我刚加入360也就短短的几天,发现论坛上好多朋友不断的问Autorun的问题,当时论坛上已经有了很多关于防治Autorun的方法的文章了,但很少有专杀工具。
作者:zdnet安全频道 来源:论坛整理 2008年6月23日
关键字: 病毒 Autorun
我刚加入360也就短短的几天,发现论坛上好多朋友不断的问Autorun的问题,当时论坛上已经有了很多关于防治Autorun的方法的文章了,但很少有专杀工具,很多人都喜欢用专杀而懒得去看防治方法,于是我就迎合大家的懒隋心理,找了很多专杀工具,果然异常火爆。后来,代码也跟着推出他最经典的Autorun防治方法和详细解说Autorun你给我滚远!这里告诉你原因、解决办法、彻底预防办法。一日学会终生受用。也都非常火爆。直到今天,还是不断有朋友问Autorun的问题……
发现论坛上还是有不少人一直在问Autorun的问题,我知道Autorun是一个长期存在的问题,最后下定决心要把那几个限制字一一排除~
完美解决双击盘符无法打开分区的问题!!!
>>>关于copy和host
copy病毒的症状和sxs的症状相似,都是要用右键才能打开分区,但中了copy病毒时,双击盘符会出现windows找不到copy文件,无法打开分区。这里面也是AutoRun在作怪。
手工清除方法:
1、开机按F8进入安全模式。打开我的电脑,工具,文件夹选项,查看:“隐藏保护的系统文件”勾去掉,再选中“显示所有文件和文件夹”。
2、打开任务管理器,中止“temp1.exe”,“temp2.exe”进程
3、删除c:/windows/下面的copy,svshost
4、删除c:/windows/system32 下面的temp1.exe, temp2.exe
5、删除每个磁盘根目录下面的autorun, copy, host 这三个文件
6、还原第一步的设置。
完成后,最好用优化大师清理一下无效的注册表。
专杀工具清除方法:
点击“下载专杀工具 kill”,解压。打开KILL\\\\copy病毒专杀 文件夹,双击其中的kill_copy.bat文件,运行,重启你的电脑,问题即可解.
>>>关于rose病毒:
rose病毒症状:
双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,系统无法启动。
传播途径:U盘、MP3、移动硬盘
检查方法:将文件夹选项--查看中的\\\\\\\"隐藏受保护的操作系统文件(推荐)\\\\\\\"前的勾去掉,并在此项下面.
选择“显示所有文件和文件夹”。然后打开任一盘符,如果发现有“rose”和“AUTORUN.INF”文
件,则已中毒。
手动解决方法:
结束rose进程,然后删掉以下文件:各个盘符下的autorun.inf和rose文件(包括自己的U盘等
),c:\\\\windows\\\\system32\\\\run.reg,c:\\\\windows\\\\system32\\\\systemdate.ini(里面记录着删掉
NTDETECT.COM文件的时间),d:\\\\systemfile.com文件;最后将注册表中
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run下面的dll键值删掉,然后重启即可。
专杀解决方法:
>>>超级巡警U盘病毒免疫器
对于病毒,重在主动防御啊!这个东东绝对好使!
防御方法:
U盘病毒(也叫autorun病毒)它主要借助“autorun.inf”文件传播。病毒首先把自身复制到u盘或移动存储设备,然后创建一个“autorun.inf”,当你在插入U盘时(自动播放未关闭)或者双击u盘时,就激活了“autorun.inf”中的命令,从而激活病毒.因此大家在不确定的环境下,最好用右键点击U盘或移动存储设备。
那么,根据U盘病毒这一特性,我们只要阻断“autorun.inf”文件的生成,就能中断U盘病毒传播了,就算中了U盘病毒,因为没有“autorun.inf”的命令支持,它就不会运行了!那么要如何阻断“autorun.inf”文件的生成呢?就是在根目录下建立一个文件夹,名字就叫“autorun.inf”。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,在“autorun.inf”文件夹里面创建一个带“.”的文件夹,使得病毒无法删除“autorun.inf”文件夹,病毒就无能为力,创建不了“autorun.inf”文件了。以后就算中毒,病毒也不会运行,从而达到了防止中毒的目的。
但又有一个问题了,病毒虽然无法删除“autorun.inf”文件夹,但人可以删啊!要是被人无意或恶意删除了,那岂不是心机白费了?现在我推荐用超级巡警U盘病毒免疫器进行免疫,其原理也是在根目录下创建一个名为autorun.inf的文件夹,但这个文件夹是不能被任何暴力删除软件所删除的除非格式化!它只有用超级巡警U盘病毒免疫器的“取消免疫”功能才能去除。这样设计是为了防止误删和病毒强行删除,以达到免疫的功能。
注:免疫后即使不关闭自动播放也不会中Auto病毒!
