中了autorun病毒怎么清理
这种病毒会更改文件关联,如果你还能进安全模式的话,倒是可以清理掉的,也可以试试下面的方法
在“开始→运行”中输入CMD,打开“命令提示符”窗口。
2.输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。
3.重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序。
4.右击任何文件,选择“打开方式”,然后点击“浏览”,转到Windows\System32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口。
5.运行ftype exefile=""%1"" %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。"
按照上面的方法就可以解决你exe文件打不开的问题。
Autoruns是病毒吗
Autorunsfor Windows 是 Mark Russinovich 和 Bryce Cogswell 开发的一款软件,它能用于显示在 Windows启动或登录时自动运行的程序,并且允许用户有选择地禁用或删除它们,例如那些在“启动”文件夹和注册表相关键中的程序。此外,Autoruns还可以修改包括:Windows 资源管理器的 Shell 扩展(如右键弹出菜单)、IE浏览器插件(如工具栏扩展)、系统服务和设备驱动程序、计划任务等多种不同的自启动程序。
清除方法:
方法1:专杀工具清除法
1.建议用U盘专杀:usbcleaner,杀U盘病毒很强悍
方法2:关闭系统自动播放法
1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;
2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。
方法3:删除文件法
在隔离区,将那个文件彻底删除
我电脑C,D,E,F盘里都有这个autorun.inf这个病毒文件,请问有什么办法将他删除
试试下面的办法
在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件,有的话,记下名字然后将它删除(如果能删除的话)。右击这个Autorun.inf文件,选择用记事本打开,查看里面的内容,记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。
2.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
5.以记下的、Open后面的这些文件的文件名搜索整个注册表,删除搜索到的键值。
6.重启电脑。
如果这样操作以后,出现双击分区不能打开分区的情况,请按下面的操作即可。
打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”(这个可随意填写) 用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口,选中open 设为默认值 确定 现在再打开分区看下,是不是已恢复正常?
电脑中autorun.inf病毒怎么办
禁止U盘和光盘自动运行的具体方法:
1、点击“开始”选择“运行”,键入“gpedit.msc”,并运行,打开“组策略”窗口;(xp/2k专业版才有此功能)
2、在左栏的“本地计算机策略”下,打开“计算机配置_管理模板_系统”,然后在右栏的“设置”标题下,双击“关闭自动播放”;
3、选择“设置”选项卡,勾取“已启用”复选钮,然后在“关闭自动播放”框中选择“所有驱动器”,单击“确定”按钮,退出“组策略”窗口。
4、在“用户配置_管理模板_系统”中于实行计算机配置相同的配置。
也可以在每个盘的根目录下创建一个"autorun.inf"文件夹.这样就能防止大多数依赖autorun.inf运行的病毒.
下载安全卫士等安全工具也可以轻松防范这些流行病毒.
所有的盘都右击,并选择[打开].进去后找到"autorun.inf"文件删除,最好打开"autorun.inf"文件看"open="指向的是哪个病毒文件.找到病毒文件后删除.
在u盘中出现autorun.inf 病毒
一种新病毒正在通过U盘、移动硬盘传播
目前,各杀毒软件尚未将它列为病毒。
推荐大家去打印店时,使用带写保护口的U盘!
该病毒由如下文件组成:
autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog
当用户双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe
中毒之后,计算机识别U盘时会极为缓慢,病毒又会传染给新的U盘
单看文件名就可判定这是病毒,RavMonE.exe企图冒充瑞星杀毒软件的正常
文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件
解决方法:
Step
1.开机时按F8键,进入【安全模式】
我的电脑——工具——文件夹选项——【查看】分页
勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”
Step
2.用任务管理器(Ctrl+Alt+Del)终止
RavMonE.exe进程
1)在开始菜单>>>搜索>>>所有文件和文件夹(记得在【更多高级选项】中勾选“搜索
隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们
2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一
文件夹内的,其余的则保留
3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒
Step
3.在开始菜单>>>运行>>>输入regedit,删除注册表的键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\RavMonE.exe
高分求助:电脑中了autorum.inf U盘病毒怎么办?
