科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道防Atuorun病毒总结

防Atuorun病毒总结

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在放入光盘或插入U盘/移动硬盘时,按Shift即可.组策略关闭法:开始/运行/gpedit.msc,打开组策略窗口,在左侧的窗口"计算机本地策略" 展开: 计算机配置/管理模板/系统。

作者:zdnet安全频道 来源:论坛整理 2008年6月23日

关键字: 病毒 Autorun

  • 评论
  • 分享微博
  • 分享邮件

(一)禁止自动播放
1.在放入光盘或插入U盘/移动硬盘时,按Shift即可(这招从Win98起就能使用了)
2.组策略关闭法:
开始/运行/gpedit.msc
打开组策略窗口,在左侧的窗口"计算机本地策略"  展开:  计算机配置/管理模板/系统
在右侧的窗口找到"关闭自动播放"单击右键,属性  改为已启用  吧关闭自动播放设为:关闭所有驱动器的自动播放
XP HOME版没组策略,方案见附件(猫叔的杰作,引用下 )
3.关闭服务法
我的电脑,单击右键,管理/服务和应用程序/服务(或开始/程序/管理工具/服务)  
在右面的窗口找到 shell  Hardware Detection服务  右键/属性 服务状态改为停止,启动类型改为已禁用即可

4.软件关闭法
例如Wsyscheck/工具/修复隐藏文件显示及禁用硬盘自动播放
Windos优化大师/系统安全优化/禁止光盘,U盘等所有磁盘自动运行
金山清理专家/安全百宝箱/系统修复工具  在启用自动播放时会意识修复
5.
(二)免疫法
利用Windos不能在同目录下生成同名文件的这个属性
在磁盘的根目录下创建Autorun.inf可防止病毒创建Autorun.inf文件
推荐软件:超级巡警U盘病毒免疫器
http://www.sucop.com/download.html
360的自动播放免疫工具
http://www.360.cn/killer/bdkiller.html


建议用瑞星杀毒软件的应用程序保护保护免疫文件夹,禁止*程序对免疫文件夹搞任何操作
(三)软件防御法

瑞星杀毒软件/设置详细设置/其他设置  在U盘监控
卡卡上网助手/防护中心/U盘病毒免疫
金山清理专家/安全百宝箱/U盘病毒免疫工具
360安全卫士/保护/U盘病毒免疫


再谈谈Autorun中毒症状:右击磁盘,快捷菜单里显示自动播放/Autorun
所以右键打开磁盘更安全

对U盘常杀毒,打开前杀毒是好习惯

现在有U盘内置杀毒软件或有防毒设计,请购买这类产品

大家请补充,谢谢

在插入U盘时按住键盘shift键直到系统提示“设备可以使用”,然后打开优盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(开始-所有程序-附件-windows资源管理器)将其打开,或者使用快捷键winkey+E打开资源管理器后,一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)

解决双击磁盘无法打开方案
卡卡安全论坛的小狮子整合


磁盘打开方式出问题,一般两个部分
一个是根目录下可能有autorun.inf文件影响。
二个是注册表里关于磁盘打开的项目异常
针对一,删除autorun.inf文件
二见下文(二)
方案(一)
这是木马常用的一种幼稚的设置关联方式。
先打开本逻辑磁盘根目录下的autorun.ini,看它关联的EXE文件在哪里,然后:

1、先去下载一个恢复文件关联的工具,例如金山注册表恢复器,或SREng或upiea。
2、CTRL+ALT+DELETE调出任务管理器,中止你电脑中的木马进程,以防止它再次自动设置关关
3、使用文件关联恢复器恢复.exe、.txt等文件的关联默认
4、设置启动项msconfig,如果不懂系统进程的话,就只保留ctfmon和杀毒软件,其余全删;还要把除杀毒软件以外的非系统服务禁掉。
5、删除EXE文件,删除autorun.ini
6、重启

如果执行完上面步骤,还是自动在磁盘下加autorun.ini的话,那则说明文件关联恢复得有问题,或者木马体以DLL形式加载在explorer.exe中,那则需要更复杂的处理方法。
用SREng扫描日志,保存为log格式,发到卡卡安全论坛的反病毒区

方案(二)
症状

1、磁盘分区双击无法打开,弹出选择打开方式窗口:选择您想用来打开此文件的程序。

通过检查磁盘根目录没有autorun.inf等双击运行程序(通过dir /ah和icesword查看过)。

右键菜单也只有打开菜单,并无auto等异常菜单选项

2、杀毒软件,流氓软件清理工具等安防软件都无法运行,双击或是右键打开均无反

应。系统中的.exe执行文件不能打开,双击或右键打开无反应

3、打开cmd,屏幕提示c:\windows\system32\seshost.exe不是内部或外部命令,也不是可运行程序

icesword、sreng及杀毒软件都不能运行,后通过修改icesword和sreng的程序扩展名为.com,

都能使用了。

铺垫

用icesword检查到system32目录里有20多个显示为最近同一日建立的隐藏文件,根据其文件名和建立日

期,凭经验判断,都是病毒文件,利用强制删除功能全部清理掉。

system32目录里没有最近的磁盘机病毒的dnsq.dll,同时其下com文件夹里也没有伪系统文件的lass.exe

和smss.exe等典型病毒特征文件,各磁华军(中国)硬盘数据恢复|修复中心-24小时热线:400-6759388盘根目录均检查确定无隐藏病毒文件。

利用icesword的强制删除功能清理了系统各临时文件并巡查各系统目录,以减少需要检查分析的对象。

打开sreng.com,清理启动项,只保留根据执行文件名即可判断为系统服务的项目,同时将win32服务里的

服务进行异常清理,修复文件关联方式,ie修复,winsock修复

xxx

针对磁盘双击、右键不能打开

打开注册表(可通过将windows\regedit.exe扩展名修改伪.com或是用icesword的注册表功能打开),

找到hkey_classes_root\drive\shell,这里是磁盘打开方式的影响分支之一,发现shell项的默认值

为open,shell项下有两子项:open,find 。

打开open项下的command项,其默认值为xfsadssfjkpop35465.dll(因为原文件名为无规则随意文件

名,印象不是很清晰,所以此处为模拟文件名),这里应该就是罪魁祸首了!

将shell默认值修改为空,删除open项。双击磁盘却发现成了,也就是find项的功能,

干脆,连find项也删掉。

磁盘打开正常。

打开命令符窗口异常提示

根据打开cmd命令符窗口有提示,搜索注册表关键字seshost.exe,

在hkey_local_machine\software\microsoft\command processor项下的autorun值上有发现。

此分支值应该是命令符功能的加载分支选项。清空autorun值。


再次打开cmd,正常 !

exe等执行文件的关联注册表修复

hkey_classes_root\exefile项下子项的open和ruanas的command默认值均为%1 %*,正常

hkey_classes_root\.exe的默认值为exefile,content type值为application/x-msdownload,正常

再次利用icesword和sreng的文件关联修复功能进行修复

重启

这时,360safe安装程序可以运行。安装,升级,打开。

进行恶意软件清理,常规病毒扫描,启动项清理(杀毒软件和输入法启动项保留)

重启

系统正常。
追述:磁盘不能正常打开,清空hkey_classes_root\drive\shell项的默认值后双击磁盘成搜索。

后来发现可以将shell默认值设定为none,再删除异常项open,保留find项更为妥当

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章