说明:
系统级免疫。打过补丁后,“autorun.inf” 文件中指向的病毒不会被有效地激活,废除了autorun机制,从而起到预防所有通过Autorun功能传播和激活的病毒的目的。
注:如果不选择任何磁盘,将执行附加功能,即修复磁盘关联和取消系统自动运行特性。
附手动修复隐藏文件注册表方法:
开始=>运行=>regedit,找到
HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\windows\\\\CurrentVersion\\\\explorer\\\\Advanced\\\\Folder\\\\Hidden\\\\SHOWALL
删去CheckedValue键值,这是已被病毒修改了类型的无效键值,本应该是DWORD型。故新建DWORD值,命名为CheckedValue,赋值为1,即可恢复。
目的是将隐藏文件功能恢复!然后显示隐藏文件,将磁盘根目录总的autorun.inf文件删除!注意打开磁盘时候不要双击要双击要用右键!
U盘病毒简介
U盘病毒会在系统中每个磁盘目录下创建autorun病毒文件,使用户双击盘符时就可立即激活病毒。此外,它还能通过U盘传播自身,危害极大,不但影响用户的电脑系统,而且可能会造成大规模的病毒扩散等现象。
电脑感染这种木马病毒之后,表面看不出任何异常。如果有人在中毒电脑上使用U盘等移动存储设备,木马病毒会立即判定电脑上移动设备的类型,然后自动把里面所有的资料都复制到电脑C盘的“TEST”文件夹下。这样,在中毒电脑上使用移动存储设备的用户就会面临资料失窃的危险。- -
补充:简单一招 绝杀 Autorun.inf 病毒.
在微软的系统中,文件夹也是一种文件,只不过其属性特殊一点罢了。既然这样,按照微软的规定,在同一文件夹下不允许同名的文件或文件夹出现。所以,我们可以利用这个规定来自己建立一个名为Autorun.inf的文件夹来防范Autorun.inf病毒。
这种方法曾经有人提出来过,也有一定的效果。但是,可谓是“道高一尺,魔高一丈”。病毒也不是吃素的,在运行之前先检测有没有Autorun.inf文件或文件夹,有的话则先删除再进行传播。难道我们就没什么别的办法来治治这可恶的Autorun.inf病毒吗?当然不是,大家跟我来。
其实思路没变,只不过我们建立的Autorun.inf文件夹是无法删除的,而且不需要任何第三方软件,相当简单,但要在DOS下完成 。
点击“开始→运行”,在地址栏里输入CMD后回车。再输入以下命令(每输一行请打次回车,\后内容为程序说明):
cd\
f: \这里的f指的是优盘盘符
md Autorun.inf \这里的意思是新建一个名为Autorun.inf的文件夹
cd\Autorun.inf \这里的意思是进入Autorun.inf文件夹
md nokill\ \这一步是关键,建立了一个名为nokill.的文件夹,在命令里比nokill.多了.\,这样就使得Autorun.inf文件夹删不掉了,这一步在Windows下是无法完成的
到此为止,我们的免疫系统打造完毕,现在你试试Autorun.inf文件夹还能不能删除。方法很简单,但的确很使用,大家都赶紧行动起来吧!
这是我以前查到的代码,是用清除RUNDLL。可以参考一下。
killrundll1.bat
@echo off
echo Windows Registry Editor Version 5.00>alpha.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]>>alpha.reg
echo "Run a DLL as an App"=->>alpha.reg
echo "System"=->>alpha.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]>>alpha.reg
echo "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,">>alpha.reg
regedit /s alpha.reg
del /f /q alpha.reg
cls & echo 请重新启动计算机,然后运行2.bat & pause
killrundll2.bat
@echo off
attrib -h -r -s -a %windir%\system32\rundll16.exe
attrib -h -r -s -a %windir%\system32\rundll.exe
attrib -h -r -s -a %windir%\system32\c_10083.nls
del /f /q %windir%\system32\c_10083.nls
del /f /q %windir%\system32\rundll16.exe
del /f /q %windir%\system32\rundll.exe
for %%i in (c d e f g h i j k) do del /f/q/as %%i:\autorun.inf & del /f/q/as %%i:\rundll.exe
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
del /f /s /q %windir%\Prefetch\*.*
del /f /s /q %windir%\temp\*.*
cls & echo 病毒清除完毕。 & pause
我用过,的确清除了。