关于autorun.inf
总是说
病毒在u盘上的传播依赖于autorun.inf文件的帮助。病毒先把自己复制到u盘上,然后创建一个autorun.inf,双击u盘就会按照autorun.inf里的设置运行u盘里的病毒,只要我们能阻止autorun.inf文件的创建,就算u盘里有病毒,你也只能躺着睡觉了。你可能也会想到这一点。但是,无论autorun.inf设置了什么属性,病毒都会改变它。我说的方法是删除根目录下的autorun.inf文件,然后在根目录下创建一个名为autorun.inf的文件夹。这样,因为在同一个目录下,病毒就无法做任何事情来创建autorun.inf文件。以后会不会有新的病毒,然后自动删除文件夹?但是因为这个文件夹可以重命名,所以很多新的木马和病毒都是利用重命名,然后创建autorun.inf文件来感染u盘。不过对于安全意识比较强的用户来说,用这种方法来判断自己的u盘是否被感染还是不错的。
[编辑此段]AUTORUN。INF病毒数据
MVS.exe滴管。VB.acd
LaunchCd.exe·特洛伊。虚拟现实
Tel.xls.exe蠕虫。VB .吕
特洛伊。代理人
Autorun.exe·特洛伊。Agent.xkt
toy.exe蠕虫。Agent.av
autorun.exe·soundmix.exe蠕虫。克莱夫
printer.exe·特洛伊。VB.wio
BootIO.exe·特洛伊/经纪人。脑摄取指数
现状分析
事实表明,有新的病毒可以有意识地检测到autorun.inf的存在,直接删除可以删除的,通过重命名来破坏不能删除的;此时可以用CMD命令在autorun.inf文件夹下创建一个格式错误的文件夹,可以很好的防止autorun.inf被病毒删除。
还有就是病毒(比如:重要文件。exe,小说。exe),它很早就出现了,用来欺骗用户点击文件名。对于这两种病毒,仅仅通过设置autorun.inf文件夹是无法抵御的。
自动运行。发现INF病毒。
这种病毒具有明显的外部特征,但往往容易被忽视。它很容易被忽略,因为它不会降低计算机的速度,所以很多人不会注意到它。但是,如果我们在新窗口而不是当前窗口打开u盘,可能会中毒。这时候你可以在“我的电脑”里右击盘符,看看最上面的命令是什么。如果是“自动”而不是正常的“开”,中毒的可能性进一步增加。但是要确认中毒,还需要输入e: autorun。地址栏中的INF盘需要替换成实际的盘符)。如果打开的文件中的打开行后面的文件是像sxs.xls.exe这样的文件,那么它一定是中毒了。
应付策略
1.插入u盘时,按住键盘shift键,直到系统提示“设备可以使用”为止。然后,在打开u盘的时候,不要双击打开,也不要用右键菜单打开。而是使用资源管理器(打开我的电脑,按上面的文件夹按钮,或者开始-所有程序-附件-windows资源管理器)或者使用快捷键winkey+E打开资源。(养成这样的好习惯)
2.如果磁盘中有来源不明的文件,尤其是文件名很吸引人的,一定要多加小心;需要特别注意的是,不要想当然的认为图标是文件夹,也不要想当然的认为图标是记事本。伪装图标是病毒的常用伎俩。
3.有显示文件扩展名的习惯。方法:打开“我的电脑”,工具-文件夹选项-查看,去掉“隐藏已知文件类型的扩展名”的勾选。建议选择“显示隐藏文件”,去掉“不显示系统文件”的勾选,更清楚的看到病毒。有图标的有吸引力的病毒文件,基本都是可执行文件。在文件扩展名被显示出来后,一个文件的可执行文件就可以由“,”来判断了。exe”,这样伪装的病毒可执行文件就不会被误认为是正常的文件或文件夹。
4.最后,不管你用什么方法,或者用什么软件,插入u盘,用这个方法测试你是否有感染Autorun.inf病毒的风险。
以下批次可以检查插入或打开u盘时是否存在激活病毒的风险。运行该批处理并按照提示进行操作。注意:批处理方式:打开开始菜单-附件-记事本,复制批处理内容,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到保存它的位置,就会出现一个批处理文件。双击运行即可。
@ echo off & ampsetlocal enabledelayedexpansion
Echo,请在u盘和电脑没有病毒的情况下插入u盘&;Set /p "d=请输入u盘的盘符(例如输入H):"
设置“d=!d:~0,1!”& ampset "a=autorun.inf!随机!。tmp "
如果存在!d!:\ autorun . INF attrib.exe-s-h-r!d!:\ autorun.inf & amp任!d!:\autorun.inf!答!
