至顶网›安全频道 ›与流氓的较量清除autorun.inf

与流氓的较量清除autorun.inf

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改，并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后，随着各种可移动存储设备的普及，国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵，有时是出现

来源：论坛整理 2008年12月6日

关键字：病毒资料病毒查杀安全防范

一、 AutoRun简介：

图0

图1

二、运行方式：

OPEN=filename.exe

自动运行。但是对于很多XPSP2用户和Vista用户，Autorun已经变成了AutoPlay，不会自动运行它，会弹出窗口说要你干什么。

shellAutocommand=filename.exe
shell=Auto

修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键，马上发现破绽。精明点的病毒会改默认项的名字，但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文，你会认为是什么呢？见图2。

图2

shellexecute=filename.exe

ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录，病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)

这种迷惑性较大，是新出现的一种形式。右键菜单一眼也看不出问题，但是在非中文的系统下，原形毕露。突然出现的乱码、中文当然难逃法眼。

三、病毒清除、免疫方法：

A、免疫。在根目录建立autorun.inf文件夹,设置成只读。见图3。

图3

B、右键--"打开"。(手头没有任何杀毒软件的临时方法。参考“运行方式”的“D”条。)

C、批处理。（附件中有）清除感染的所有分区病毒。用的时候，把里面的“病毒.exe”替换掉。

@echo off
taskkill /f /im 病毒.exe
cd\
for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:\autorun.inf&attrib -s -a -r -h %%i:\病毒.exe& del %%i:\病毒.exe&del %%i:\autorun.inf

D、VBS脚本。（附件中有）用于已经感染的U盘、磁盘等。见图4(设置autorun.inf路径)、图5(设置exe病毒路径)、图6(清除成功)。

ON ERROR RESUME NEXT

ciker_path = InputBox("本程序能帮助您清除autorun.inf病毒。"&vbCr&vbCr&"请在下面输入autorun.inf所在的目录："&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\autorun.inf")

ciker_exe = InputBox("请在下面输入exe病毒文件所在的目录："&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\target.exe")

Set Fso=CreateObject("Scripting.FileSystemObject")
Set fl0=Fso.getfile(ciker_path)
Set fl1=Fso.getfile(ciker_exe)
fl0.delete
fl1.delete
msgbox "清除成功！"
wscript.quit

图4

图5

图6

E、设置权限，进行免疫。（附件中有）即使双击磁盘，也不自动运行。如果想手动更改的话，如图7所示，设置everyone为“拒绝”。

图7

嫌麻烦的话，用附件里的批处理(免疫.bat)：

其中的setacl.exe大家自己google一下吧，被人说有木马之类的就不好了。
附件下载