U盤流行病毒分析及清除方法

1、U盤流行病毒分析及清除方法    U盤流行病毒分析及清除方法           U盤流行病毒的形態(tài)為autorun名稱的隱藏文件，后綴名為inf、exe等十種，通常表現(xiàn)為雙擊無法打開機器盤符，只能右擊再點打開；系統(tǒng)變慢。有的沒有感覺到異樣，不大影響使用，但硬盤根目錄下仍然有各種名為autorun的隱藏文件，所以很多人以為那是正常的系統(tǒng)文件而沒有清除它。目前筆者碰到的很多機子上都發(fā)現(xiàn)了此病毒。請大家立刻檢查自己的電腦，檢查最方便的方法是：打開winrar軟件，瀏覽硬

2、盤C、D、E等根目錄即可，如果發(fā)現(xiàn)有名為autorun的各種文件，就應該立即采取措施了。    清除方法：     1、autorun.exe病毒！     許多人都遇到過u盤打不開的問題，雙擊后提示拒絕訪問，右鍵單擊菜單的前幾項是英文，這是u盤中的癥狀，許多人不明白這是病毒，對此置之不理，認為就是麻煩一點，用u盤時還要點右鍵。這就是autorun病毒，有的也叫rose 病毒。此病毒作用機理是在各個盤的回收站中復制autorun.exe病毒體，同時創(chuàng)建autorun.inf自

3、運行文件（均為系統(tǒng)隱藏文件，需要在文件夾選項中做相應設(shè)置才可以見）。autorun.inf的作用是當你雙擊盤符時自動運行只定程序。此次病毒autorun.inf：    autorun Shellexecute=RECYCLERautorun.exe     就是指定autorun.exe這個病毒程序的運行。 中毒之后癥狀： 1、在系統(tǒng)中占用大量cpu資源。 2、在每個分區(qū)下建立autorun.exe、autorun.inf2個文件，雙擊該盤符時顯示自動運行，但無法打開該分區(qū)。 3、大部分通過U盤、移動硬盤等存儲設(shè)

4、備傳播。 4、可能會引起部分操作系統(tǒng)崩潰，表現(xiàn)在開機自檢后直接并反復重啟，無法進入系統(tǒng)。 5、當插入u盤時自動播放對話框中的第一選項就不再是播放而是運行這個盤中的程序 6、刪除盤中的word文檔等          2、U盤病毒和Autorun.inf文件分析     autorun.inf這個文件是很早就存在的，在WinXP以前的其他windows系統(tǒng)（如Win98，2000等），需要讓光盤、U盤插入到機器自動運行的話，就要靠autorun.inf。這個文件是保存

5、在驅(qū)動器的根目錄下的（是一個隱藏的系統(tǒng)文件），它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應該自動啟動什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標改成某個路徑下的icon。所以，這本身是一個常規(guī)且合理的文件和技術(shù)。     病毒作者可以利用autorun.inf的自動功能，讓移動設(shè)備在用戶系統(tǒng)完全不知情的情況下，“自動”執(zhí)行任何命令或應用程序。因此，通過這個autorun.inf文件，可以放置正常的啟動程序，如我們經(jīng)常使用的各種教學光盤，一插入電腦就自動安裝或自動演示；也可以通過此種方式，放置任何可能的惡意內(nèi)容。  

6、0;  目前相關(guān)的U盤病毒的隱藏方式：     有了啟動方法，病毒作者肯定需要將病毒主體放進光盤或者U盤里才能讓其運行的，但是堂而皇之的放在U盤里肯定會被用戶發(fā)現(xiàn)而刪除（即使不知道其是病毒，不是自己的不知名文件也會刪除吧），所以，病毒肯定會隱藏起來存放在一般情況下看不到的地方了。一種是假回收站方式：病毒通常在U盤中建立一個“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實上，回收站的名稱是“Recycled”，而且兩者的圖標是不同的：     另一種是假冒殺毒軟

7、件方式：病毒在U盤中放置一個程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實是病毒。     也許有人會問，為什么在你的機器上能看到上面的文件，我的機器看不到呢？很簡單，通常的系統(tǒng)安裝，默認是會隱藏一些文件夾和文件的，病毒就會將自己改造成系統(tǒng)文件夾、隱藏文件等等，一般情況下當然就看不到了。要讓自己能看到隱藏的文件，怎么辦？個人如操作，按如下步驟：打開“我的電腦”，在菜單欄上點“工具”，點“文件夾選項”，出現(xiàn)一個對話框，選擇“查看”標簽，然后對照下圖：     如果U盤帶有上述病毒，還會一個現(xiàn)

8、象，當你點擊U盤時，會多了一些東西-右鍵菜單多了“自動播放”、“Open”、“Browser”等項目。這里注明一下：凡是帶Autorun.inf的移動媒體，包括光盤，右鍵都會出現(xiàn)“自動播放”的菜單，這是正常的功能。     綜上所述：     目前的U盤病毒都是通過Autorun.inf來進入的； Autorun.inf本身是正常的文件，但可被利用作其他惡意的操作； 不同的人可通過Autorun.inf放置不同的病毒，因此無法簡單說是什么病毒，可以是一切病毒、木馬、黑客程序等； 一般情況下，U盤不應該有Autoru

9、n.inf文件；* 如果發(fā)現(xiàn)U盤有Autorun.inf，且不是你自己創(chuàng)建生成的，請刪除它，并且盡快查毒； 如果有貌似回收站、瑞星文件等文件，而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱，同時確認該內(nèi)容不是你創(chuàng)建生成的，請刪除它； 同時，一般建議插入U盤時，不要雙擊U盤，另外有一個更好的技巧：插入U盤前，按住Shift鍵，然后插入U盤，建議按鍵的時間長一點。插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤。注：部分U盤制造商可能也會利用Autorun.inf進行自己的特色設(shè)計，目的是為了讓用戶執(zhí)行廠商的特色程序。已確認部分廠商確實使用了這種方式，因此建議購買U盤是先做識別，或咨詢銷售

10、人員。     3、書寫清除病毒的批處理文件來快速清除病毒    將下段綠色代碼另存為bat文件，雙擊即可清除常見U盤病毒：         清除U盤病毒             echo ontaskkill /im explorer.exe /ftaskkill /im wscript.exestart reg a

11、dd HKCUSOFTWAREMicrosoftWindowsCurrentVersionEXplorerAdvanced /v ShowSuperHidden /t REG_DWORD /d 1 /fstart reg import kill.regdel c:autorun.* /f /q /asdel %SYSTEMROOT%system32autorun.* /f /q /asdel d:autorun.* /f /q /asdel e:autorun.* /f /q /asdel f:autorun.* /f /q /asdel g:autorun.* /f /q /asdel h:

12、autorun.* /f /q /asdel i:autorun.* /f /q /asdel j:autorun.* /f /q /asdel k:autorun.* /f /q /asdel i:autorun.* /f /q /asdel l:autorun.* /f /q /asdel m:autorun.* /f /q /asdel n:autorun.* /f /q /asdel o:autorun.* /f /q /asdel p:autorun.* /f /q /asdel q:autorun.* /f /q /asdel r:autorun.* /f /q /asdel s:autorun.* /f /q /asdel