 电脑技巧,绿色、破解实用软件下载4、打开CMD 进入你中毒的盘符用attrib 命令查看具有隐藏属性的文件。
教你如何手工清除autorun.inf类的病毒最近U盘病毒非常猖獗,经过分析这种病毒的传播主要借助与Autorun.inf文件,病毒先将自身复制到U盘,然后再创建一个Autorun.inf文件。
当你在你双击U盘时,会根据Autorun.inf中的设置去运行U盘中的病毒,然后将其复制到硬盘的各个盘符下无法删除。
重装或一键恢复了XP系统,双击其他分区,比如D盘,都打不开,只能用右键打开。
这就是中了Autorun.INF类病毒的表现。
今天我们就把干掉Autorun.inf类病毒的方法和预防的手段跟大家分享一下。
手工轻松干掉Autorun.inf中了这类病毒后,各个分区的根目录下都会生成一个隐藏属性的Autorun.inf文件,双击打开“我的电脑”,点击“工具”,再点击“查看”,去掉“隐藏受保护的操作系统文件”及选中“显示所有文件和文件夹”,再点“确定”把所有的隐藏属性打开(见图1)。
右键打开任一分区,如D盘,就可以看见Autorun.inf这个文件,再右键打开Autorun.inf会看到open=xxx.exe(xxx就是病毒的名称),如果病毒没进程程保护的话,删掉各个分区的Autorun.inf和xxx.exe就可以把病毒删除了,删除病毒后,还要把病毒的磁盘关联改回来。
运行regedit.exe来到[HKEY_CLASSES_ROOT\Drive\shell]下,把“默认”改成none(见图2),再到"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer下删掉ountPoints2这一项(如果有这一项的话),到此,就能双击打开任意盘符了。
了方便大家清除Autorun.inf类病毒,我们为大家用RAR做了一个自压解清除Autorun.inf和修复磁盘及EXE文件关联的小工具,这个小工具由delinfvir.cmd、del.cmd、del.reg、drivefix.reg、undel.reg、attrib.exe、taskkill.exe等文件组成,解压后马上运行drivefix.cmd这个批处理,之后会重启系统,启动到“欢迎使用”在加载explore.exe前进行清除Autorun.inf等相关病毒的操作,需耐心等候片刻。
1、推荐一种彻底拒绝Autorun.inf类型病毒的方法.运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效):@ECHO offREG.exe DELETEHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f REG.exe ADDHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 ECHOHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\M ountPoints2 []>%temp%\temp.txtREGINI.exe %temp%\temp.txtGOTO :eof如果想再恢复Autorun.inf功能运行这个批处理:@ECHO offECHOHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\M ountPoints2 [7]>%temp%\temp.txtREGINI.exe %temp%\temp.txtREG.exe DELETEHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f REG.exe ADDHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 GOTO :eof2、对于伪装型病毒,可以通过它的可执行属性判断出来。
除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--".exe"扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个".exe"。
DOS系统下查杀autorun.inf病毒一、在DOS系统下删除已知但隐藏或者不能删除的病毒。
点“开始”、“运行”,输入“cmd”(或者在键盘上按“windows R”,然后输入“cmd”),进入“命令提示符”。
用“X:”命令进入病毒所在分区(比如D:盘,将“X”换为D即可),然后按“回车键”。
用“dir /a“命令显示出所有文件和文件夹(直接用“del autorun.inf”(autorun.inf代表病毒的名字)删除是不掉的)。
因为病毒通过修改注册表使自己具有隐藏或者不能删除的属性。
我们用外部命令:attrib -s -h -r d:\autorun.inf。
这样我们就去掉了病毒文件的所有属性。
然后就可以用“del autorun.inf”来删除病毒文件了。
病毒文件可能会带有“系统(s)”、“隐含(h)”或“只读(r)”属性,碰到带有这些属性的可能无法直接DEL删除,我们首先要去掉病毒文件的这些属性。
命令:attrib -s -h -r virus.dll(如:attrib -s -h -r autorun.inf)然后我们就可以使用DEL命令来删除病毒文件了。
命令:del virus.dll(如:del autorun.inf)在NT内核系统中。
