AcerHwang 发表于 2007-10-28 01:49:16

关于随身碟是否可能传染病毒的检查/清除/预防及关闭自动播放的方法

关于随身碟是否有传染病毒可能的人工检查方法

请注意 : 这方法只能确定你的随身碟(或姆指碟)是否有传染病毒给电脑的可能,
         不是用来找到随身碟内所有的电脑病毒. 另外, 目前只在 Windows XP 下确认过.

如果你的随身碟从来没安装或设定让它接上电脑后自动执行某个程式, 可是却在随身碟的
主目录下有 AUTORUN.INF 这个档案, 那请小心了. 可能随身碟感染病毒了. 当然如果是
买入时, 厂商就有内附应用程式, 那是另一回事.

可是正常情况下, 打开那些资料夹还不一定看的到, 因为它会设定自己是隐藏档案属性, 要
看到它, 请把隐藏档案显示功能打开 :

先打开档案总管, 下拉 "工具" 选单, 再选择 "资夹选项" (如下图) :
https://blog.edoors.com/gallery/1755/1755-34819.jpg

切到 "检视" 那一页, 再点选"显示所有档案和资料夹", 之后再按 "确定" 离开.
https://blog.edoors.com/gallery/1755/1755-34817.jpg

这时可以到随身碟的目录去找找是否有 AUTORUN.INF 这个档案或病毒档了.

确定有著不该有的档案时, 不要急著删掉它, 用 notepad(记事本)程式打开它看一看,
这种病毒的特色就是会自己报告自己在哪儿(目前是如此)! 打开后内容可能类似这样 :


open=msn.exe
shellexecute=msn.exe
shell\auto\command=msn.exe
shell=open

这表示病毒会存在随身碟的主目录下, 但它有时会换位置, 名字也不一定一样 :


open=\RECYCLER\NTDETECT.EXE
shellexecute=\RECYCLER\NTDETECT.EXE
shell\auto\command=\RECYCLER\NTDETECT.EXE
shell=open

这是躲到垃圾桶资料夹去了, 而且用的几乎常是 Windows 系统或应用程式的名字.

但是, 也遇过 : 系统被动了手脚, 显示设定改好会自动又被改回去的情况. 这时请用另一个
方法查看, 参考下述 :

先执行 DOS windows(这里以 widnows XP 为例), 先按 "开始", 再按 "执行(R)...", 出现
视窗后, 输入 cmd (如下图所示), 再按 "确定" :
https://blog.edoors.com/gallery/1755/1755-34820.jpg

再参考下图输入指令, 检查是否有 AUTORUN.INF 档案存在及其内容, 黄字是说明 :
https://blog.edoors.com/gallery/1755/1755-34822.jpg

如果不存在, 则会说找不到档案 :
https://blog.edoors.com/gallery/1755/1755-34823.jpg

如果真找到了, 那到底是不是中毒呢? 很简单, 通常 AUTORUN.INF 是给光碟或随身碟这类
储存媒体用的, 如果在电脑内的硬碟主目录下也有这个档案, 内容还一模一样, 八九不离十
是不只是随身碟, 可能电脑也中毒了. 但也可能防毒程式已删掉病毒了, 还留著这个档案,
得留意一下此情况.


关于随身碟病毒的应急清除方法

其实正确方法是用已更新至最新病毒码的防毒程式整个清查一次, 一来确定真的是病毒,
二来可能还有其它的病毒存在, 因为这类病毒有时会呼朋引伴或生出/感染其它的程式.
如果一时间无法连上网路, 使防毒程式无法更新病毒码不能辨识出来, 那就先手动做清除动作
, 做这样的动作只是让随身碟不会在插到别的电脑上时, 再造成感染, 而另一个原因是,
AUTORUN.INF 只是个自动执行程式的参考文字档, 本身不具有病毒程式, 所以防毒程式
即使解决了病毒, 仍会留下该档案(因为防毒程式不能判断原本是否有此档案存在) :

1. 按前述方法确定随身碟内是否真有 AUTORUN.INF 存在, 若有, 则确定是否里面指到的
   程式是否是自己要用的程式.

2. 若确定不是
   一是将 AUTORUN.INF 及指到的程式档删除
   二是若担心是真的有用到该程式, 把 AUTORUN.INF 先改成其它名字

   注 : 在档案总管内做这些动作时, 由于档案会有唯读属性存在, 所以会多问一次
      是否要将唯读档删除或更名, 请按 "是" .
   https://blog.edoors.com/gallery/1755/1755-34818.jpg

   https://blog.edoors.com/gallery/1755/1755-34821.jpg

   如果像上面讲的没办法在档案总管看到, 参考下述:

   先执行 DOS windows(这里以 widnows XP 为例), 先按 "开始", 再按 "执行(R)...", 出现
   视窗后, 输入 cmd (如下图所示), 再按 "确定" :
   https://blog.edoors.com/gallery/1755/1755-34820.jpg

   确定档案属性后, 清掉保护属性, 再删除或改名:
   https://blog.edoors.com/gallery/1755/1755-34824.jpg

3. 有时删除或改名后, 会立刻或不久后, 自动又生出这个档案来, 这代表不只是有中毒
   档案在而已, 病毒程式已经在执行中了, 最好赶快用防毒程式清扫一番了!


关于随身碟的自动执行关闭方法

随身碟病毒之所以能感染电脑, 利用的是光碟及外接式储存装置的自动执行功能, 这功能
是利用一个存在外接式储存装置主目录下, 一个名为 AUTORUN.INF 的档案的记载内容来
自动启动内容所记载的程式. 随身碟病毒利用 windows 在与该装置连线之后, 会找到此
档案来完成自动执行程式的特性(微软称此功能为自动播放)来感染电脑.

因此, 只要将电脑的自动播放功能关闭, 即可防止此类型病毒的主动感染! 当然了, 防毒
程式还是必要的, 如果有人不小心手动去执行自动播放或执行了病毒程式, 还是可能感染
病毒. 所以, 此方法无法防止此类情况的感染.

1. 开启群组原则管理程式)
   先按 "开始", 再按 "执行(R)...", 出现视窗后, 输入 gpedit.msc (如下图所示),
   再按 "确定" :
https://blog.edoors.com/gallery/1755/1755-34816.jpg

2. 点选 "本机电脑原则 -> 电脑设定 -> 系统管理范本 -> 系统" 这一项, 再双按
   "关闭自动播放", 如下图所示 :
   https://blog.edoors.com/gallery/1755/1755-34826.jpg

3. 在 "设定" 这一页, 点选 "已启用", 再下拉选择 "所有磁碟机", 最后记的按 "确定"
   https://blog.edoors.com/gallery/1755/1755-34825.jpg

4. 重开机后即可.


关于随身碟预防被病毒写入 AUTORUN.INF 档案的方法(目前有效, 以后不一定)

在随身碟的主目录建立一个名为 AUTORUN.INF 的目录即可, 哪天这目录突然自己不见了
, 请仔细检查一下, 可能有问题出现或病毒在作怪了.
页: [1]
查看完整版本: 关于随身碟是否可能传染病毒的检查/清除/预防及关闭自动播放的方法