|
馬上注冊,結交更多好友,享用更多功能。
您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊
x
一、防止病毒利用autorun.inf感染系統
所謂的autorun并非某種病毒的名稱(chēng),只是病毒感染系統的一種途徑。具體來(lái)說(shuō)就是通過(guò)在移動(dòng)存儲設備或者硬盤(pán)的根目錄下創(chuàng )建autorun.inf文件,來(lái)幫助觸發(fā)病毒。
autorun.inf通?梢詫(shí)現兩種功能:
一是自動(dòng)播放,例如將安裝光盤(pán)放入光驅后會(huì )自動(dòng)運行安裝程序,將U盤(pán)插入后會(huì )自動(dòng)釋放病毒。
二是修改屏蔽原來(lái)的“打開(kāi)”“資源管理器”等菜單命令,使之與病毒關(guān)聯(lián)。此時(shí)雙擊U盤(pán)或者右鍵菜單選擇“打開(kāi)/資源管理器”也會(huì )觸發(fā)病毒的運行。
【應對方法】
1. 防止病毒自動(dòng)運行
〖暫時(shí)禁用〗
插入U盤(pán)時(shí)按住shift鍵,直到該設備完全被識別。即可暫時(shí)禁止U盤(pán)自動(dòng)播放
〖徹底禁用〗
方法一:組策略編輯器
運行g(shù)pedit.msc,找到[計算機配置--管理模板--系統--關(guān)閉自動(dòng)播放]或者[用戶(hù)配置--管理模板--系統--關(guān)閉自動(dòng)播放]
該項目共有三個(gè)選項:不禁用/禁用光驅?zhuān)▽?shí)際上是禁用光驅和U盤(pán)等移動(dòng)設備)/禁用全部
方法二:注冊表編輯器
運行regedit,找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer](與組策略中用戶(hù)配置對應)或者[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer](與組策略中計算機配置對應)
把這主鍵下的<NoDriveTypeAutoRun>鍵的十六進(jìn)制鍵值改為FF,然后重新啟動(dòng),即可禁用全部的自動(dòng)播放
2. 正確的打開(kāi)U盤(pán)途徑
既然病毒有可能會(huì )修改“打開(kāi)”“資源管理器”等菜單命令,因此絕對不要雙擊打開(kāi)U盤(pán),或者用右鍵菜單里的這兩項。
最方便的方法是點(diǎn)擊我的電腦上方工具欄的“文件夾”,然后從左側導航欄進(jìn)入U盤(pán)。
也可以在我的電腦上方的地址欄直接輸入“U盤(pán)盤(pán)符:”然后回車(chē)。
二、清除U盤(pán)內的病毒
病毒的劣跡首先當然是復制自身到U盤(pán),其次很多病毒還會(huì )把U盤(pán)中原有的文件改成隱藏屬性,然后用自身來(lái)冒名頂替。例如比較常見(jiàn)的打印店Global會(huì )把U盤(pán)內所有文件夾都改成隱藏,然后創(chuàng )建“文件夾名.exe”的程序,欺騙用戶(hù)點(diǎn)擊觸發(fā)病毒。這在那些文件夾選項設置為“不顯示隱藏文件”以及“隱藏已知文件類(lèi)型的擴展名”的系統中,就只能看到由病毒偽裝的內容。因此很多人即使用正確的方式打開(kāi)了U盤(pán),不注意區分病毒偽裝還是會(huì )中招。
【應對方法】
這個(gè)不用廢話(huà),直接拿殺毒軟件掃描U盤(pán)即可。
或者按正確的方法打開(kāi)U盤(pán)手動(dòng)把看不順眼的autorun.inf以及不是自己創(chuàng )建的.exe,.vbe等等文件統統刪掉(病毒通常為隱藏屬性,需要設置顯示隱藏文件)。
三、善后工作
殺毒軟件雖然會(huì )清除病毒,但是autorun.inf本身并不是病毒,因此不會(huì )被自動(dòng)清除。所以有時(shí)候殺過(guò)毒的U盤(pán)再雙擊會(huì )無(wú)法打開(kāi)。此外,由于病毒把文件屬性全部改成了隱藏,因此在“不顯示隱藏文件”的系統上看,好像是U盤(pán)殺過(guò)毒之后什么東西都沒(méi)有了。
【應對方法】
1. 清除殘留的autorun.inf
對于autorun.inf的殘留,只要按照之前提到的正確方法進(jìn)入U盤(pán),然后手動(dòng)刪除autorun.inf(有可能它是隱藏屬性),之后拔掉U盤(pán)重新插上即可。
2. 顯示被隱藏的文件
方法一:[我的電腦--工具--文件夾選項--查看]里選擇“顯示所有文件和文件夾”。
方法二:在WinRAR中瀏覽U盤(pán),也可以看到隱藏文件和文件夾。
方法三:利用Windows的搜索功能,在U盤(pán)內搜索“*”,勾選高級選項中的“搜索系統文件和隱藏文件”,可以找出U盤(pán)中所有隱藏的非隱藏的內容。
方法四:直接去掉文件的隱藏屬性再查看。
〖附問(wèn)題〗為什么在文件夾選項里設置顯示隱藏文件無(wú)效?
打開(kāi)注冊表編輯器,找到主鍵[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL],把其下<CheckedValue>的鍵值(注意檢查該鍵類(lèi)型是不是dword,若不是請刪除后重建)改為1。
然后再修改文件夾選項試試。如果還是不行,并且<CheckedValue>鍵值會(huì )自動(dòng)變回0,很不幸,你可能已經(jīng)中毒了,請按一般的步驟查殺病毒。
3. 去掉文件的隱藏屬性
在運行對話(huà)框中輸入“attrib -s -h -r U:\*.* /s /d”然后回車(chē)(將其中的U替換為U盤(pán)所在的盤(pán)符)。
這實(shí)際上是同時(shí)去掉了系統、隱藏、只讀三個(gè)屬性,關(guān)于attrib命令各參數的自行Google。
四、其他應對autorun的方法簡(jiǎn)介
僅僅是簡(jiǎn)介,具體實(shí)現的詳情請自行Google。另外現在的病毒對某些方法也有了應對策略,不保證100%有用。
1. 將U盤(pán)格式轉換為NTFS,然后用NTFS的安全策略去掉其他用戶(hù)對U盤(pán)的寫(xiě)權限。
2. 在U盤(pán)根目錄下建立一個(gè)名為“autorun.inf”的文件夾,然后在文件夾下建立一個(gè)不能用普通方法刪除的文件。
3. 絕對安全的方法——使用帶寫(xiě)保護功能的U盤(pán)!
|
|