如Windows 2000 / XP,我们还可以启动到“带命令行提示的安全模式”来尝试删除正常模式下甚至安全模式下无法删除的病毒文件。
所以总结DOS下查杀起来autorun.inf的操作步骤如下:1、点“开始”、“运行”,输入“cmd”。
2、输入“命令提示符”,用“X:”命令进入病毒所在分区。
如D:,按回车键。
3、输入“dir /a”命令显示出该分区所有文件和文件夹,按回车键。
4、在该分区下输入命令:attrib -s -h -r virus.dll(如:attrib -s -h -r autorun.inf)。
如显示“找不到-virus.dll”病毒文件,则表示该分区没有感染virus.dll病毒。
如何清除U盘autorun.inf病毒当电脑中的每个磁盘都出现了autorun.inf文件夹,怎么办。
不用慌,我们右击该文件,查看它的属性,如果是0字节的话,就不需要处理它,因为autorun.inf文件夹是由杀毒软件或专杀工具创建的免疫文件,主要用于保护系统,防止真的U盘病毒autorun.inf自动运行并且写入系统。
如果不是0字节的autorun.inf 文件夹那就是病毒了,病毒和木马利用autorun.inf传播,侵入电脑。
当你双击磁盘时,病毒就会通过autorun.inf来传播。
U盘杀毒专家可以很轻松地清除autorun.inf病毒。
那么如何使用U盘杀毒专家清除autorun.inf文件夹?请按照下列步骤执行。
1. 首先去U盘杀毒专家官网免费下载并安装U盘杀毒专家USBkiller:2. 将含有autorun.inf的U盘、手机存储卡等插进电脑,打开U盘杀毒专家(USBKiller):3. 选择需要扫描的区域,一共包括内存,本地硬盘,移动存储3种选择,然后点击“开始扫描”:U盘杀毒专家(USBkiller)正在扫描,U盘杀毒专家会自动查找到autorun.inf并做相关处理。
4.扫描结束,Autorun病毒专杀工具-U盘病毒专杀会在任务栏里面列出查杀到的所有autorun.inf病毒,并且显示该病毒已处理干净。
5.为了避免再次感染Autoru.inf病毒,您可以对U盘进行免疫,首先在侧边栏上单击免疫U盘病毒标签。
勾上禁止自动运行功能和选择需磁盘进行免疫,最后单击开始免疫,您的U盘就不会再次感染autorun.inf 病毒。
使用Autoruninf病毒专杀-U盘杀毒专家清除中了毒的Autorun.inf文件夹是如此地轻松。
U盘杀毒专家不但能aurorun.inf,还能查实OSO.exe病毒、美女游戏病毒、VBS病毒等1200种病毒。
到这里了解更多关于U盘杀毒专家(USBKiller)的信息:。
清除电脑病毒autorun.inf的详细教程 关于autorun.inf病毒的清除⽅法: 特征:在每个盘根⽬录下⾃动⽣成sxs.exe,autorun.inf⽂件,有的还在windows\system32下⽣成SVOHOST.exe或sxs.exe,⽂件属性为隐含属性,⾃动禁⽤杀毒软件。
传染途径:主要通过U盘,移动硬盘 迷惑性: 1、按ctrl del alt查看进程,可能多出svohost进程,与系统⾃带的svchost只差⼀字 2、注册表修改项隐蔽更强,如何修改在下⾯详细说明。
3、⾃动修改注册表,使系统“显⽰所有隐藏⽂件”功能失效,从⽽达到隐藏⾃⼰病毒体⽂件的⽬的。
清除办法: 建议到安全模式下,⽹上有许多说直接搜索sms.exe⽂件删除是不可以的,因为⼀删除后,只要你刷新就⽴刻出现。
1、关闭病毒进程 Ctrl Alt Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差⼀个字母),有的话就将它结束掉(并不是所有的系统都显⽰有这个进程,没有的就略过此步)。
2、恢复注册表(有的系统可能病毒没有修改注册表,检验办法是,如果您的系统能看到隐藏⽂件那么这步可以省略,建议⼤家都看⼀下) (删除病毒⾃启动项)打开注册表运⾏——regedit HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run SVOHOST.exe 或 sxs.exe 下找到 SoundMam(注意不是soundman,只差⼀个字母) 键值,可能有两个,删除其中的键值为C:\\WINDOWS\system32\SVOHOST.exe 的(显⽰出被隐藏的系统⽂件) HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 这⾥要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了⼀个⽆效的字符串值CheckedValue,类型为REG_SZ,并且把键值改为0!将这个改为1是毫⽆作⽤的。
批处理查杀Autorun病毒
【摘要】本文对批处理查杀Autorun病毒这一问题进行了分析阐述。
【关键词】批处理查杀Autorun病毒
Autorun病毒又名U盘病毒。
U盘病毒主要依赖于U盘等移动存储设备生存,当用户从网上下载文件并拷贝到U盘时便可能中了U盘病毒,当用户双击U盘盘符时,便启动了隐藏了的Autorun.inf等系统文件,能在U盘和电脑的各个分区下生成病毒本体和Autorun.inf,并向系统和注册表写入监控、免杀等主体文件。
Autorun.inf是一个安装信息文件,通过它可以实现移动设备的自动运行。
其文档大约格式为:
[autorun]
Open=病毒.exe?
Shellexecute=病毒.exe?
