[搬家]一个对付Global/MS-DOS.com的批处理

2008年06月17日 发表评论

原 http://maajiaa.ycool.com/post.2887690.html

发信人: MaaJiaa (Google又好了?), 信区: Virus
标  题: 写好了·对付Global的批处理
发信站: 日月光华 (2008年06月17日19:02:13 星期二), 站内信件

将以下分割线之间的内容复制到记事本,另存为扩展名为.bat的文件
打印店回来按住Shift键插入U盘,然后双击这个.bat,之后就不用担心Global病毒了…
之后再双击或者右键打开/右键资源管理器命令进入U盘,可能弹出选择打开方式,
这只是Autorun.inf删掉以后的后遗症,拔下来重插U盘即可。

其他病毒的话,因为U盘里面所有文件已经都没有隐藏和系统属性,
自己看着删….

P.S. 这个东西只针对打印店回来的U盘,不是帮已经中毒的电脑杀毒…
       已经中毒的电脑如果要杀毒,参考《新·打印店Global病毒解决办法

===============我是分割线===============

@echo *********************************************
@echo 1. 自动清除U盘中的autorun.inf和MS-DOS.com
@echo 2. 自动去掉U盘中所有文件的系统/隐藏/只读属性
@echo 3. 自动匹配文件夹名清除由病毒生成的文件夹.exe
@echo
@echo        撒花感谢vinsonlv@RYGH~~~~
@echo *********************************************
@set /p x=请输入U盘的盘符:
%x%:
del /f /a autorun.inf
del /f /a MS-DOS.com
attrib -s -h -r * /s /d
for /f “delims=” %%i in (‘dir/b/ad’) do del %%i.exe
@echo Finished!

===============我是分割线===============

P.P.S. 写得好小白啊…-,-bbb

Filed under 以毒攻毒 Tagged with , ,

[搬家]新·打印店Global病毒解决办法

2008年06月17日 发表评论

08-07-17日更新:
有部分杀毒之后的遗留问题之前被我漏掉,
详见《Global/MS-DOS/Boom.vbs 病毒后遗症

————————————————————————-

发信人: MaaJiaa (水泡..), 信区: Virus
标 题: 新·打印店病毒Global.exe解决傻瓜版
发信站: 日月光华 (2008年06月16日02:33:07 星期一), 站内信件

根据StriGes@RYGH的测试报告整理的傻瓜版,大家一起撒花赞StriGes~~~~//bow
之前的那篇漏了太多内容,
尤其是这个开关机脚本C:\WINDOWS\Cursors\Boom.vbs
和病毒本体C:\WINDOWS\Help\microsoft.hlp
这两个都是用SREng扫描检查不出的项,却也是病毒最关键的两个东西
因此之前写的作废…

晚上在春晖门口靠小卖部那家打印店采样回来测试完毕。
卡巴斯基病毒库08-06-16 15:08:05 扫描U盘并不报毒,
只有激活病毒以后才会根据病毒的行为判断而报警(激活以后就难以干掉了)

【中毒症状】

  1. U盘文件夹“消失”,被同名的exe文件“替代”,
  2. 无法切换中文输入法
  3. 开机/关机的速度变得很慢(因为要加载病毒脚本)
  4. 进程中有Global.exe和Fonts.exe,结束进程马上自动恢复
  5. 各个硬盘分区根目录下多出来autorun.inf和MS-DOS.com,用WinRAR或者7-zip之类软件可以看到,普通方式查看不到。
  6. 其他一些不明显的症状…

【解决方法】

1. 用XDelBox删除以下文件(右键剪贴板导入不检查路径):

C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Help\microsoft.hlp
C:\WINDOWS\system32\regedit.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\autorun.inf
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system32\dllcache\svchost.exe
C:\WINDOWS\system32\dllcache\Global.exe
C:\WINDOWS\system32\dllcache\tskmgr.exe
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\system32\dllcache\rndll32.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\Cursors\Boom.vbs

