如今AUTORUN病毒之泛滥似乎已经到了一发不可收拾的地步，尤其对于经常要交打印报告或者打印PPT来说（甚至机房里里有还原卡的机器都有毒。。。）

[转载自云南网吧技术联盟]

　　而大家都知道autorun.inf文件本身并不是病毒，所以很多杀毒软件也难以防范，往往检测出病毒的时候已经中毒了（当然现在的杀毒软件基本能保证中毒后查杀掉）

　　现在就来分享一下我的经验（关于autorun的原理就不说了，这里只说结论性的东西）

　　首先要明确告诉大家的是： [http://www.6iyn.com]

　　网上流行的关闭自动播放并不能防范AUTORUN病毒

[转载自云南网吧技术联盟]

　　另一种防范的方法相信很多人已经用过，就是用一些软件比如USB CLEANER，USB KILLER等依靠在U盘根目录下建立autorun.inf文件夹现在也已经慢慢失效，原因是现在的病毒会先把这个文件夹删了（当然你是不能直接删的，这里要用到一点旁门左道。。。具体就不展开了有兴趣大家自己研究，我这里提示大家是利用了WINDOWS保留字）

[http://www.6iyn.com]

　　那么如何才能有效的防范AUTORUN病毒呢？ [转载自云南网吧技术联盟]

　　1.改资源管理器 [转载自云南网吧技术联盟]

　　如图，取消隐藏系统文件，并选择显示所有文件/文件夹，取消隐藏已知扩展名，这样打开U盘后所有隐藏的病毒都在你眼皮底下一清二楚 [转载自云南网吧技术联盟]

　　 [http://www.6iyn.com]

　　2.封注册表 [转载自云南网吧技术联盟]

　　把HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2这个项给封了，结果就是即使双击autorun.inf的内容也不会被读取，autorun.inf既然不被读取，那么病毒自然无法自动运行（当然不排除你手动去运行一下，汗。。。）

[http://www.6iyn.com]

　　所谓的封住即去掉所有权限，右键点一下MountPoints2项，点权限，记住要去掉所有用户权限，即包括administrator和system在内的所有用户都要去掉权限

　　3.转换格式（推荐）

[转载自云南网吧技术联盟]

　　大家都知道自己的U盘是FAT32格式的，不能设置权限，而转换为NTFS格式显然有很多优点，不过只是建议转换，至于转换后有什么问题我这里不负责哦，所以请大家三思而后行

　　首先要注意的是，如果选择格式化，默认只有FAT32格式，想要出现NTFS格式，在设备管理器选择磁盘驱动器，选择你的U盘，右击属性后点策略，选择为提高性能而优化。不过个人不建议这么做，既然是U盘那肯定要即插即用，随时随地都能插拔，而选择了下面一项就会把U盘里的数据写入缓冲区，随意插拔可能导致数据损坏等问题。 [转载自云南网吧技术联盟]

[转载自云南网吧技术联盟]

　　另一种方法比较简单，打开CMD敲个命令：

[转载自云南网吧技术联盟]

　　convert X： /FS：NTFS （X为U盘盘符） [http://www.6iyn.com]

　　而且这样不会造成任何数据丢失 [转载自云南网吧技术联盟]

　　转换成NTFS格式到底有什么好处呢？看下图就明白了：

[http://www.6iyn.com]

　　这时候右击任意文件/文件夹，选择属性→安全，会出来一个安全选项，这里就能改权限了，同前面修改注册表权限一样，把USB CLEANER等软件生成的U盘病毒免疫目录autorun.inf文件夹所有的权限去掉，这时候病毒再想删就没那么容易啦~~~

[http://www.6iyn.com]

　　另外再提示一下中毒后的情况： [http://www.6iyn.com]

　　今天我在机房里就中了一次毒，当然是别人的U盘，我没注意就直接双击了。。。 [转载自云南网吧技术联盟]

　　直接看好像你的U盘目录没变化，但实际上你U盘内所有文件夹都被隐藏，取而代之的是以你文件夹明明的XXX.EXE，但很多人都是隐藏已知文件扩展名的（这里看到前面所说的用处了吧），而病毒比较阴险把这些EXE文件的图标改成文件夹图标，这样的后果就是表面上看是你自己的文件夹实际上确实一模一样的EXE病毒。。。

　　当然这些伎俩对我肯定没用的，不过删除所有病毒后发现原来的文件夹属性为隐藏（灰色不可选）并且只读，即使去掉只读属性再看的时候还是没变化。

　　解决办法：同样是运行CMD [http://www.6iyn.com]

　　attrib XXX -s -r -h （XXX为被隐藏的文件夹名）

[转载自云南网吧技术联盟]

　　每个被隐藏的文件夹都来一遍就OK了

　　------------------------------补充-------------------------------

[转载自云南网吧技术联盟]

　　建议你新建一个autorun.inf文件，放到U盘中或者某盘符的根目录下，内容如下： [http://www.6iyn.com]

　　 [http://www.6iyn.com]

[autorun]

 

[转载自云南网吧技术联盟]

　　OPEN=NOTEPAD.exe

[http://www.6iyn.com]

　　shell\open=打开(&O) [http://www.6iyn.com]

　　shell\open\Command=NOTEPAD.exe

[http://www.6iyn.com]

　　shell\open\Default=1 [转载自云南网吧技术联盟]

　　shell\explore=资源管理器(&X) [http://www.6iyn.com]

　　shell\explore\Command=NOTEPAD.exe [http://www.6iyn.com]

　　icon=game.ico [转载自云南网吧技术联盟]

　　

[转载自云南网吧技术联盟]

  [http://www.6iyn.com]

　　加入一个图标是为了检查Autorun.inf是否被读取，这个Autorun.inf会伪造右键菜单里的打开和资源管理器，点击就运行NOTEPAD.exe。重新插入后图标变了，检查右键菜单，没有新的项创建，双击看看。哈哈，熟悉的记事本蹦出来了，证明打开和资源管理器已被修改。如果把NOTEPAD.exe换成病毒文件，恭喜，你已经中毒了。 [http://www.6iyn.com]

　　杀毒软件不是万能的，比如我同学装了卡巴照样被盗号（囧~~~），树大招风，越是又名的杀软很可能越是容易被病毒木马盯上，虽然我不能保证我的方法是无敌的，但至少有一定作用~~不信你把上面那个autorun.inf文件放到某个根目录下试试~~~

[转载自云南网吧技术联盟]

• 网友评论
• 网友推荐
• 打印本文
• 论坛讨论
• 关闭此页
• 无效链接
• 无效链接
• 无效链接
• 无效链接