1.以前我的电脑也是不小心中了类似的病毒,当时是下载了一个U盘专杀工具,就是usb cleaner,进行查杀,再进行隐藏文件修复,就搞定了,这个软件很容易上手,但有些很有用的功能需要慢慢找门道。
或者找个U盘修复工具,有很多修复功能,能把一些被隐藏的文件恢复回来。
2.很多病毒就用360就能搞定,但病毒破坏的数据或是病毒隐藏的文件用360无法修复或是恢复。如果你想重装系统,你先把电脑进行一次全盘杀毒,杀毒后再用移动硬盘备份文件就行了,这样移动硬盘不会中毒。
这也算是经验吧,希望对你有用!
求auto病毒专杀工具
这些专杀并不是都有用,我教你自制个专杀:
在任意盘符下新建一个记事本txt文件,把下面的东西复制进去:
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
然后,把它的txt格式改为bat格式,右键-打开,任务栏消失后大约1-3秒后出现,这是,你的auto病毒就搞定了。
还推荐你去瑞星官方上下一个2007杀毒软件,以后就不会中了。
U盘中了autorun病毒怎么办啊????
您好1,建议您先到腾讯电脑管家官网下载一个电脑管家。2,然后重启电脑按F8选择进入带网络连接的安全模式。3,再将U盘连接到电脑上,这样是因为安全模式下,病毒和第三方驱动无法正常运行,所以不会影响到电脑。4,再打开电脑管家——杀毒——指定位置查杀——选择到我的电脑——可移动磁盘——杀毒,然后根据电脑管家提示将U盘病毒清理掉后,重启电脑即可。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
我的U盘中病毒了,里面有个autorun和sysanti病毒,手工杀和杀毒元件我都试了,没有用?
1. 结束“svchost.exe” 进程。
打开“任务管理器”→“进程”选项卡,找到“svchost.exe”进程。“svchost.exe” 进程有很多个,按“映像名称”排序(就是鼠标单击其标签),按a-z顺序,最下面那个“svchost.exe” (该进程用户名一般为当前系统的用户名)就是被病毒利用的进程,结束该进程。
2.删除SysAnti.exe和autorun.inf病 毒。
(1)打开压缩软件WinRAR(该软件可以看到所有隐藏的文件),分别浏览电脑上的分区(C、D、E、F…盘 以及U盘),在盘符下面找到SysAnti.exe和autorun.inf病 毒文件,右击该文件删除即可。(2)利用压缩软件WinRAR,打开系统盘\Program Files\Common Fiiles文件夹将里面的SysAnti.exe病毒文件删除。(友情提示:删除病毒文件之后,还要清理IE临 时文件。)
3.用杀毒软件杀毒。
利用以上方法将SysAnti.exe和autorun.inf病毒文件删除后再利用杀毒软件(360、卡巴斯基、诺顿、瑞星等都可以)杀毒了,用最新升级的杀毒软件对电脑进行全盘病毒查杀 (包括U盘)即完全将查杀SysAnti.exe和autorun.inf病 毒了。
电脑中了AUTO病毒
auto解决
运行——regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
电脑中了AUTO病毒怎么办
建议你到安全模式里,打开文件夹选项,然后把显示隐藏文件去掉勾,然后用右键点盘,点打开,看每个盘符里有没有隐藏文件,除了回收站外,把autorun.ini删掉,还有.exe结尾的也删掉,系统盘(大致就是C盘)删除要注意,别删错文件.千万记得别双击盘符.然后把.exe文件名记好,开始--运行--regedit--回车,然后查找那文件名,能找到的都删掉它,重启.下面是免疫方法.