以及各个硬盘分区下的

X:\Autorun.inf
X:\MS-DOS.com

以上list导入完毕之后,右键选择立即重起删除,
之后的关机过程可能要等待好几分钟的时间,甚至出现死机,可以强行关机重起。

重起删除后,残留的需要手动清除的病毒尸体还有:
文件夹C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B- 9F08-00AA002F954E}
文件夹C:\WINDOWS\system32\regedit.exe(可能有)
还有病毒创建的一个可能文件名不确定的.tmp文件(整个Temp可以清空)
C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

2. 将以下分内容复制到记事本,保存为扩展名为.reg的文件,然后运行“regedt32”,选择文件–导入,导入刚刚保存的.reg文件。

Windows Registry Editor Version 5.00
; 以分号开头的行为注释的废话
;
; 清除病毒屏保
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="600"
"SCRNSAVE.EXE"=-
"AutoEndTasks"="0"
;
; 修复文件关联
[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSCFile\Shell\Open\Command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,6d,00,\
63,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,00,22,00,20,00,25,00,2a,\
00,00,00
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""
;
; 删除开关机脚本
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts]
;
; 恢复显示com和exe的扩展名
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]
"NeverShowExt"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"NeverShowExt"=-
;
; 清除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
"C:\WINDOWS\system\KEYBOARD.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
@=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"sys"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
@=-
;
; 清除映像劫持
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
;
; 恢复显示系统文件选项相关,这两个键的关系我还没搞太明白
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
;
; MUICache有什么用不大清楚,这一堆似乎不重要
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"=-
"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"=-
"C:\WINDOWS\system32\dllcache\Default.exe"=-"C:\WINDOWS\Fonts\Fonts.exe"=-
;
; 不知道Global在干什么
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components#CONTENT#]
@=""
"Source"=-
"SubscribedURL"=-
"FriendlyName"=-
"Flags"=-
"Position"=-
"CurrentState"=-
"OriginalStateInfo"=-
"RestoredStateInfo"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=-
"Settings"=-
"GeneralFlags"=-
;
; 还是不知道在干什么
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableStatusMessages"=-
;
; 清除残留信息
[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

4. 建议运行“sigverif” 检查文件的数字签名,如果有未经签名验证的文件,
 从别人的机器上拷一个过来覆盖原文件。
 (关于explorer.exe被替换的问题,参考snowflurry发的那篇帖子
 附我用的有点麻烦的方法:
 我发现我的explorer.exe被替换,
 于是我打开任务管理器,结束explorer.exe 的进程,
 然后任务管理器–文件–新建任务–浏览
 找到C:\WINDOW\explorer.exe删除,
 再找到从别人那里拷过来的正确的explorer.exe
 将它复制到C:\WINDOWS下面,选中打开–确定

5. 防毒从养成良好的U盘使用习惯开始,推荐阅读《U盘使用Tips总结

6. 对于U盘里面“消失不见”的文件夹,可以运行(其中X为U盘盘符):

attrib -s -h -r X:\* /s /d

7. 防止再次中招,打印回来的U盘可以用这个批处理文件来清理。

Filed under 以毒攻毒 Tagged with , ,

[搬家]Global.exe/Fonts.exe病毒解决方法

2008年06月1日 发表评论

原 http://maajiaa.ycool.com/post.2878083.html

2008年6月17日更新:
本篇只是根据SREng扫描报告而写,遗漏了重要内容,已作废…
新的解决方法见《新·打印店Global病毒解决方法

2008年7月17日更新:
一些杀完毒之后的遗留问题请参考《Global/MS-DOS/Boom.vbs 病毒后遗症

=====================================

肆虐FD打印店的Global.exe病毒,利用U盘自动播放(Autorun)功能传播。
将U盘下所有文件夹改为系统和隐藏属性,用病毒伪装的exe文件代替,
映像劫持,造成常用杀毒软件、任务管理器、输入法等等无法启动……
P.S. 关于AutoRun和U盘使用以及杀毒后遗症等的更多讨论见《U盘使用Tips总结

