Autorun风暴病毒出现已经很长时间了,网上也有许多手动清除该病毒的方法,虽然都可以解决双击无法打开磁盘的问题,但是都没有介绍如何预防再次中招的内容。本文将从病毒原理、清除方法、如何预防等几个方面入手,让autorun风暴病毒难逃我们的掌心。

一、病毒现象:
打开“我的电脑”后,无论双击哪个磁盘,无法打开磁盘,根本就没有任何反应。若点右键“打开”磁盘时,便会激活病毒。如果安装了杀毒软件的话,可能还会出现“regedit.exe程序试图修改注册表XXX键值,已被拦截。”的警告。
若大家将“工具->文件夹选项->查看”中的“显示所有文件和文件夹”选中,当打开磁盘硬盘各个分区时,会发现每个分区的根目录下都多了7个文件:autorun.inf、autorun.bat、autorun.vbs autorun.bin、autorun.txt、autorun.reg、autorun.wsh。打开“任务管理器”,会发现有一个名为“wscript.exe”的进程在运行。

二、病毒原理:
用记事本打开autorun.inf,其内容如下:
[autorun]
open=
shell\open=打开(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=WScript.exe .\autorun.vbs
其实是利用autorun.bat,autorun.vbs,autorun.reg进行一个循环链接的病毒。当双击硬盘盘符时,会连接到批处理文件autorun.bat。然后调用autorun.reg文件对注册表进行修改,在开机启动进程userinit项中增加一个autorun.bat,使下次开机时该病毒能自动运行。接着,autorun.bat会开启windows中使用脚本的进程wscript以成功运行其autorun.vbs,进而实现循环链接,造成我们删除7个文件(autorun.*)中的任何文件都无济于事。

三、清除方法:
了解了病毒的原理后,相信大家对清除“autorun风暴”的方法也该成竹在胸了吧?好的,接着我们将分几个步骤来介绍如何彻底清除该病毒的骚扰。
1、删除注册表:打开“注册表编辑器”,展开到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],找到名为“userinit”的键值,双击打开,
“C:\WINDOWS\system32\userinit.exe,autorun.bat,”中的“autorun.bat,”删除掉;
2、打开任务管理器,停止进程“wscript.exe”;
3、将“工具->文件夹选项->查看”中的“显示所有文件和文件夹”选中,可以查看系统隐藏文件;
4、打开“开始->搜索->文件或文件夹”,输入“autorun”进行搜索,将扩展名为“autorun.bat、.vbs .bin、.txt、.reg、.wsh”的autorun的文件全部删除掉,就完成了!

四、预防措施:
通过上述的介绍,大家对“autorun风暴”的原理以及清除方法都有了一定的了解,但是如何防患于未然,以免今后再次受到该病毒的骚扰呢?
1、首先需要控制病毒的网络传播途径,不要轻易打开陌生的邮件和下载不安全的附件。
2、防止病毒通过移动硬盘或U盘等移动存储设备传播,其实要防止U盘或移动硬盘等移动设备传播“autorun风暴”比较简单。首先我们将其格式化,接着需要在闪盘根目录下面自己手工创建一个空白的“Autorun.inf”文件,这样病毒就无法在相同的目录下创建“Autorun.inf”文件了,从而达到了预防再次被此类病毒感染的目的。
3、还可以借助***或病毒清除工具软件的帮助,目前网上有一种名为“费尔***强力清除助手”的工具软件,可以根据用户的设置,抑制该(用户设置的文件名)文件再次生成,从而预防该病毒的发作。大家都知道治病和防病的区别,杀毒和防毒也同样如此。等到系统或磁盘感染病毒后,再去查杀,这样的思想和做法已经过时了,现在流行的已经是将病毒或***等非法的程序阻挡在我们的网络和系统之外。目前Treed Micro(趋势)、Norton(诺顿)、Mcafee(麦考菲)等著名的病毒软件都有非常成熟防病毒产品(当然价格也不菲)。所以预防病毒和***的感染才应该是我们正确的思想认识和工作重心!
 
(把网友提供的专杀脚本分享给大家)