鉴别方法 这个病毒有着非常明显的外部特征,但是却又常常容易被忽略。之所以容易忽略,是因为它并不会令电脑变慢,所以很多人就不注意到。但是如果我们在双击打开U盘时,不是在当前窗口打开,而是在新窗口中打开,那么则有可能中毒了。这时可以在“我的电脑”中右击盘符,看其最上方的一项命令是什么,如果为“Auto”,而不是正常的“打开”,那么中毒的可能性则进一步增大;但要确认中毒,还需要我们在地址栏中输入E:autorun.inf(E盘需换成实际的盘符),如果打开的文件中open行后所跟的文件是sxs.xls.exe这样的文件,那么则肯定中毒了。 编辑本段应对策略 1、 在插入U盘时按住键盘 shift 键直到系统提示“设备可以使用” ,然后打开U盘时不要双击打开,也不要用右键菜单的打开选项打开,而要使用资源管理器(打开我的电脑,按下上面的“文件夹”按钮,或者开始-所有程序-附件-windows资源管理器)将其打开,或者使用 快捷键winkey+E打开资源管理器后, 一定通过左侧栏的树形目录打开可移动设备 !(要养成这样的良好习惯) 2、如果盘内有来路不明的文件,尤其是 文件名比较诱惑人 的文件,必须多加小心;需要特别提示的是,不要看到图标是文件夹就理所当然是文件夹,不要看到图标是记事本就理所当然是记事本, 伪装图标 是病毒惯用伎俩。 3、要有 显示文件扩展名 的习惯 。方法:打开“我的电脑”,工具--文件夹选项--查看,去掉“隐藏已知文件类型的扩展名”的勾,建议选择显示扩展名同时选上“显示隐藏文件”,去掉“不显示系统文件”的勾,这样可以对病毒看得更清楚。有图标的诱人的病毒文件基本都是可执行文件,显示文件扩展名之后,通过文件名后的".exe"即可判断出一个文件可执行文件,从而不会把伪装的病毒可执行文件误认为是正常文件或文件夹。 4、最后不管你用什么办法,或者用什么软件,插入U盘然后用这个方法检验你有没有中Autorun.inf型病毒的风险。 下面这个批处理可以检验你插入或打开U盘时是否有激活病毒的风险。运行这个批处理,然后按提示操作。注,批处理使用方法:打开开始菜单-附件-记事本,复制批处理内容进去,文件-另存为-文件名:xxxxxxx.bat,保存类型:所有文件-保存。然后找到你保存的位置,会出现一个批处理文件,双击运行即可。 @echo off&setlocal enabledelayedexpansion echo 请在U盘和电脑没有病毒的情况下插入一个U盘&set /p "d=请输入U盘的盘符(比如输入H): " set "d=!d:~0,1!"&set "a=autorun.inf.!random!.tmp" if exist !d!:\autorun.inf attrib.exe -s -h -r !d!:\autorun.inf&ren !d!:\autorun.inf !a! (echo [autorun]&echo open=calc.exe&echo shellexecute=calc.exe&echo shell=explore echo shell\open\command=calc.exe&echo shell\explore\command=calc.exe)>!d!:\autorun.inf echo 现在删除并重新插入U盘&echo 打开U盘,如果出现"计算器"&echo 说明你有中Autorun.inf类型病毒的机会 echo 完成后按任意键继续&pause>nul del !d!:\autorun.inf&if exist !d!:\!a! ren !d!:\!a! autorun.inf&goto :eof 推荐的其他方法: 1、推荐一种彻底拒绝Autorun.inf类型病毒的方法. 运行下面这个批处理,就可以保证插入以及打开磁盘时不中病毒(不会占用计算机资源,运行一次即可对当前用户名生效): @ECHO off REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 []>%temp%\temp.txt REGINI.exe %temp%\temp.txt GOTO :eof 如果想再恢复Autorun.inf功能运行这个批处理: @ECHO off ECHO HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 [7]>%temp%\temp.txt REGINI.exe %temp%\temp.txt REG.