收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 8420|回复: 8

[病毒] 与流氓之间的较量 -- 清除autorun.inf

[复制链接]
发表于 2008-3-30 17:34:38 | 显示全部楼层 |阅读模式
对付两种流行的技术:ARP和autorun.inf。

看到的不一定是是真实的 - About ARP
与流氓之间的较量 -- 清除autorun.inf

注:本文最后四张为本人截图,其他四张图片来自网络,本人就不以身试毒了。

一、 AutoRun简介:

Windows95以后的系统都有一个“自动运行”的功能。通过在卷插入时读取磁盘卷上的Autorun.inf文件来获得Explorer中卷的自定义图标和对卷图标的上下文菜单进行修改,并对某些媒体自动运行Autorun.inf中定义的可执行文件。05年以后,随着各种可移动存储设备的普及,国内有些黑客制作了盗取U盘内容并将自身复制到U盘利用Autorun.inf传播的病毒。著名的伪ravmon、copy+host、sxs、Viking、熊猫烧香等著名病毒都有这种传播方式。它们有时是根目录下的神秘幽灵,有时是出现在不应该出现的地方的回收站,总之,它们是系统安全的严重威胁。见图0、图1。

图0.jpg

图1.jpg

二、运行方式:

A.

OPEN=filename.exe


自动运行。但是对于很多XPSP2用户和Vista用户,Autorun已经变成了AutoPlay,不会自动运行它,会弹出窗口说要你干什么。

B.

shellAutocommand=filename.exe
shell=Auto



修改上下文菜单。把默认项改为病毒的启动项。但此时只要用户在图标上点击右键,马上发现破绽。精明点的病毒会改默认项的名字,但如果你在非中文的系统下发现右键菜单里多出了乱码或者中文,你会认为是什么呢? 见图2。

图2.jpg

C.

shellexecute=filename.exe


ShellExecute=....只要调用ShellExecuteA/W函数试图打开U盘根目录,病毒就会自动运行。这种是对付那些用Win+R输盘符开盘的人。

D.

shellopen=打开(&O)
shellopenCommand=filename.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)


这种迷惑性较大,是新出现的一种形式。右键菜单一眼也看不出问题,但是在非中文的系统下,原形毕露。突然出现的乱码、中文当然难逃法眼。


三、 病毒清除、免疫方法:

A、免疫。在根目录建立autorun.inf文件夹,设置成只读。见图3。

图3.jpg

B、右键--"打开"。(手头没有任何杀毒软件的临时方法。参考“运行方式”的“D”条。)

C、批处理。(附件中有)清除感染的所有分区病毒。用的时候,把里面的“病毒.exe”替换掉。

@echo off
taskkill /f /im 病毒.exe
cd\
for /d %%i in (C,d,,e,f,g,h,I,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z) do attrib -s -a -r -h %%i:\autorun.inf&attrib -s -a -r -h  %%i:\病毒.exe& del %%i:\病毒.exe&del %%i:\autorun.inf


D、VBS脚本。(附件中有)用于已经感染的U盘、磁盘等。见图4(设置autorun.inf路径)、图5(设置exe病毒路径)、图6(清除成功)。

ON ERROR RESUME NEXT

ciker_path = InputBox("本程序能帮助您清除autorun.inf病毒。"&vbCr&vbCr&"请在下面输入autorun.inf所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\autorun.inf")

ciker_exe = InputBox("请在下面输入exe病毒文件所在的目录:"&vbCr&vbCr&"By Ciker 08.03.30","AutoRun.inf清除","C:\target.exe")

Set Fso=CreateObject("Scripting.FileSystemObject")
Set fl0=Fso.getfile(ciker_path)
Set fl1=Fso.getfile(ciker_exe)
fl0.delete
fl1.delete
msgbox "清除成功!"
wscript.quit


图4.JPG

图5.JPG

图6.JPG

E、设置权限,进行免疫。(附件中有)即使双击磁盘,也不自动运行。如果想手动更改的话,如图7所示,设置everyone为“拒绝”。

图7.JPG

嫌麻烦的话,用附件里的批处理(免疫.bat):

其中的setacl.exe大家自己google一下吧,被人说有木马之类的就不好了。

[[i] 本帖最后由 ciker 于 2008-3-30 17:47 编辑 ]

清除autorun.inf.rar

2.65 KB, 下载次数: 499

评分

参与人数 1威望 +2 收起 理由
birder + 2 谢谢分享

查看全部评分

发表于 2008-3-31 09:28:56 | 显示全部楼层
很不錯,這個病毒可說是比較頑強的了,以前我也介紹過一下清理的辦法跟工具
回复 支持 反对

使用道具 举报

发表于 2008-3-31 14:46:46 | 显示全部楼层
不错,谢谢分享
回复 支持 反对

使用道具 举报

发表于 2008-3-31 18:54:47 | 显示全部楼层
比较简单的方法。
回复 支持 反对

使用道具 举报

发表于 2008-4-1 19:01:57 | 显示全部楼层
暂时没中过这个毒
回复 支持 反对

使用道具 举报

发表于 2008-4-3 00:45:39 | 显示全部楼层
呵呵,鼓励自己做工具。

其实最简单的办法是使用一个由第三方提供的可以浏览目录的软件(比如说WinRAR)打开目录,看见病毒直接删了。

杀软还是不可不装的。
回复 支持 反对

使用道具 举报

发表于 2008-4-3 12:25:35 | 显示全部楼层
楼主介绍得很详细,版主的方法也很好,使用winrar察看文件。
但是如果病毒已经运行,锁定了隐藏文件,锁定了注册表编辑器呢?

也写一段恢复注册表隐藏文件显示的批处理:
@echo off
echo.
reg query HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\explorer\AdvancedFolder\Hidden\SHOWALL /v CheckedValue
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\explorer\AdvancedFolder\Hidden\SHOWALL /v CheckedValue /f
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\explorer\AdvancedFolder\Hidden\SHOWALL" /v "CheckedValue" /t REG_Dword /d "1"
@echo 写入注册表成功
pause
回复 支持 反对

使用道具 举报

发表于 2008-4-3 16:56:03 | 显示全部楼层
楼主真是好人,这样可以永绝后患了!
回复 支持 反对

使用道具 举报

发表于 2008-4-8 12:13:39 | 显示全部楼层
确实是很棘手的一个病毒
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-7-11 00:41 , Processed in 0.156829 second(s), 12 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表