autorun.inf的应对策略
1、在插入U盘时按住键盘 Shift 键直到系统提示“设备可以使用”,然后打开U盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(打开我的电脑,按下上面的“文件夹”按钮,或者开始-所有程序-附件-windows资源管理器)将其打开,或者使用快捷键Windows+E打开资源管理器后,一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)
2、如果盘内有来路不明的文件,尤其是文件名比较诱惑人的文件,必须多加小心;需要特别提示的是,不要看到图标是文件夹就理所当然是文件夹,不要看到图标是记事本就理所当然是记事本,伪装图标是病毒惯用伎俩。
3、要有显示文件扩展名的习惯。方法:打开“我的电脑”,工具--文件夹选项--查看,去掉“隐藏已知文件类型的扩展名”的勾,建议选择显示扩展名同时选上“显示隐藏文件”,去掉“不显示系统文件”的勾,这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件,显示文件扩展名之后,通过文件名后的.exe即可判断出一个文件可执行文件,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。
4、最后不管你用什么办法,或者用什么软件,插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。
下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理,然后按提示操作。注,批处理使用方法:打开开始菜单-附件-记事本,复制批处理内容进去,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到你保存的位置,会出现一个批处理文件,双击运行即可。@echo off&setlocal enabledelayedexpansion
echo 请在U盘和电脑没有病毒的情况下插入一个U盘&set /p d=请输入U盘的盘符(比如输入H):
set d=!d:~0,1!&set a=autorun.inf.!random!.tmp
if exist !d!:\autorun.infattrib.exe-s -h -r !d!:\autorun.inf&ren !d!:\autorun.inf !a!
echo [autorun]&echo open=calc.exe&echo shellexecute=calc.exe&echo shell=explore
echo shell\open\command=calc.exe&echo shell\explore\command=calc.exe>!d!:\autorun.inf
echo 如今删除并重新插入U盘&echo 打开U盘,如果出现“计算器”&echo 说明你有中Autorun.inf类型病毒的机会
echo 完成后按任意键继续&pause>nul
del!d!:\autorun.inf&if exist !d!:\!a! ren !d!:\!a! autorun.inf&goto :eof 1、推荐一种彻底拒绝Autorun.inf类型病毒的方法.
运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效):
@ECHO off
REG.exe DELETE HKCU\Software\ Microsoft\Windows \CurrentVersion\Explorer \MountPoints2 /f
REG.exe ADD HKCU\Software \ Microsoft\Windows \CurrentVersion\Explorer \MountPoints2
ECHOHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 []>%temp%\temp.txt
REGINI.exe %temp%\temp.txt
GOTO :eof
如果想再恢复Autorun.inf功能运行这个批处理:
@ECHO off
ECHO HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 [7]>%temp%\temp.txt
REGINI.exe %temp%\temp.txt
REG.exe DELETE HKCU\Software\Micros oft\Windows\CurrentVersion\Explorer \MountPoints2 /f
REG.exe ADD HKCU\Software\Microsoft \Windows\CurrentVersion\Explorer \MountPoints2
GOTO :eof
2、对于伪装型病毒,可以通过它的可执行属性判断出来。
除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--.exe扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个.exe。
以管理员身份运行下面的批处理:
@ECHO off
REG.exe ADD HKCR\exefile /v AlwaysShowExt /tREG_SZ/f
TASKKILL.exe /imexplorer.exe/f
START %windir%\explorer.exe
GOTO :eof
要恢复不显示exe扩展名运行这个批处理:
@ECHO off
REG.exe DELETE HKCR\exefile /v AlwaysShowExt /f
TASKKILL.exe /imexplorer.exe/f
START %windir%\explorer.exe
GOTO :eof 打开需要免疫的盘符,然后点击免疫。移动硬盘先连接电脑后,然后打开程序。U盘、等其它移动设备如没有检测到盘符,可自行手动输入盘符名称,然后执行免疫。
我们知道,同一目录下,两个相同文件名的文件是不能共存的。经过免疫后的磁盘,会在磁盘的根目录下生成一个防删除、替换并隐藏的Autorun.inf文件夹,并自动设置为只读和系统隐藏属性,以防止病毒借助Autorun自动运行文件进行病毒的自动传播。
步骤如下:
新建一个空文本文档,并更名为1.bat(扩展名改成bat),输入如下命令:
x:(x表示盘符,如果是h盘,就输入h:)
md autorun.inf
cd autorun.inf
md con\
(因为con文件夹在DOS中不可直接输入命令,要加入“\”)
然后打开此文件,就可免疫。可放到该U盘中,但不要放在U盘的文件夹中,否则会在这个文件夹里新建一个这样的免疫文件夹。
当有病毒的移动磁盘插入电脑时,如果您发现系统提示:“无法写入AUTORUN:访问被拒绝。请确定磁盘未满或未被写保护而且未被使用”时,此时病毒写入电脑失败。
如果您想删除磁盘目录下的此免疫文件,请重新新建一个空文本文档,并更名为2.bat(扩展名改成bat),输入如下命令:
x:(x表示盘符,如果是h盘,就输入h:)
cd autorun.inf
rd con\
cd..
rd autorun.inf
然后打开此文件,就可解除免疫。可放到该U盘中,但不要放在U盘的文件夹中,否则无效。
注:在极小数系统下面点执行后会提示选择盘符,这不影响使用。 U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。不过这种方法也有缺陷。
事实表明,当前已经有新的病毒能够有意识地检测autorun.inf的存在,对于能直接删除的则删之,对于“无法删除”的则用重命名的方式毁之。此时,你可以在autorun.inf文件夹下面,用CMD命令建立畸形文件夹就可以很好的防止autorun.inf被病毒删除了。
还有一种很早就出现的以文件名诱骗用户点击的病毒(如:重要文件.exe,小说.exe)。对于以上这两种传播方式的病毒,仅仅建立autorun.inf文件夹是抵御不了的。
