扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年6月18日
关键字: autorun.inf 病毒
春节期间病毒查杀终极方案
今天笔者杀毒时,杀毒软件报告“发现自动启动型病毒:位于C:\Autorun.inf,是否清除?”(图1)
紧接着,在D、E盘也都发现Autorun.inf文件。笔者点击“是”进行病毒清除,却提示“C:\Autorun.inf 清除失败!请升级病毒库或手工清除该病毒”(图2),
D、E盘也相继弹出无法清除的提示。笔者升级病毒库,可依然无法查杀,弹出和未升级一样的清除失败提示。于是只好进行手工查杀。
打开C,D,E盘,在根目录下并未找到Autorun.inf文件,看来该文件进行了隐藏,笔者单击“工具”→“文件夹选项”→“查看”,却发现“显示所有文件和文件夹”选项已被禁用。
就在笔者一筹莫展之时,忽然记得在DOS里有一条ATTRIB命令,该命令不仅可以显示文件属性,而且还可以为文件加上属性或去除属性。只要能利用该命令去除Autorun.inf文件的隐藏属性,问题就好办多了。
笔者在“开始”→“运行”中输入“CMD”,进入“命令提示符”,输入“ATTRIB /?”查看该命令的用法,发现该命令主要用“+”和“-”来添加和去除文件属性,其参数有H(隐藏)、A(存档)、S(系统)、R(只读),不加任何参数时,显示具有属性的文件。
在命令提示符中执行"D:"命令,进入D盘根目录下,输入"ATTRIB"查看具有属性的文件,果然不出所料,Autorun.inf文件不仅具有隐藏属性,同时还具有系统,只读和存档属性。
在命令提示符下执行"ATTRIB -h -r -a autorun.inf"命令,去除其所有属性。然后进入D盘,此时autorun.inf文件已原型毕露,老老实实的躺在D里。接着用同样的方法让D、E盘的autorun.inf原形毕露(小样,穿了马甲我照样认识你!)。至此,问题已解决了一半,下一步就是在安全模式下进行查杀。
为防止木马在重启后重新在C、D、E盘恢复Autorun.inf文件及属性,笔者并没有删除Autorun.inf文件,而是清空了Autorun.inf文件中的内容,然后再为其恢复原有属性(在命令提示符下执行"ATTRIB +h +r +a +S autorun.inf"命令),这样就防止了木马文件在重启后的自动重建,在一定程度上减少查杀难度。www.qikan.com.cnPqJ1HHAFXxyZZ5BS
重启进入安全模式,“开始”→“运行”中输入CMD,进入“命令提示符”,输入“D:”,进入D盘根目录,重新执行"ATTRIB -h -r -a autorun.inf"命令,去除其所有属性,然后用同样方法去除其它盘下Autorun.inf文件属性。启动杀毒软件进行查杀,成功清除(图4)。
(1)清理病毒残余文件。虽然病毒表面上已被清除,但为防止病毒残留文件在系统正常启动时再次死灰复燃,我们需要对病毒文件在注册表的藏身之地进行清理。打开超级兔子→“超级兔子清理王”→“清理系统”→“清理注册表”,勾选“扫描错误的类”和其它选项,点击“下一步”,进行注册表清理(图5)。
(2)解除病毒对文件的关联。大多数病毒程序进行了文件关联,当对其进行查杀后,会导致文件关联出错。轻则正常进入系统时会出现各种莫名其妙的故障、打开文件时找不到对应程序等,重则无法启动,系统崩溃。为防止重启后文件关联出错,我们可以在查杀清除病毒后,进行文件关联修复。
打开“SRENG”,在主界面点击“系统修复”→“文件关联”,此时“SRENG”已自动诊断出有误的文件关联,但为防万一,我们在此对所有的文件进行修复。勾选“全选”选项,点击“修复”。
(3)防止病从口入,禁止光盘,U盘,MP3/4的自动运行。点击“开始”→“运行”,在“运行”对话框中执行“gpedit.msc”命令,在弹出的“组策略”窗口中依次选择“计算机配置→管理模板→系统”,双击“关闭自动播放”,在弹出的窗口中的“设置”选项卡中选择“已启用”,然后单击“确定”按钮即可。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。