echo[autorun]& amp;echo open = calc.exe & ampecho shellexecute = calc.exe & ampecho shell =探索
echo shell \ open \ command = calc . exe & amp;echo shell \ explore \ command = calc . exe)& gt;!d!:\autorun.inf
Echo现在删除并重新插入USB闪存驱动器&;Echo打开u盘,如果出现“计算器”&;Echo表示有机会感染Autorun.inf病毒。
echo结束后按任意键继续&;暂停& gt空
德尔。d!:\ autorun.inf & amp如果存在!d!:\!答!任!d!:\!答!& amp转到:eof
其他推荐方法:
1.推荐一个彻底拒绝Autorun.inf病毒的方法。
运行以下批处理,以确保在插入和打开磁盘时不会感染病毒(它不会占用计算机资源,并且一旦运行,它将对当前用户名生效):
@关闭回声
REG.exe删除HKCU \软件\微软\ Windows \当前版本\资源管理器\装载点2 /f
REG.exe添加HKCU \软件\微软\ Windows \当前版本\资源管理器\装载点2
ECHO HKEY _当前用户\软件\微软\ Windows \当前版本\资源管理器\装载点2[]& gt;%temp%\temp.txt
REGINI.exe % temp % \ temp . txt
转到:eof
如果您想要恢复Autorun.inf函数来运行此批处理:
@关闭回声
ECHO HKEY _当前用户\软件\微软\ Windows \当前版本\资源管理器\装载点2[7]& gt;%temp%\temp.txt
REGINI.exe % temp % \ temp . txt
REG.exe删除HKCU \软件\微软\ Windows \当前版本\资源管理器\装载点2 /f
REG.exe添加HKCU \软件\微软\ Windows \当前版本\资源管理器\装载点2
转到:eof
2.对于伪装的病毒,可以通过其可执行属性来判断。
除了选择文件夹选项“不隐藏扩展名”,不喜欢显示所有文件扩展名的用户也可以显示“.”。exe”这样扩展可执行文件,这样伪装成病毒的文件或文件夹就会多一个”。exe”。
以管理员身份运行以下批处理:
@关闭回声
REG.exe添加HKCR \ exefile/v AlwaysShowExt/t REG _ SZ/f
TASKKILL.exe/im explorer.exe/f
启动%windir%\explorer.exe
转到:eof
要继续运行该批处理而不显示exe扩展名:
@关闭回声
REG.exe删除HKCR\exefile /v AlwaysShowExt /f
TASKKILL.exe/im explorer.exe/f
启动%windir%\explorer.exe
转到:eof
另一种简单的预防方法-组策略-禁用自动播放
操作步骤如下:点击开始→运行→进入gpedit.msc,打开组策略编辑器,浏览至计算机配置→管理模板→系统,双击右窗格“关闭自动播放”,在对话框中选择所有驱动器,确认。
另一种更简单的免疫方法
创建一个txt文本文件,将其命名为Flash Immune,并输入以下代码:
md c:\Autorun.inf\
md c:\Autorun.inf\1234...\
md x:\Autorun.inf\
MD X: \ autorun.inf \ 1234...\ (X代表驱动器号,您可以输入任意多的驱动器号)。
保存退出,将TXT文件转换成BAT批处理文件,双击运行。Autorun.inf文件夹将出现在每个驱动器号的根目录中,并且不能删除,因为它们的文件夹中有不可删除的文件。这样,免疫闪存就制成了。感觉很棒,不是吗
在桌面上创建一个名为Autorun.inf的文件夹,具有只读和隐藏属性,放在不同的驱动器根目录下,也可以达到上述目的[1]。
对于MD C创建的文件夹:\ Autorun.inf \ 1234...\ command,你在windows下看到的是有一个123的文件夹...autorun.inf文件夹下,以后可以删除这类文件夹。
rd c:\Autorun.inf\1234...\
去实现。
autorun.inf
Autorun.inf文件从Windows95开始,最初是在其安装盘中使用,实现自动安装。后来的版本保留了文件,一些内容也可以在其他存储设备上使用。
它的结构有三个部分:[autorun][autorun . alpha][设备安装]。