开始--运行--cmd.exe--回车
mkdir
X:\autorun.inf\autorun...\
这里X:代表你要免疫的盘符,推荐在每个硬盘根目录下运行此命令。
在WINDOWS下是不能访问autorun..目录的,不可以删除,不可以更改。这样真正的病毒配置文件
AUTORUN.INF在根目录下不能建立了。
删除此目录
开始--运行--cmd.exe--回车
rmdir
X:\autorun.inf\autorun...\
rmdir
X:\autorun.inf
如果觉得手工删除麻烦,就去购买正版杀毒软件进行杀毒,用盗版我怕你毒没杀完又中过
如何清除autorun.inf病毒
电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。下面一起看看AutoRun原理和解决方法!如何清除autorun.inf。 一、 AutoRun简介: Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。二、运行方式: A. OPEN=filename.exe 自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。 B. shellAutocommand=filename.exe shell=Auto 修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢? C. shellexecute=filename.exe ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。 D. shellopen=打开(&O) shellopenCommand=filename.EXE shellopenDefault=1 shellexplore=资源管理器(&X) 这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。 三、 病毒清除、免疫方法: A、免疫。在根目录建立autorun.inf文件夹,设置成只读。 B、右键--"打开"。(手头没有任何杀毒软件的临时方法。参考“运行方式”的“D”条。) C、批处理。(附件中有)清除感染的所有分区病毒。用的时候,把里面的“病毒.exe”替换掉。 @echo off taskkill /f /im 病毒.exe cd\ for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:\autorun.inf&attrib -s -a -r -h %%i:\病毒.exe& del %%i:\病毒.exe&del %%i:\autorun.inf D、VBS脚本。(附件中有)用于已经感染的U盘、磁盘等。见图4(设置autorun.inf路径)、图5(设置exe病毒路径)、图6(清除成功)。 ON ERROR RESUME NEXT ciker_path = InputBox("本程序能帮助您清除autorun.inf病毒。"&vbCr&vbCr&"请在下面输入autorun.inf所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\autorun.inf") ciker_exe = InputBox("请在下面输入exe病毒文件所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\target.exe") Set Fso=CreateObject("Scripting.FileSystemObject") Set fl0=Fso.getfile(ciker_path) Set fl1=Fso.getfile(ciker_exe) fl0.delete fl1.delete msgbox "清除成功!" wscript.quit E、设置权限,进行免疫。(附件中有)即使双击磁盘,也不自动运行。如果想手动更改的话,如图7所示,设置everyone为“拒绝”。 嫌麻烦的话,用附件里的批处理(免疫.bat): 其中的setacl.exe大家自己google一下吧,被人说有木马之类的就不好了。 相关阅读:2018网络安全事件: 一、英特尔处理器曝“Meltdown”和“Spectre漏洞” 2018年1月,英特尔处理器中曝“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,受影响的设备包括手机、电脑、服务器以及云计算产品。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。 二、GitHub 遭遇大规模 Memcached DDoS 攻击 2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。 三、苹果 iOS iBoot源码泄露 2018年2月,开源代码分享网站 GitHub(软件项目托管平台)上有人共享了 iPhone 操作系统的核心组件源码,泄露的代码属于 iOS 安全系统的重要组成部分——iBoot。iBoot 相当于是 Windows 电脑的 BIOS 系统。此次 iBoot 源码泄露可能让数以亿计的 iOS 设备面临安全威胁。iOS 与 MacOS 系统开发者 Jonathan Levin 表示,这是 iOS 历史上最严重的一次泄漏事件。 四、韩国平昌冬季奥运会遭遇黑客攻击 2018年2月,韩国平昌冬季奥运会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。 五、加密货币采矿软件攻击致欧洲废水处理设施瘫痪 2018年2月中旬,工业网络安全企业 Radiflow 公司表示,发现四台接入欧洲废水处理设施运营技术网络的服务器遭遇加密货币采矿恶意软件的入侵。该恶意软件直接拖垮了废水处理设备中的 HMI 服务器 CPU,致欧洲废水处理服务器瘫痪 。
怎么清除AUTORUN.INF病毒
U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。
AUTORUN.INF病毒资料 MVS.exe Dropper.VB.acd
LaunchCd.exe Trojan.VB.vwp
Tel.xls.exe Worm.VB.lv
Ghost.exe,conime.exe Trojan.DL.Agent.blr
Autorun.exe Trojan.Agent.xkt
toy.exe Worm.Agent.av
autorun.exe soundmix.exe Worm.Clive.a
printer.exe Trojan.VB.wio
BootIO.exe Trojan/Agent.Bui
现状分析 事实表明,目前已经有新的病毒能够有意识地检测autorun.inf的存在,对于能直接删除的则删之,对于“无法删除”的则用重命名的方式毁之;此时,你可以在autorun.inf文件夹下面,用CMD命令建立畸形文件夹就可以很好的防止autorun.inf被病毒删除了.