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f REG.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 GOTO :eof 2、对于伪装型病毒,可以通过它的可执行属性判断出来。 除通过选择文件夹选项“不隐藏扩展名”外,不喜欢显示所有为文件扩展名的用户还可以通过这种方式将可执行文件的特征--".exe"扩展名显示出来,这样病毒伪装成的文件或文件夹会多出一个".exe"。 以管理员身份运行下面的批处理: @ECHO off REG.exe ADD HKCR\exefile /v AlwaysShowExt /t REG_SZ /f TASKKILL.exe /im explorer.exe /f START %windir%\explorer.exe GOTO :eof 要恢复不显示exe扩展名运行这个批处理: @ECHO off REG.exe DELETE HKCR\exefile /v AlwaysShowExt /f TASKKILL.exe /im explorer.exe /f START %windir%\explorer.exe GOTO :eof 另一种简单的预防方法 组策略-禁用自动播放 操作步骤为:点击开始→运行→输入gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,在右边窗格中双击“关闭自动播放”,对话框中选择所有驱动器,确定即可。 另一种更为简单的免疫办法 建立txt文本文件,命名为闪存免疫,输入以下代码: md c:\Autorun.inf\ md c:\Autorun.inf\1234...\ md x:\Autorun.inf\ md x:\Autorun.inf\1234...\(X代表盘符,你有几个盘就可以输入几个) 保存退出,并将TXT文件转化为BAT批处理文件,双击运行,在各个盘符的根目录下会出现Autorun.inf文件夹,并且因为它们的文件夹内有不可删除文件所以该文件夹也无法删除。这样,免疫闪存就做成了。感觉非常棒吧 在桌面上建立一个名为Autorun.inf的文件夹加上只读及隐藏属性,分别放入不同的盘符根目录中同样也可以达到以上目的 [1] 对于md c:\Autorun.inf\1234...\命令建立的文件夹,在windows下看到的是Autorun.inf文件夹下有一个123..的文件夹,以后要再删除该类型文件夹可用 rd c:\Autorun.inf\1234...\ 来实现。 还有一种保护的方法 运行windows优化大师,系统优化->系统安全优化->禁止光盘、u盘等所有磁盘自动运行->优化,也可以使您的系统更安全。 保护U盘的方法 U盘对病毒的传播要借助autorun.inf文件的帮助,病毒首先把自身复制到u盘,然后创建一个autorun.inf,在你双击u盘时,会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建,那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个,但是不管给autorun.inf设置了什么属性,病毒都会更改它,我提到的方法就是,在根目录下,删除autorun.inf文件,然后,根目下建立一个文件夹,名字就叫autorun.inf,这样一来,因为在同一目录下,病毒就无能为力,创建不了autorun.inf文件了,以后会不会出新病毒,自动去删文件夹,然后再建立文件就不知道了,但至少现阶段,这种方法是非常有效的。但是,由于这个文件夹可以被改名,因此许多新的木马和病毒采用改名后再创建autorun.inf文件来达到感染U盘的目的。不过对于安全意识强的用户,用这种方法来判断自己的U盘是否遭到感染也未尝不可。不过这种方法也有缺陷。 事实表明,目前已经有新的病毒能够有意识地检测autorun.inf的存在,对于能直接删除的则删之,对于“无法删除”的则用重命名的方式毁之;此时,你可以在autorun.inf文件夹下面,用CMD命令建立畸形文件夹就可以很好的防止autorun.inf被病毒删除了. 还有一种很早就出现的以文件名诱骗用户点击的病毒(如:重要文件.exe,小说.exe)。对于以上这两种传播方式的病毒,仅仅建立autorun.inf文件夹是抵御不了的。