Shell\\Open\\command=病毒.exe?
Shell\\Explore\\command=病毒.exe?
原理:Autorun病毒能够通过自动播放而达到传播自身的目的,但目前符合要求的可执行文件后缀有.pif .com .exe .bat .vbs;病毒为了达到隐藏自己的目的,通常给Autorun.inf和病毒主体文件添加隐藏属性(H)、只读属性(R)、系统属性(S)中的几种,并且通过修改注册表让用户无法查看隐藏文件,即使在文件夹选项里选择“显示隐藏的文件和文件夹”和取消“隐藏受保护的操作系统文件(推荐)”也不能看到隐藏的文件即使看到了也删除不掉,因为带有多重属性,必须在命令下查看和操作。
因此根据以上信息可以编写杀毒用的批处理,如下所示:
@echo off
ping 127.0.0.1 -n 6
::这里起到延迟的效果,目的是等待用户的移动设备被电脑完全识别。
dir d:\
if %errorlevel%==0 (goto a) else goto b
d:
call :shadu&&call :help&&call :sos
:b
dir e:\
if %errorlevel%==0 (goto c) else goto d :c
e:
call :shadu&&call :help&&call :sos
:d
dir f:\
if %errorlevel%==0 (goto e) else goto f :e
f:
call :shadu&&call :help&&call :sos
:f
dir g:\
if %errorlevel%==0 (goto g) else goto h :g
g:
call :shadu&&call :help&&call :sos
:h
dir h:\
if %errorlevel%==0 (goto i) else goto j
h:
call :shadu&&call :help&&call :sos
:j
pause
exit
goto :one
:shadu
@echo off
SETLOCAL ENABLEDELAYEDEXPANSION
for /f “tokens=*” %%a in (…dir/a-d/b/oe‟) do set/a c+=1&set a!c!=%%a&set b!c!=%%~za&set c!c!=%%~xa
for /l %%a in (1,1,%c%) do set/a d=%%a+1&for /l %%b in (!d!,1,%c%) do if not !b%%a!.==. call :1 %%a %%b
goto :eof
:1
if !b%1!==!b%2! if !c%1!==!c%2! set b%2=&attrib “!a%2!” -r -h -s &attrib “!a%1!” -r -h -s &del “!a%2!” “!a%1!”
goto :eof
goto :one
goto :eof
:help
del *.exe/a:shr&&del *.exe/a:sh&&del *.exe/a:hr&&del *.exe/a:sr del *.exe/a:h&&del *.pif/a:shr&&del *.pif/a:sh&&del *.pif/a:hr&&del *.pif/a:sr&&del *.pif/a:h&&del *.com/a:shr&&del *.com/a:sh&&del *.com/a:hr&&del
*.com/a:sr&&del *.com/a:h&&del *.bat/a:shr&&del *.bat/a:sh&&del *.bat/a:hr&&del *.bat/a:sr&&del *.bat/a:h&&del *.vbs/a:shr&&del *.vbs/a:sh&&del *.vbs/a:hr&&del *.vbs/a:sr&&del *.vbs/a:h&&del *.scr/a:shr&&del *.scr/a:sh&&del *.scr/a:hr&&del *.scr/a:sr&&del *.scr/a:h&&Rd RECYCLER/s/q
goto :eof
goto :eof
:sos
if exist autorun.inf if not exist autorun.inf\\nul ( for /f “usebackq tokens=1* delims==“ %%j in (“autorun.inf”) do if not “%%k”==““ ( del /f /a “%%k” )) &&attrib autorun.inf -s -h -r&&del autorun.inf
goto :eof
保存为:U盘病毒专杀.bat,当U盘插入后在电脑上完全识别了就双击这个批处理,它就会自动执行删除病毒文件。
程序只列举到H盘,用户可根据自己需要按规律自行添加多余的盘符。
当用户U盘里中了文件夹类的病毒后,病毒就会把所有的文件夹都隐藏掉,上面的批处理虽然能查杀这类病毒但是没有解决病毒留下的后遗症:用户无法找到自己以前的文件夹了!所以下面的这个配套批处理能够很好的做到这一点:
@echo off
Echo请输入所需显示被隐藏文件的盘符:&&Set /p panfu=请输入盘符,如(D):
dir %panfu%:\\&&if %errorlevel%==0 (goto 1) else goto 2
:1
%panfu%:&&echo正在显示所有文件,请稍等...&&attrib *.* /s /d -s -h -r&&cls&&echo %panfu%盘文件已全部显示.
:2
Pause
保存为:显示隐藏文件.bat,当遇到自己的文件或者文件夹找不到的时候,只要是被隐藏了就可以执行这个批处理来显示所有东西。
(作者单位:许昌学院05级电气本科一班)。