还有一种很早就出现的以文件名诱骗用户点击的病毒(如:重要文件.exe,小说.exe)。对于以上这两种传播方式的病毒,仅仅建立autorun.inf文件夹是抵御不了的。
发现AUTORUN.INF病毒 这个病毒有着非常明显的外部特征,但是却又常常容易被忽略。之所以容易忽略,是因为它并不会令电脑变慢,所以很多人就不注意到。但是如果我们在双击打开U盘时,不是在当前窗口打开,而是在新窗口中打开,那么则有可能中毒了。这时可以在“我的电脑”中右击盘符,看其最上方的一项命令是什么,如果为“Auto”,而不是正常的“打开”,那么中毒的可能性则进一步增大;但要确认中毒,还需要我们在地址栏中输入E:autorun.inf(E盘需换成实际的盘符),如果打开的文件中open行后所跟的文件是sxs.xls.exe这样的文件,那么则肯定中毒了。
应对策略
1、在插入U盘时按住键盘 shift 键直到系统提示“设备可以使用”,然后打开U盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(打开我的电脑,按下上面的“文件夹”按钮,或者开始-所有程序-附件-windows资源管理器)将其打开,或者使用
快捷键winkey+E打开资源管理器后,一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)
2、如果盘内有来路不明的文件,尤其是文件名比较诱惑人的文件,必须多加小心;需要特别提示的是,不要看到图标是文件夹就理所当然是文件夹,不要看到图标是记事本就理所当然是记事本,伪装图标是病毒惯用伎俩。
3、要有显示文件扩展名的习惯 。方法:打开“我的电脑”,工具--文件夹选项--查看,去掉“隐藏已知文件类型的扩展名”的勾,建议选择显示扩展名同时选上“显示隐藏文件”,去掉“不显示系统文件”的勾,这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件,显示文件扩展名之后,通过文件名后的".exe"即可判断出一个文件可执行文件,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。
4、最后不管你用什么办法,或者用什么软件,插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。
下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理,然后按提示操作。注,批处理使用方法:打开开始菜单-附件-记事本,复制批处理内容进去,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到你保存的位置,会出现一个批处理文件,双击运行即可。
@echo off&setlocal enabledelayedexpansion
echo 请在U盘和电脑没有病毒的情况下插入一个U盘&set /p "d=请输入U盘的盘符(比如输入H): "
set "d=!d:~0,1!"&set "a=autorun.inf.!random!.tmp"
if exist !d!:\autorun.inf attrib.exe -s -h -r !d!:\autorun.inf&ren !d!:\autorun.inf !a!
(echo [autorun]&echo open=calc.exe&echo shellexecute=calc.exe&echo shell=explore
echo shell\open\command=calc.exe&echo shell\explore\command=calc.exe)>!d!:\autorun.inf
echo 现在删除并重新插入U盘&echo 打开U盘,如果出现"计算器"&echo 说明你有中Autorun.inf类型病毒的机会
echo 完成后按任意键继续&pause>nul
del !d!:\autorun.inf&if exist !d!:\!a! ren !d!:\!a! autorun.inf&goto :eof
推荐的其他方法:
1、推荐一种彻底拒绝Autorun.inf类型病毒的方法.
