怎样手工清除autorun病毒
Autorun病毒如今已经式微,但是仍然有一些新病毒用这种方式传播,实在是因为这种方式很方便但又很快速。并且也有一些新的保护自己的方法出现。例如宅男病毒(sola)的新版本就算是其中的佼佼者。
要手工杀这类病毒,重要的一点是要知道如何判读autorun.inf文件,从这个文件找到病毒的线索。病毒最先开始进入你的系统就是从这个文件开始的,然后又用这种方式埋伏于硬盘各个分区和移动磁盘中。
这个文件是典型的inf安装信息文件,因此它总是有一个段是用来告诉windows它需要运行的程序是谁在哪儿。举例有一个U盘病毒的autorun.inf文件内容如下:
[autorun]
OPEN=EXPLORER.EXE
shellopen=打开(&O)
shellopenCommand=EXPLORER.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=EXPLORER.EXE
其中方括号[autorun]就表明其下这个段适用于系统的“自动运行”,第一行将在U盘盘符的右键菜单中增加一个名叫OPEN的项,并且如果没有其他语句定义默认项,它就将是加粗的默认选项,也就是说,在左键双击时会选中这条。等于号右边就是将会运行的程序,名叫EXPLORER.EXE,这个看起来与系统的“资源管理器”一样,其实不是,这个文件按照病毒作者的意思是在U盘根目录下,它应该就是病毒母体,一般情况下,它运行之后会进一步在系统中生成其他病毒文件,当然也有一些简单的病毒只是把这个文件和autorun.inf文件复制到其他分区中。
第二行厉害一些,相对来说,第一行会在右键菜单中出现中文系统中不常见的OPEN选项,警惕性高一点的用户会有所发现。而第二行就会直接隐藏了原来的“打开”项,你即使在右键中选择“打开”也会使EXPLORER.EXE文件得以运行。不过,第二行仅仅是产生了一个右键的菜单项,第三行才告诉系统这个菜单项应该运行什么,同样的它也是指向的EXPLORER.EXE这个病毒文件。而在第四行,它使得用shellopen定义的这一项成为右键菜单的默认选项。下一行的shellexplore=资源管理器(&X)则隐藏了原来的右键“资源管理器”菜单项,用自己的病毒来取代了。
注意到,它用shellopen和shellexplore来定义右键菜单时,对应的shellopenCommand和shellexploreCommand,其中在Command之前的内容必须和前面是完全相同的。其实,也可以简单的用shellA对应shellACommand,比如shella=打开(&O),然后shellaCommand=XXX.exe也是一样的效果,不一定非得是shellopen=打开(&O)。
这个例子里,EXPLORER.EXE是位于U盘根目录中的病毒,还有一个例子是位于U盘auto目录下的,它类似这样:
OPEN=auto/virus.exe。
病毒不一定都是直接运行可执行文件的,它也可以用批处理来开始第一步,所以有这样的写法:
OPEN=cmd.exe /c virus.bat,或者 OPEN=wscript.exe virus.vbs
这里的病毒就是批处理,这里是用系统的cmd.exe和wscript来解释运行病毒的批处理。cmd.exe和wscript.exe都不是病毒,看到这样的内容时千万不要错误的把系统文件当成病毒来删除了。
同样的例子还有这样的:OPEN=rundll32.exe virus.xxx start,这里,rundll32.exe也是系统文件,病毒是virus.xxx,而start是在virus.xxx中提供的一个类似接口的参数。
知道了病毒文件是哪个,就可以开始对付病毒了。第一步是要结束掉病毒的进程(如果它有的话),在运行中的病毒文件是受系统保护的。很多时候我们会郁闷的发现我们结束不了病毒的进程,就需要想办法了,用工具软件是一种办法,比如冰刃可以直接在不结束病毒进程的情况下删掉多数病毒文件。类似的工具还有unlock、xuetr、wsysechek等等。也可以用PE工具进PE环境中删除。还可以先禁用shellHWDetection服务,重启后这个靠autorun.inf自动运行的病毒就不会再运行了。
但是,很多时候病毒并不会仅有这一个,有时当我们删掉了autorun.inf文件之后,会发现它还会再次出现,此时就可以肯定还有别的病毒文件了。对付这些病毒仍然需要先找到目标才有办法。以后有机会再谈了。不过,作为一种变通的解决方法,我们可以制造一个与已知的病毒文件同名的文件或文件夹并想法让它不能被改写和删除,便可以阻止病毒文件被重新生成,这种方法可称为免疫,也可以免疫autorun.inf文件。
怎样手工清除autorun病毒相关推荐
- 手工清除AUTO病毒
Auto病毒查杀 我的好几个同事都中了这种病毒,症状是双击盘符不能打开,要用右键打开,右键菜单上多了Auto一项,用杀软杀过后又变成用打开方式的方法打开. 解决手段: 1.打 开任务管理器(ctrl+ ...