【自动运行】适用于Windows95以上的系统和32位以上的光盘,需要。
【AutoRun.alpha】适用于基于RISC的电脑光驱,适用系统为Windows NT 4.0,可选。
[DeviceInstall]适用于Windows XP以上的系统,是可选的。
[AutoRun]命令的一部分及其详细解释。
1、默认图标
含义:指定应用程序的默认图标。
格式:
默认图标=图标路径名[,序列号]
参数:
图标文件名:应用程序默认的图标路径名,格式可以是。ico,。bmp,。exe,。dll。当文件格式为。exe和。dll,有时需要使用序列号来指定图标。
序列号:当文件格式为。exe和。dll,该文件可能包含多个图标。这时,你需要用序列号来指定图标。需要注意的是,序列号从0开始。
备注:
在windows资源管理器核心的驱动程序显示窗口中,将显示应用程序的默认图标,而不是设备的默认图标。
图标路径名的默认目录是设备根目录。
2、图标
含义:指定设备显示图标。
格式:
图标=图标路径名[,序列号]
参数:
图标文件名:应用程序默认的图标路径名,格式可以是。ico,。bmp,。exe,。dll。当文件格式为。exe和。dll,有时需要使用序列号来指定图标。
序列号:当文件格式为。exe和。dll,该文件可能包含多个图标。这时,你需要用序列号来指定图标。需要注意的是,序列号从0开始。
备注:
设备显示图标将显示在windows资源管理器内核的驱动程序显示窗口中,而不是设备的默认图标。
图标路径名的默认目录是设备根目录。
当有应用程序默认图标时,此命令无效。
3、标签
含义:指定设备描述。
格式:
标签=描述
参数:
描述:任何文本,包括空格。
备注:
设备描述将显示在windows资源管理器内核的驱动程序显示窗口中,而不是设备的默认描述卷标中。
在非windows资源管理器内核的驱动程序显示窗口中(例如,右键单击设备选择属性),仍会显示设备的卷标。
4、开放
含义:指定设备启用时运行的命令行。
格式:
Open=命令行
(命令行:程序路径名[参数])
参数:
命令行:自动运行的命令行,必须是。exe,。com和。蝙蝠文件。其他格式文件可以使用start.exe或ShellExecute命令打开。
备注:
命令行的起始目录是设备根目录和系统的$ TERM $Path环境变量。
5、外壳执行
含义:
指定启用设备时要执行的文件。(操作系统支持未知)
格式:
ShellExecute=执行文件的路径名[参数]
参数:
执行文件的路径名:设备启用时执行文件的路径名。它可以是任何格式的文件。系统将调用set程序来执行这个文件。
参数:参数,根据执行文件调整。
备注:
命令行的起始目录是设备根目录和系统的$ TERM $Path环境变量。
6.Shell关键字命令
含义:
定义设备右键菜单来执行命令行。
格式:
Shell关键字Command=命令行
(命令行:程序路径名[参数])
参数:
命令行:自动运行的命令行,必须是。exe,。com,还有。蝙蝠文件。start.exe可以打开其他格式的文件。
备注:
命令行的起始目录是设备根目录和系统的$ TERM $Path环境变量。
7.Shell关键字
含义:定义设备右键菜单的文本。
格式:
Shell关键字=文本
参数:
关键字:用于标记菜单,可以用任何字符表示,包括空格。
文本:显示在右键菜单中的文本。您可以使用任何字符,并且不能有空格。
备注:
同一个Autorun.inf文件中,不同右键菜单的关键字不同,同一个右键菜单的关键字相同。
右键菜单文本可以使用&;设置加速键。& amp输出a & amp;。
Shell关键字Command命令Shell关键字必不可少,顺序无所谓。
当没有Open、ShellExecute和Shell命令时,第一个设备右键菜单命令在设备启用时运行。
8、外壳
含义:定义设备启用时要运行的右键单击命令。
格式:
Shell=关键字
参数:
关键词:标记的菜单关键词
备注:
Shell指定的关键字可以在AutoRun.inf文件的任何部分。
OpenShellExecuteShell命令之后的定义具有高优先级。
【编辑此段】常见u盘病毒autorun.inf的内容和结构:
[自动运行]
//指示自动运行部分的开始。
Icon=X:\ "icon "。图标资源文件
//给X盘一个图标。
Open=X:\ "程序"。exe或“命令行”
//双击X盘执行的程序或命令。
Shell\ "keyword" = "将显示的内容添加到鼠标右键菜单中"
//右键单击菜单添加选项
Shell\ "keyword \ command = "要执行的文件或命令行"