记得采纳啊
记得采纳啊
温馨提示:内容为网友见解,仅供参考
第1个回答 2014-05-01
没有中毒,这个文件是某些由某些安全软件创建的用于预防autorun.inf病毒用的,这样autorun.inf文件就无法被创建。这个autorun.inf是写有保护的,如果想去掉可以格式化U盘。
第2个回答 推荐于2018-11-19
解读autorun.inf 由于计算机在系统运行时会自动搜索盘符目录下的Autorun.inf配置文件,并根据其内的文件自动运行加载其内设置好的命令。其实Autorun.inf就是一个文本形式的系统配置文件,用户可以用文本编辑软件进行编辑(注:该文件只能位于驱动器的根目录下时,才能实现启动加载),该文件包含了需要自动运行的命令,如需要运行的程序文件、改变的驱动器图标、可选快捷菜单内容等等。 病情描述 当用户在选择:工具-文件夹选项—查看—显示所有文件和文件夹时,计算机无法显视出autorun.inf文件,任意点击C、D、E盘符时会另外打开窗口,而U盘、MP3等第三方存储盘更是如此,插入计算机后,画面文件一闪即过,想查看主目录下的autorun.inf文件,却发现文件以悄然不知所踪。当用用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件,盘符右击,目录中出现AUTO或两个打开字样(粗字体,细字体)信息等情况,利用命令msconfig查看开机启动项中发现有莫明其妙的SocksA.exe。种种这一切给用户带来了很大程度上的困绕。 解决方法 面对以上的情况,有些用户只能重新GHOST计算机了。但根据笔者的亲身经历方法还是有很多,这里提供一种方法让用户尝试。 1.让文件不再隐藏 打开运行项在其内输入regedit调出注册表界面依次展开键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL删除CheckedValue键值,单击右键 新建—>Dword值—>命名为CheckedValue,然后修改它的键值为1,此时即可查看并删除盘符下的autorun.inf隐藏文件了。或者打开开始菜单在运行项中输入CMD调出窗体,在盘符下输入命令attrib,此时便可查看是否有一个名为SH autorun.inf的文件,完成后即可接着输入命令attrib空格-s空格-h空格autorun.inf即可更改其属性为非隐藏,用户只要打开相应的盘符即可看到此文件,将其删除即可。 小提示:attrib 命令是用来设置文件属性 ,attrib +s或-s [文件名] 设置文件属性是否为系统文件 ,attrib +h或-h [文件名] 设置文件属性是否隐藏。 2.删除病毒 在分区盘上单击鼠标右键—>打开,看到每个盘跟目录下有autorun.inf 和tel\.xls\.exe 两个文件,将其删除,U盘同样。并在依次打开开始菜单中的:运行-mscionfig-启动-删除类似sacksa.exe、SocksA.exe之类启动项目,或者运行regedit调出注册表,在其内找到HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Run 删除类似C:\ WINDOWS\system32\SVOHOST.exe 键值项即可。 3.清除病毒遗留 打开我的电脑C盘,在WINDOWS\ 与WINDOWS\system32\ 目录下删除SVOHOST.exe、session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件。(小提示:每个文件夹都有两个,因为病毒原因导致系统产生两个一样的文件,其中有一个类似文件,用户在删除时一定要注意不要误删除),重新启动电脑后系统将一切正常。 后记:隐藏病毒文件并不可怕,可怕是不知其原理而盲目下手,困此而导致系统文件损坏,系统崩溃无法启动,当用户重新对C盘格式化,利用ghost软件恢复系统后,如果其他盘符不进行格式化,那么病毒与隐藏文件将依然存在。用户只有在明白了病毒原理的情况下,才能彻底解决所带来的困惑!本回答被网友采纳
第3个回答 2014-05-01
这个不是病毒,是因为电脑里安装的杀毒软件的所产生的文件,不用去管他的…
第4个回答 2014-05-01
这个是免疫文件 你电脑应该是安装了杀毒软件 而且开启了U盘杀毒 这个文件是防止病毒侵入的
相似回答
