怎样手工清除autorun病毒

Autorun病毒如今已经式微，但是仍然有一些新病毒用这种方式传播，实在是因为这种方式很方便但又很快速。并且也有一些新的保护自己的方法出现。例如宅男病毒（sola）的新版本就算是其中的佼佼者。

要手工杀这类病毒，重要的一点是要知道如何判读autorun.inf文件，从这个文件找到病毒的线索。病毒最先开始进入你的系统就是从这个文件开始的，然后又用这种方式埋伏于硬盘各个分区和移动磁盘中。

这个文件是典型的inf安装信息文件，因此它总是有一个段是用来告诉windows它需要运行的程序是谁在哪儿。举例有一个U盘病毒的autorun.inf文件内容如下：

[autorun]
OPEN=EXPLORER.EXE
shellopen=打开(&O)
shellopenCommand=EXPLORER.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=EXPLORER.EXE

 

其中方括号[autorun]就表明其下这个段适用于系统的“自动运行”，第一行将在U盘盘符的右键菜单中增加一个名叫OPEN的项，并且如果没有其他语句定义默认项，它就将是加粗的默认选项，也就是说，在左键双击时会选中这条。等于号右边就是将会运行的程序，名叫EXPLORER.EXE，这个看起来与系统的“资源管理器”一样，其实不是，这个文件按照病毒作者的意思是在U盘根目录下，它应该就是病毒母体，一般情况下，它运行之后会进一步在系统中生成其他病毒文件，当然也有一些简单的病毒只是把这个文件和autorun.inf文件复制到其他分区中。

第二行厉害一些，相对来说，第一行会在右键菜单中出现中文系统中不常见的OPEN选项，警惕性高一点的用户会有所发现。而第二行就会直接隐藏了原来的“打开”项，你即使在右键中选择“打开”也会使EXPLORER.EXE文件得以运行。不过，第二行仅仅是产生了一个右键的菜单项，第三行才告诉系统这个菜单项应该运行什么，同样的它也是指向的EXPLORER.EXE这个病毒文件。而在第四行，它使得用shellopen定义的这一项成为右键菜单的默认选项。下一行的shellexplore=资源管理器(&X)则隐藏了原来的右键“资源管理器”菜单项，用自己的病毒来取代了。

注意到，它用shellopen和shellexplore来定义右键菜单时，对应的shellopenCommand和shellexploreCommand，其中在Command之前的内容必须和前面是完全相同的。其实，也可以简单的用shellA对应shellACommand，比如shella=打开(&O)，然后shellaCommand=XXX.exe也是一样的效果，不一定非得是shellopen=打开(&O)。

这个例子里，EXPLORER.EXE是位于U盘根目录中的病毒，还有一个例子是位于U盘auto目录下的，它类似这样：

OPEN=auto/virus.exe。

病毒不一定都是直接运行可执行文件的，它也可以用批处理来开始第一步，所以有这样的写法：

OPEN=cmd.exe /c virus.bat，或者 OPEN=wscript.exe virus.vbs

这里的病毒就是批处理，这里是用系统的cmd.exe和wscript来解释运行病毒的批处理。cmd.exe和wscript.exe都不是病毒，看到这样的内容时千万不要错误的把系统文件当成病毒来删除了。

同样的例子还有这样的：OPEN=rundll32.exe virus.xxx start，这里，rundll32.exe也是系统文件，病毒是virus.xxx，而start是在virus.xxx中提供的一个类似接口的参数。

 

知道了病毒文件是哪个，就可以开始对付病毒了。第一步是要结束掉病毒的进程（如果它有的话），在运行中的病毒文件是受系统保护的。很多时候我们会郁闷的发现我们结束不了病毒的进程，就需要想办法了，用工具软件是一种办法，比如冰刃可以直接在不结束病毒进程的情况下删掉多数病毒文件。类似的工具还有unlock、xuetr、wsysechek等等。也可以用PE工具进PE环境中删除。还可以先禁用shellHWDetection服务，重启后这个靠autorun.inf自动运行的病毒就不会再运行了。

但是，很多时候病毒并不会仅有这一个，有时当我们删掉了autorun.inf文件之后，会发现它还会再次出现，此时就可以肯定还有别的病毒文件了。对付这些病毒仍然需要先找到目标才有办法。以后有机会再谈了。不过，作为一种变通的解决方法，我们可以制造一个与已知的病毒文件同名的文件或文件夹并想法让它不能被改写和删除，便可以阻止病毒文件被重新生成，这种方法可称为免疫，也可以免疫autorun.inf文件。