运行下面这个批处理,就可以保证插入以及打开
磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效):
@ECHO off
REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f
REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 []>%temp%\temp.txt
REGINI.exe %temp%\temp.txt
GOTO :eof
如果想再恢复Autorun.inf功能运行这个批处理:
@ECHO off
ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [7]>%temp%\temp.txt
REGINI.exe %temp%\temp.txt
REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f
REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
GOTO :eof
2、对于伪装型病毒,可以通过它的可执行属性判断出来。
除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--".exe"扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个".exe"。
以管理员身份运行下面的批处理:
@ECHO off
REG.exe ADD HKCR\exefile /v AlwaysShowExt /t REG_SZ /f
TASKKILL.exe /im explorer.exe /f
START %windir%\explorer.exe
GOTO :eof
要恢复不显示exe扩展名运行这个批处理:
@ECHO off
REG.exe DELETE HKCR\exefile /v AlwaysShowExt /f
TASKKILL.exe /im explorer.exe /f
START %windir%\explorer.exe
GOTO :eof
另一种简单的预防方法
组策略-禁用自动播放
操作步骤为:点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。
另一种更为简单的免疫办法
建立txt文本文件,命名为闪存免疫,输入以下代码:
md c:\Autorun.inf\
md c:\Autorun.inf\1234...\
md x:\Autorun.inf\
md x:\Autorun.inf\1234...\(X代表盘符,你有几个盘就可以输入几个)
保存退出,并将TXT文件转化为BAT批处理文件,双击运行,在各个盘符的根目录下会出现Autorun.inf文件夹,并且因为它们的文件夹内有不可删除文件所以该文件夹也无法删除。这样,免疫闪存就做成了。感觉非常棒吧
在桌面上建立一个名为Autorun.inf的文件夹加上只读及隐藏属性,分别放入不同的盘符根目录中同样也可以达到以上目的[1]
[编辑本段]autorun.inf autorun.inf文件是从Windows95开始的,最初用在其安装盘里,实现自动安装,以后的各版本都保留了该文件并且部分内容也可用于其他存储设备。
其结构有三个部分:[AutoRun] [AutoRun.Alpha] [DeviceInstall]
[AutoRun]适用于Windows95以上系统与32位以上CD-ROM,必选。
[AutoRun.alpha]适用于基于RISC的计算机光驱,适用系统为Windows NT 4.0,可选。
[DeviceInstall]适用于Windows XP以上系统,可选。
[AutoRun]部分的命令及其详解
1、DefaultIcon
含义:指定应用程序的默认图标。
格式:
DefalutIcon=图标路径名[,序号]
参数:
图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时,有时需要使用序号来指定图标。
序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。
备注:
应用程序的默认图标将在windows explorer核心的驱动显示窗口中替代设备的默认图标来显示。
图标路径名的默认目录是设备根目录。
2、Icon
含义:指定设备显示图标。
格式:
Icon=图标路径名[,序号]
参数:
图标文件名:应用程序的默认图标路径名,格式可以为.ico、.bmp、.exe、.dll。当文件格式为.exe和.dll时,有时需要使用序号来指定图标。
序号:当文件格式为.exe和.dll时,文件可能包括多余一个图标,此时需要使用序号来指定图标,需要注意的是,序号是从0开始的。
备注:
设备显示图标将在windows explorer核心的驱动显示窗口中
代设备的默认图标来显示。
图标路径名的默认目录是设备根目录。
当存在应用程序默认图标(DefaultIcon)时,本命令无效。
3、Label
含义:指定设备描述
格式:
Label=描述
参数:
描述:任意文字,可以包括空格。
备注:
设备描述将在windows explorer核心的驱动显示窗口中替代设备的默认描述卷标来显示。
在非windows explorer核心的驱动显示窗口中(例如右击设备选择属性)显示的仍然是设备的卷标。
