AutoRun.inf病毒的解决

游天戏水

在下近日中了某木马，有些不爽。
经过一番折腾，终于砍掉了，那么也把心得告诉大家吧。

对病毒木马一头雾水的朋友，以下蓝字可以不看，直接下载附件去吧。（因为看了你会更晕。）

这种病毒在每个驱动器下都有一个卷标AutoRun.inf文件，只要你双击驱动器，就会激活病毒，我们需要手工来删除AutoRun.inf这个文件，在“命令提示符”下输入“attrib
autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性，这样输入“del
autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项，找到后将整个shell子键删除。
解决的具体方法如下(以D盘为例)：
开始---运行---cmd（打开命令提示符）
D: dir /a a* （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除 autorun.inf ，
del autorun.inf
到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe，
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
DESKTOP.exe
找到的第一个就是D盘的自动运行，删除整个shell子键
完毕.
重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘
Shell/Open/Autorun的时候顺便都删除了吧。



rose病毒：
症状：双击盘符无法打开，只能通过右键打开；

传播途径：U盘、MP3、移动硬盘
检查方法：将文件夹选项--查看中的"隐藏受保护的操作系统文件（推荐）"前的勾去掉，并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符，如果发现有“rose.exe”和“AUTORUN.INF”文件，则已中毒。
解决方法：
手动：
结束rose.exe进程，然后删掉以下文件：各个盘符下的autorun.inf和rose.exe文件（包括自己的U盘等），c:/windows/system32/run.reg，c:/windows/system32/systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间)，d:/systemfile.com文件；最后将注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面的dll键值删掉，然后重启即可。

顺便说一下附件。附件里有两个东西，一个是[Auti-rose-v1.1]，此程序是用来杀rose病毒的，不管有没有中rose病毒，也建议运行查杀一下。还有一个是[开启关闭自动播放程序]，这名字听起来有点拗口。运行它之后，按0就可以了，是按阿拉伯数字-零，不是英文O。

（如果这个无效果，那么9楼还有一个附件，试着用一下吧。）

游天戏水

哦，再补充一下。
为了防止Autorun.inf再骚扰你，你可以在C，D，E，F每个盘的根目录下建立一个文件夹，文件夹的名字叫做Autorun.inf
是不是挺好玩~这是利用“病毒再生原理反制效应”:victory:
然后再把这个名字叫做Autorun.inf的文件夹隐藏就可以了。此文件夹零字节，根本不影响你的电脑。从此对Autorun的病毒就免疫啦:lol :lol :lol

victorstrife

不过还是路过支持一个好了,毕竟是LZ自身体验,让大家分享也好.
可是杀毒可不是这样就能杀好D...呵呵...:P

光之国

等我试一试先!:lol

再生侠IV

:L 这个病毒 N年前就中过   不能直接打开硬盘分区   ````  用个专杀就行了

重生の红狼

autorun这个病毒几乎每家单位机关,公司网吧都中过,通过U盘传染实在很难根治.

本来应该加点分的,可惜本区暂时不归我管.

HNO3_shylock

貌似在国内，这个U盘的毒很盛行的样子…………
LZ不错的方法，学习一下～～

dcken

纯路过...多谢楼主...

游天戏水

如果1楼给出的附件不能完全查杀，那么请用这里的附件再查杀一次。应该就可以了。:loveliness:

ajaxzhou2633

我滴bookbook中标了～～:time:

小熊飞飞

这么简单就行了?看来木马不是很厉害...

指挥官

俺又学了一点，谢谢

kof95zhm

Autorun.inf文件夹。。。。
这个想法好啊