******这是转载自别人博客的一篇文章,我也中了不止一次autorun.inf病毒,现将此文奉献出来,谢谢原作者的辛苦劳动!链接:
*************************** http://htwy.org.ru/article/learn/upanchasha.htm ****************************************
U盘插来插去,难免会中一些不该中的东西,呵呵。当然你可以用U盘查杀工具,在U盘插到你的电脑上检测一下,但是要是你没装,或者是在别人的没装工具的电脑上呢?(要是你不管别人电脑死活,那就不需要了……呵呵)。有的人要说,没事我的U盘有免疫,这里我要说,免疫都是没用的,除非你的U盘带写保护,这个才是根本,要不然其他的像建什么...文件夹防删除的,其实都没用的。一句话就直接删除了。这里我来简单说一下U盘病毒的手动查杀吧。海天说的不好的地方,大家见谅……
其实这个U盘手工查杀就是几个DOS命令,虽然现在时windows的时代,但DOS命令还是不能缺少的,其实要讲的几个命令是dir、attrib、del各个参数。(高手略过)
我们先来讲下现在U盘病毒的原理吧。病毒首先把自身复制到u盘的隐藏地方,比如说RECYCLER文件夹里,然后创建一个autorun.inf文件,这样在你打开u盘时,会根据autorun.inf中的设置自动去运行u盘里的病毒。原来的autorun.inf病毒还好,只有双击会中病毒,但是现在的病毒不管右键点击打开、资源管理都会中毒……代码是:
[autorun]
OPEN=SVCH0ST.EXE
shell/open=打开(&O)
shell/open/Command=SVCH0ST.EXE
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=SVCH0ST.EXE
现在还有的U盘病毒是隐藏U盘里原有的文件夹,然后再创建文件夹图标、以每个文件夹命名的exe文件,而我们一般不会喜欢选择显示后缀名,所以就会直接选择病毒文件的exe文件。有的人会问U盘里的文件夹都被杀毒软件都杀了,但空间还占,其实就是这里所说的,杀软杀掉了exe病毒文件,但原来的文件都还隐藏着。
OK,U盘病毒差不多就是这些,我们来讲下U盘的DOS命令查杀。
1、开始-运行,输入cmd,这样就打开了windows界面下的dos窗口(其实这个并不是真正的DOS窗口,差不多算是windows“伪造”的吧,呵呵)。进入U盘盘符,比如你的U盘盘符是F盘,那么就输入"f:"这样就进入F盘了。
2、进入U盘以后你要查看有没有病毒,一般病毒都是可执行文件,比如exe、vbs、bat、com都是windows下可执行的文件,还有autorun.inf文件,这个是病毒启动的关键,有它就肯定有病毒。我们可以用dir、attrib命令查看,输入"dir /a",就可以查看U盘根目录下的隐藏文件,这样就算病毒是隐藏的我们也能一目了然,只要找上面所说的几种可执行文件。
有的朋友U盘里会放很多文件,用dir命令列出来看的眼花缭乱,这时我们可以直接用attrib命令,这个命令式显示文件属性的,而一般病毒都是隐藏的有的更是会加系统属性,这样我们就可以用attrib命令查看到的文件会少很多,下图所示的Thumbs.db文件就是有隐藏、质素、系统属性的,当然这个不是病毒,这个是图片的数据库,我只是拿它说明下。
稍微扩展下dir命令/S参数,这个参数是查找盘符下所有文件,就是指,你进入盘符根目录,用dir命令只能看到跟目录下的文件,而你加上/S参数查看的就是当前盘符下的所有文件,包括文件夹里的文件。这样我们就可以用"dir /a /s *.exe"命令查看U盘下的所有exe文件,就算它藏在哪个角落都给翻出来,当然不一定exe文件就一定是病毒啊,说不定是你自己的文件呢。(用/S参数也可以查找文件,我觉得DOS下的windows界面下的速度快)
3、找到病毒了现在开始动刀了。我们先来讲比较复杂的,就是找到病毒去掉属性再删除。找到了autorun.inf文件,我们想看看它到底是让哪个病毒自动运行,运行命令"type autorun.inf",这样就显示了autorun.inf里的内容,open=后面跟的就是病毒文件。在dos下,你直接用del命令删除那些有参数的文件是删除不了的,这时你可以用attrib命令去掉病毒的隐藏、只读、系统属性。命令是"attrib -s -h -r *.exe"这样你就可以去除根目录下所有exe文件的隐藏、只读、系统属性。(同理减号改成加号就是加上那些属性。)去除属性后我们就直接可以用del命令删除了。
现在来讲一步直接删除吧,就是用del的/F参数,这个是强制删除文件,我们就可用"del /a /f *.exe"命令直接强制删除根目录下的exe文件。
ps:这里要注意上面的伪装文件夹的exe病毒文件。
OK,现在病毒杀的差不多了,我们来讲下防护吧,自己的电脑上你可以用组策略禁用U盘自动播放,但这个还是有点瑕疵,最好的是用组策略禁用U盘盘符的exe、vbs等可执行文件的执行权限。
开始-运行-gpedit.msc进入组策略,进入计算机配置-windows设置-安全设置-软件限制策略-其他规则,创建一个“新路径规则”,这里输入你的U盘盘符,比如说F盘就输入"f:/*.exe"下面设置成不允许的,这样U盘里的exe病毒文件想要执行都不行。
而那些用autorun.inf文件夹里创建不可删除的.../文件夹免疫的方法,对付一般病毒还行,但是要强一点的病毒可以直接删除,就算不能删除,也能改名后新建。
ps:删除,可以直接用“rd /s /q autorun.inf”来删除免疫的autorun.inf文件夹,可谓是一步到位啊。
U盘的查杀就写到这,记录的是海天平时所用到的方法,虽然都是一些简单的DOS命令,但不可否认dos还是很强大的。这里写的有错误的地方大家积极指教。病毒永远是存在的,杀软只是一个防护,不可能完全防住病毒,也不可能有那种方法能够完全的防住病毒,所以平常还是要大家自己注意,不要运行一些不明文件,注意备份,发现可疑情况,立即杀毒。杀软杀不了还是要手工杀毒的,可以借助一些超强的ARK工具,比如我上次推荐的Xuetr就是很强悍的,遇到病毒慢慢杀,实在不行,我们还能还原呢,呵呵。
原文地址:http://htwy.org.ru/article/learn/upanchasha.htm
海天无影's BLOG Welcome to htwy.org.ru
845
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
