U 盘病毒的传播主要借助于Autorun.inf
文件,病毒先将自身复制到U 盘,然后再创建 一个Autorun.inf 文件。当双击U 盘时,它会 根据Autorun.inf 中的设置运行U 盘中的病 毒,然后将其复制到硬盘的各个盘符下而无 法删除。重装或一键恢复XP 系统,双击其他 分区,比如D 盘,都打不开,只能用右键打开。 这就是中了Autorun.inf 类病毒的表现。对付 Autorun.inf 类病毒的方法和预防的手段有几 种: ①中了病毒后,各个分区的根目录下都 会生成一个隐藏属性的Autorun.inf 文件,双 击打开“我的电脑”,点击“工具”,再点击“查 看”,去掉“隐藏受保护的操作系统文件”的选 择,选中“显示所有文件和文件夹”,再点“确 定”把所有的隐藏属性打开。右键打开任一分 区,如D 盘,就可以看见Autorun.inf 这个文 件,再右键打开Autorun.inf 会看到open = xxx.exe(xxx 就是病毒的名称)。如果病毒没 进程保护的话,删掉各个分区的Autorun.inf 和xxx.exe 就可以把病毒删除了。 删除病毒后,还要把病毒的磁盘关联改 回来。运行regedit.exe 来到HKEY_CLASS ES_ROOT\Driveshell 下,把“默认”改成 none,再到HKEY_CURRENT_USER\Software \Microsoft \Windows \CurrentVersion \ Explorer 下删掉ountPoints2 这一项(如果有 这一项的话),到此,就能双击打开任意盘符 了。 ②如果电脑已经中毒,并且重装或一键 恢复XP 系统,双击其他分区都打不开,这时 可以借助于费尔木马强力清除助手(http://dl. filseclab.com/down/powerrmv.zip),它可以 抑制病毒的再生。 打开费尔木马强力清除助手,在文件名 后面输入D:\Autorun.inf,把抑制文件再次生 成选上,点击清除即可。其他盘符同理,C 盘 除外。 重做系统便可恢复正常,如果有Ghost 直接恢复就可以了。重做系统后可能每个盘 符下都会有残留,只要将电脑设置成显示所 有文件就可看到,将其手动删除即可。 ③要避免中Autorun.inf 的招,只要阻止 Autorun.inf 文件的创建,这种病毒就无法在 U 盘上传播了。 在U 盘的根目录下建立一个文件夹,名 字就叫Autorun.inf,因为在同一目录下,同名 的文件和文件夹是不能共存的。这样病毒就 无法再创建Autorun.inf 文件。移动硬盘也是 如此,只要在每个分区上创建一个Autorun. inf 文件夹就可以了。 如果隐藏的文件都看不到了,不管是在“文件 夹选项”,还是在注册表中修改都没有效果。或系 统、隐藏文件无法显示,或双击盘符无反应(如果 没有被清除,双击盘符就又执行恶意程序一次), 或“任务管理器”中有sxs.exe 或者svohost.exe 进程(冒充系统进程svchost.exe),或杀毒软件实 时监控自动关闭无法打开。这是因为sxs.exe 在搞 鬼,我们可以手工清除这个恶意程序。 ①用Ctrl+Alt+Del 打开“任务管理器”,在进程 列表中查找sxs.exe 或SVOHOST.exe,如果有, 就强制结束进程。 ②运行regedit.exe 打开“注册表编辑器”,展 开分支[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\Advan ced\Folder\Hidden\SHOWALL],在右侧窗格中将 CheckedValue 键值修改为“1”。注意此处正确的CheckedValue 键值应该是“DWORD 值”,恶意程序有可能将它删除并新建一个无效的“字符串值”的CheckedValue,因此直 接修改键值不一定有效,还要检查键值类型是否正确。 ③删除假冒的CheckedValue 键值,在右侧窗格空白处右击,选择“新建→DWORD 值”,并将它命名为CheckedValue,键值修改为“1”。重启之后,就可以在文件夹选项中选 择“显示所有隐藏文件”和“显示系统文件”了。 ④右击盘符打开各个盘符的根目录,将各根目录下的autorun.inf 和sxs.exe 文件删 除。再次打开“注册表编辑器”, 展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run],在右侧窗格中找到SoundMam 键值,确认其键值 为C:\Windows\system32\SVOHOST.exe 后删除此键值。最后到C:\Windows\system32 目录下删除SVOHOST.exe 或sxs.exe。重启后,虽然杀毒软件可以正常打开了,但是自 动运行可能会有问题,建议用“添加删除程序”中的修复项恢复杀毒软件的组件。 小提示:在清除所有文件操作的过程中,打开盘符都应右击盘符选择“打开”,避免恶 意程序再次执行。 绝对实用:解救中病毒的U 盘 文:福康 “扫除”技巧之清除恶意程序 文:道道 55 Perfec t Sk ill 锦囊妙计 |
|