解读Autorun.inf病毒和autorun.inf

这几天我的机子病毒大暴发,其中有一种病毒就是关于autorun.inf的。和它一起运行的是sxs.exe文件。它在每个驱动盘下都有这两个文件,并且文件夹选项里显示所有隐藏文件和文件夹选中后又会被改回去,很苦恼啊!于是上网查了一些这方面的资料来解决这个问题。
 解决办法如下:
  执行“开始”-“运行”-输入“regedit”打开注册表
  找到HKEY_LOCAL_MACHINE/Software/Microsoft/windows/ CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL中的CheckedValue,检查它的类型是否为REG_DWORD,如果不是则删掉CheckedValue,然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1
  这样就可以选中显示所有隐藏文件和文件夹,可以看到各个驱动盘下的两个病毒文件了。
  然后在桌面上创建一个批处理文件,如:csdn.bat。里面的内容如下:
  attrib -s -h -r -a c:/autorun.inf
  del c:/autorun.inf
  attrib -s -h -r -a c:/sxs.exe
  del c:/sxs.exe
  attrib -s -h -r -a d:/autorun.inf
  del d:/autorun.inf
  attrib -s -h -r -a d:/sxs.exe
  del d:/sxs.exe
  attrib -s -h -r -a e:/autorun.inf
  del e:/autorun.inf
  attrib -s -h -r -a e:/sxs.exe
  del e:/sxs.exe
  attrib -s -h -r -a f:/autorun.inf
  del f:/autorun.inf
  attrib -s -h -r -a f:/sxs.exe
  del f:/sxs.exe
  attrib -s -h -r -a g:/autorun.inf
  del g:/autorun.inf
  attrib -s -h -r -a g:/sxs.exe
  del g:/sxs.exe
 然后重启电脑,并且按住shift不放。直到电脑启动为止。不要点击任何驱动器,执行“开始”-“运行”-输入“cmd”打开命令提示符,在命令提示符下进入桌面文件夹执行刚才创建的那个批处理。
 最后在进入注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run里找到键值为c:/windows/system32/SXS.exe项和键值为c:/windows/system32/svohost.exe项删除。重起电脑在命令提示符下用dir *:/  /a来查看autorun.inf和sxs.exe还在吗?如果没有则说明已经删除了。至此整个世界都清净了。(注:*代表盘符)


 什么是Autorun.inf文件呢?严格的说它是一个必须存放在驱动器根目录下的有一定格式的文本文件,它是由一个或多个“节”组成,每个“节”民须以节名作为开始的一行,节名必须用中括号[]括起来,节名之下则为本节中的命令。 其中Autorun.inf一共支持三个节,它们分虽为[autorun]、[autorun.alpha]、[Deviceinstall],其中只有[autorun]是必须存在的。
 Autorun.inf是一个文本形式的配置文件,我们可以用文本编辑软件进行编辑,它只能位于驱动器的根目录下。这个文件包含了需要自动运行的命令,如改变的驱动器图标、运行的程序文件、可选快捷菜单等内容。
 Autorun.inf文件结构较简单,主要包含一个固定的段标识[Autorun]和自定的自动播放命令(Autoplay command)。定义好Autoplay command就可以实现自己的自动播放了。

 改变驱动器图标命令:Defaulticon命令和Icon命令

基本原理:

这两条命令都能改变光盘图标,功能相同。我们平时见到的光盘图标的改变就是用此命令来实现的。

命令中都包含图标信息文件(iconname),可以指出该文件在光盘上的相对路径(path),在没有指出路径的情况下,Windows自动到光盘的根目录下搜寻图标信息文件。其命令格式为:

Defaulticon=Path/Iconname

或Icon=Path/Iconname

Iconname可以是.ico、.bmp、.exe或 .dll文件。例如,要引用光盘根目录上Setup.ico作为光盘的图标,可这样表示:

Defaulticon=Setup.ico

或Icon=Setup.ico

如果这个文件包含多个图标,可指定文件中的一个资源号(索引)来引用其中的不同图标。资源号由0、1、2……数字来标识,分别代表图标信息文件中的第一个图标、第二个图标……,它与图标信息文件间用逗号分隔。例如,在光盘autorun目录下有一个包含两个图标的autorun.exe文件,要引用其中的第二个图标作为光盘图标,可以这样表示:

Defaulticon =Autorun/Autorun.exe, 1

或Icon=Autorun/Autorun.exe, 1

当你对这个图标感到不满意时,只要换一个资源号即可。

需要说明的是,如果Defaulticon 和Icon命令同出现在一个Autorun.inf文件中,Autoplay使用Defaulticon命令而忽略Icon命令。
然后通过具体实例来看看autorun.inf的用途和作用 :

 在autorun.inf中写入:   
 [autorun]
 icon=c:/windows/system32/shell32.dll,3  //自定义光盘图标
 shell/打开记事本/command=c:/windows/notepad.exe  //添加右键菜单  
 open=c:/windows/notepad.exe  //自动运行要执行的文件(一般病毒都放在这个位置)
 放在磁盘根目录下
我用的系统是winxp,必须重启后才能看到效果。(不知道网上说的F5怎么看)
我们先来看一个典型双击安装软件的示例:
  [autorun]
  shellsetupcommand=soft/setup.exe
  shell eadme=安装软件
  shell=setup
   要看懂这段语句,我们可以从下向上看,当我们双击光盘时,将调用最后一句Shell=setup,因为设置了该句,那么双击时将查找对应Shellsetupcommand后面指定的命令来作为默认操作,因此默认的操作将变成执行光盘根目录下的soft文件夹中的setup.exe文件。

   在这里主要介绍的是autorun节内容的应用,而对于autorun.alpha来说我们很少用到,而Deviceinstall只能在Windows XP下使用,可以利用它指定硬件向导进行递归搜索的子目录 

©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值