//选择右键菜单添加执行程序或命令的新选项。
[3][4]
【编辑本段】【AutoRun.alpha】命令简介。
[AutoRun.alpha]中的命令与[AutoRun]中的命令相同,只是[AutoRun.alpha]的优先级高于基于RISC的计算机光盘中的[AutoRun]。
[DeviceInstall]一些命令及其详细解释
驱动程序路径
含义:定义搜索驱动目录。
格式:
DriverPath=驱动程序路径
参数:
驱动程序路径:驱动程序所在的路径,包括其子路径。
备注:
Windows XP及以上支持。
仅支持CD-ROM。
当系统检测到新设备时,它会提示用户找到该设备的驱动程序。当用户点击此光盘时,当[DeviceInstall]部分存在时,系统将按照DriverPath标记的路径查找驱动程序。未标记的路径系统将忽略该搜索。当[设备安装]部分不存在时,系统将执行完全搜索。
如果不想让系统在这个光盘里搜索驱动,只需要添加一行[DeviceInstall]就可以了,不需要DriverPath命令。
系统按照以下方式识别该文件:
插入u盘时,系统会根据这个自动运行在注册表下创建一个u盘的关联项【HKEY _当前_用户\软件\微软\ Windows \当前版本\资源管理器\挂载点S2】。INF文件,这样双击就会打开指定的程序(如病毒程序)。
如何删除Windows 2000/XP下的autorun.inf文件夹?在命令提示下,输入rd(文件夹路径)以删除文件夹。
如果文件夹中有内容,可以用deltree替换rd删除。
========================================================================
清除自动运行病毒的批处理文件代码
插入USB闪存驱动器
首先,创建一个新的文本文档,并在其中添加以下内容:
@打开回声
taskkill/im explorer.exe/f
Rem结束病毒进程(以u.vbe,u.vbe病毒的进程为例)
taskkill/im w.exe
start REG add HKCU \软件\微软\ Windows \当前版本\资源管理器\高级/v ShowSuperHidden/t REG _ DWORD/d 1/f
开始注册导入kill.reg
del c:\autorun。* /f /q /as
del % SYSTEMROOT % \ system32 \ autorun。* /f /q /as
del d:\autorun。* /f /q /as
del e:\autorun。* /f /q /as
del f:\autorun。* /f /q /as
del g:\autorun。* /f /q /as
del h:\autorun。* /f /q /as
del i:\autorun。* /f /q /as
del j:\autorun。* /f /q /as
del k:\autorun。* /f /q /as
del l:\autorun。* /f /q /as
开始explorer.exe
= = = = =到此为止(此行无需复制)= = = = = = = = = = = = = = = = = = = = = = = = = = =
其次,打开我的电脑,在菜单栏选择“工具-文件夹选项-查看”,取消选择“隐藏已知文件类型的扩展名”-确定-退出窗口。
再次将新建文档的文件名从“new text document”。txt" to "u.vbe病毒清除。蝙蝠”。
最后直接双击即可清除病毒!
另外,对于杀毒软件(如超级巡逻)生成的这类文件夹,可以使用DOS命令快速干净地删除。方法如下。
假设autorun.inf文件夹在D盘,操作如下:打开Start,选择run,输入CMD,打开命令行窗口,在命令行窗口输入以下命令:
第一步:输入d:然后按回车键。
第二步:输入rmdir /s autorun.inf,回车。
第三步:出现提示时,按“Y”并按回车键。
其他盘可以按照这个方法执行!!!
【编辑本段】Autorun.inf相关知识
众所周知,用磁盘启动本身就是Autorun.inf,那么,文件夹呢?
其实这个功能在Windows 2000SP4之后已经完全取消了,就是Desktop.ini和Folder.htt。
这两个文件中,Desktop.ini用于记录文件夹背景、图表等信息。Folder.htt用于记录文件夹启动时自运行的程序。有点像瑞星隔离文件夹。双击可自动启动隔离系统。但被病毒利用后,微软禁用了Folder.htt,所有功能只能依靠Desktop.ini。
我的情况是格式化u盘。