彻底封杀autorun病毒

这段时间autorun病毒很猖狂虽说不是什么厉害的病毒，但是让人觉得闹心，其实它也没有什么了不起的，现在让我们一起把它彻底封杀。

一、        知已知彼

Autorun病毒主要是利用了系统的自动播放功能和文件夹系统文件隐藏属性，通过修改注册表文件夹属性使自己很好的隐藏起来，其次病毒的右键模仿的和平时的菜单一样没有什么区别，代码如下：

[autorun]

open=a.exe

shell\open=打开(&o)

shell\open\command=a.exe

shell\open\Default=1

shell\explorer=资源管理器(&x)

shell\explorer\command=a.exe

(这里的a.exe不是病毒，是我写了一个调用cmd.exe的代码)不管你是双击还是选择右键的”打开”或者选择”资源管理器”都会中招。如图：1、2、3、4   

    图1图2图3图4

看到了吧，点了以后这个a.exe就会悄悄的运行，在不知不觉中你就中毒了。了解了它的这些特性后，我们就可以很好的处理它了。

二、        现出原型，一一解决

为了能够让它现出原型我们需要修改一下注册表， HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 将右边窗口中的CheckedValue值改为1；HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced将右边窗口中的ShowSuperHidden值改为1,刷新注册表退出。这时看看那些病毒就应该现身了。还在等什么啊快去把它们都删了。大家一定遇到过这种问题吧，如图5:

                      图5

 文件夹是处于隐藏状态的，如果没有把那个显示所有文件选上的话，一打开移动硬盘或者是U盘，发现里的所有文件都没有了，取而代之的是像如图这样的同名白板的可执行文件，如果这时候你点了他的话那么你就中镖了。用上面的方法将文件显示出来后，直接将白板删除就行了，可是你会发现文件夹的隐藏属性变成灰色的了，如图6:

图6

不能改，怎么办？有办法，在你的移动硬盘中新建一个文本文件在里面写入attrib –s –h –r *.*，保存后把文件扩展名改为bat直接运行即可。

三、        根治与防范

在没有免疫以前不要用第一点所说的方式打开移动设备，可以用以下方法：

(1)点工具栏上的文件夹，然后从当前窗口左边的小窗口中打开移动设备。

(2)在地址栏下拉列表中选中移动设备打开也行。

为了以后不再这样麻烦我们进行最后的免疫，我写了一个批处理文件

 
 


  
  
@echo off  

  
  
 

  
  
::关闭系统的自动播放功能  

  
  
 

  
  
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /d 255 /t REG_DWORD /f  

  
  
 

  
  
   

  
  
 

  
  
::在每个盘符下生成一个免疫文件夹  

  
  
 

  
  
set alldrive=c d e f g h i  

  
  
 

  
  
for %%a in (%alldrive%) do if exist %%a:\ md %%a:\autorun.inf|md %%a:\autorun.inf\autorun.inf..\  

  
  
 

  
  
   

  
  
 

  
  
::修改系统盘下的免疫文件夹的访问权限防止被病毒删除  

  
  
 

  
  
set /p pan=请输入系统所在盘符(直接输入字母即可)：  

  
  
 

  
  
echo y|cacls %pan%:\autorun.inf /d everyone  

  
  
 

  
  
   

  
  
 

  
  
::用cacls把权限设置成不准任何人访问  

  
  
 

  
  
echo 操作完成，按任意键退出！  

  
  
 

  
  
pause>nul  
 
 

本文转自sucre03 51CTO博客，原文链接：http://blog.51cto.com/sucre/413681，如需转载请自行联系原作者