4、Open
含义:指定设备启用时运行之命令行。
格式:
Open=命令行
(命令行:程序路径名 [参数])
参数:
命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开或使用ShellExecute命令。
备注:
命令行的起始目录是设备根目录和系统的$Path环境变量。
5、ShellExecute
含义:
指定设备启用时执行文件。(操作系统支持未知)
格式:
ShellExecute=执行文件路径名 [参数]
参数:
执行文件路径名:设备启用时执行文件路径名。可以是任意格式文件。系统会调用设置的程序执行此文件。
参数:参数,根据执行文件作调整
备注:
命令行的起始目录是设备根目录和系统的$Path环境变量。
6、Shell关键字Command
含义:
定义设备右键菜单执行命令行。
格式:
Shell关键字Command=命令行
(命令行:程序路径名 [参数])
参数:
命令行:自动运行的命令行,必须是.exe、.com、.bat文件,其他格式文件可以使用start.exe打开。
备注:
命令行的起始目录是设备根目录和系统的$Path环境变量。
7、Shell关键字
含义:定义设备右键菜单文本。
格式:
Shell关键字=文本
参数:
关键字:用以标记菜单,可以使用任何字符表示,包括空格。
文本:在右键菜单中显示的文本。可以使用任何字符,不能存在空格。
备注:
在同一Autorun.inf文件中,不同右键菜单关键字不同,相同右键菜单关键字相同。
右键菜单文本中可以使用&设定加速键,&&输出一个&。
Shell关键字Command命令Shell关键字两者缺一不可,顺序无所谓。
当不存在Open、ShellExecute与Shell命令时,设备启用时运行第一个设备右键菜单指定命令。
8、Shell
含义:定义设备启用时运行之设备右键命令。
格式:
Shell=关键字
参数:
关键字:标记过的菜单关键字
备注:
Shell指定的关键字可以在AutoRun.inf文件的任意部分。
OpenShellExecuteShell命令后定义的优先级高。
DriverPath
含义:定义搜索驱动程序目录。
格式:
DriverPath=驱动程序路径
参数:
驱动程序路径:驱动程序所在路径,包括其子路径。
备注:
Windows XP以上支持。
仅CD-ROM支持
当系统监测到一个新的设备时,会提示用户寻找设备的驱动程序。当用户点选此CD-ROM时,当[DeviceInstall]部分存在时,系统会按照DriverPath所标记的路径出寻找驱动程序。未标记的路径系统将忽略查找。当[DeviceInstall]部分不存在时,系统将进行完全查找。
如果不希望系统在此CD-ROM中搜索驱动程序,只加一行[DeviceInstall]不加DriverPath命令即可。
系统识别该文件过程如下:
系统在插入U盘的时候会根据这个AUTORUN.INF文件在注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]下建立一个u盘的关联项,使双击打开指定的程序(如病毒程序)。
Windows 2000/XP下如何删除autorun.inf文件夹在命令提示符中,输入rd (文件夹路径)即可删除文件夹
&nbs
sp; 如文件夹内有内容可把rd替换为deltree来完成删除。
========================================================================
清除autorun病毒的批处理文件代码
u盘插上
首先新建个文本文档,在里面添加以下内容:
@echo on
taskkill /im explorer.exe /f
rem 结束病毒进程(以u.vbe病毒的进程w.exe为例)
taskkill /im w.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
=====到这里为止(这行不用复制)==========================
其次打开我的电脑,在菜单栏里选择“工具-文件夹选项-查看”,将“隐藏已知文件类型的扩展名”前面的勾去掉-确定-退出窗口。
再次将刚才新建的那个文件文档的文件名,由“新建文本文档.txt”改为“u.vbe病毒消除.bat”。
最后直接双击它就能清除这个病毒了!
【另外】对于杀毒软件产生的此类文件夹(如超级巡警),可用DOS命令快速干净的删除,方法如下
假设autorun.inf文件夹是在D盘,操作如下: 打开“开始”,选择“运行”,输入“CMD”,打开命令行窗口,在命令行窗口中输入一下命令:
第一步:输入D: 然后回车
第二步:输入rmdir /s autorun.inf 然后回车
第三步:当出现提示时,按“Y”,并回车
其他盘照此方法执行即可!! !
与Autorun.inf相关的知识 大家都知道利用磁盘自启动是Autorun.inf,那么,文件夹呢?
其实,这个功能在Windows 2000 SP4以后的系统就全部被取消掉了,是Desktop.ini和Folder.htt。
这两个文件中,Desktop.ini是用来记录文件夹背景、图表等信息。而folder.htt是用来记录启动文件夹时自运行程序的。有点类似瑞星隔离文件夹,双击自动启动隔离系统。但是被病毒利用后,微软就禁用了Folder.htt,所有的功能只能靠Desktop.ini