- autorun病毒手工清除办法
autorun病毒清除办法 首先建立一个.text文本文件,把下面内容复制到里面: @echo on taskkill /im explorer.exe /f taskkill /im wscript ...
- Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程
Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程 ...
- 灰鸽子病毒手工清除方法
灰鸽子病毒手工清除方法[多图] www.rising.com.cn 2005-2-1 9:50:00 信息源:瑞星公司 作者:刘明星 广告 灰鸽子(Backdoor.Huigezi)作者现在还 ...
- u盘显示项目不在计算机zhng,U盘autorun病毒清除大法
先把u盘插上,再新建个文本文档,在里面添加以下内容: @echo on taskkill /im explorer.exe /f taskkill /im w.exe start reg add HK ...
- 手工查杀病毒常见文件型分析总结
很久没写点自己的东西了,今天更新点这么久来积累的一点关于病毒查杀方面的东西,希望对大家日后遇到常见病毒,各种顽固病毒都能有应对的策略. 希望我的这些经验能对大家以后查杀病毒有所帮助,不足之处请高手指点 ...
- 跟恶意插件的较量:手工清除Orzhz广告程序
***病毒,大家对之都是深恶痛绝的,我也是,所以平时只要遇到了就用360安全卫士进行查杀,一般都可以搞定了,如果不行就在安全模式下用360系统急救箱(原360***专杀大全)也能清除掉,可是前 ...
- 转载《利用Windows系统自带命令手工搞定病毒》_原水_新浪博客
转载 360软件百科的文章,其实WINDOWS有很多的命令我们不熟悉,你认真看下就会发现其他的操作系统其实就是这样做的,只是我们没有想到WINDOWS也可以这样做. 利用Windows系统自带命令手工 ...
- macOS上修复感染autorun病毒优盘
烦恼 作为老师,我经常需要带着优盘到教室.可是最近一段时间,只要一往教室电脑上拷贝幻灯,优盘立即中毒. 这个病毒,就是打印店最常见的autorun病毒.它利用优盘自动执行文件的安全漏洞,感染所有外接U ...
- 编写autorun病毒免疫工具
autorun病毒的危害相信中过招的人都有体会.其最大的特点就在于很难清除干净,现在可以提前对系统分区做一次免疫工作,而那些已经中了autorun病毒的用户也能顺便将病毒清除. ...
最新文章
- c++中的基本知识点
- 在java中如何实现声音,我如何在Java中播放声音?
- Zend Studio使用教程之升级Zend Studio(1/3)
- 提高级:初等数论 威尔逊定理
- 信息学奥赛一本通 2028:【例4.14】百钱买百鸡
- java编译时注解_简单介绍 Java 中的编译时注解
- 典型微型计算机的基本结构包括,第二章 微型计算机基础.doc
- SSO之CAS单点登录实例演示
- Python+Android进行TensorFlow开发
- delphi自带控件操作excel
- 不想996的程序员不是好老板(上)
- 冰桶挑战”的火爆程度与朋友圈?
- 编译程序和解释程序有什么区别?
- Python调用华为API进行图像标签
- GeekChallenge2020
- TypeScript中any、unknown、void、never类型讲解
- 分页功能的实现代码 与 分页查询
- 清除电脑各种使用记录不留痕迹,保护你的隐私!
- 热敏打印机 java实现根据打印机名字实现分别打印小票
- 科技碰撞:元宇宙与虚幻引擎,被掩盖的底层逻辑何在?