【典型症状】

  1. U盘内文件“丢失”:其实是U盘内所有文件夹被加上了隐藏和系统属性,再以[文件夹名.exe]的病毒文件来冒充。
  2. 无法输入中文:ctfmon.exe被病毒映像劫持。
  3. 屏幕上有“This computer is being attacked”字样的对话框飞来飞去,如下图所示。对于这一点,除了恶趣味,再找不出其他词来形容了。

 

【需要用到的工具】

SREng
下载地址:http://www.kztechs.com/sreng/download.html
使用方法:http://www.kztechs.com/sreng/help2/

XDelBox
下载地址:http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0

【解决方法】

用XDelBox删除以下文件(选择重起后删除,若提示文件找不到,无视之):

C:\WINDOWS\pchealth\Global.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system\KEYBOARD.exe
C:\WINDOWS\Fonts\Fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe

以及各个硬盘分区下的

X:\MS-DOS.com
X:\Autorun.inf

用SREng修复文件关联项

.REG  Error. [C:\WINDOWS\pchealth\Global.exe]

同样用SREng或者运行C:\WINDOWS\system32\regedt32.exe删除以下注册表启动项

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <><C:\WINDOWS\system32\dllcache\Default.exe>
    <><C:\WINDOWS\system\KEYBOARD.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <><C:\WINDOWS\system32\dllcache\Default.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <sys><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>

运行regedt32.exe,找到类似于以下的映像劫持项,即Log启动项里带IFEO的项,删除之:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
    <IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\autoruns.exe]
    <IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
    <IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
    <IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
    <IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
    <IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>

P.S. 通常xxx.exe的主键下会有一个名为debugger的字符串值,删除这个即可。
  人觉得可以对于xxx.exe这样的主键也可以整个都删除。
  注册表操作建议先导出备份。
  另外这些映像劫持也可以用IFEO修复工具修复(我没用过),
  下载地址:http://www.dodudou.com /down/download.php?fname=./02.常用工具/IFEO.rar

之后用杀毒软件全盘扫描一下,另外再看看有没有C:\WINDOWS\system32\regedit.exe,图标是一个文件夹,有的话删除之,正确的regedit.exe应该在C:\WINDOWS\下面。

(感谢StriGes@RYGH提供regedit.exe的相关信息)

Filed under 以毒攻毒 Tagged with , ,

[搬家]U盘使用Tips总结

2008年05月19日 发表评论

原 http://maajiaa.ycool.com/post.2870695.html

  版权:知识共享署名 – 非商业性使用 – 相同方式共享 2.5 中国大陆
  参考了btlulu@日月光华所写的《autorun病毒防治FAQ》,以及日月光华BBS Virus版精华区,在此向各位大大表示敬意~
  本文只介绍最基本最普通的应对autorun.inf的方法,至于U盘病毒免疫等等并不作详细介绍。
  此外,对于硬盘根目录下的autorun.inf,也可按本文类似处理。

一、防止病毒利用autorun.inf感染系统

  所谓的autorun并非某种病毒的名称,只是病毒感染系统的一种途径。具体来说就是通过在移动存储设备或者硬盘的根目录下创建 autorun.inf文件,来帮助触发病毒。
  autorun.inf通常可以实现两种功能:
  一是自动播放,例如将安装光盘放入光驱后会自动运行安装程序,将U盘插入后会自动释放病毒。
  二是修改屏蔽原来的“打开”“资源管理器”等菜单命令,使之与病毒关联。此时双击U盘或者右键菜单选择“打开/资源管理器”也会触发病毒的运行。

【应对方法】
 1. 防止病毒自动运行
  〖暂时禁用〗
  插入U盘时按住shift键,直到该设备完全被识别。即可暂时禁止U盘自动播放
  〖彻底禁用〗
  方法一:组策略编辑器
  运行gpedit.msc,找到[计算机配置--管理模板--系统--关闭自动播放]或者[用户配置--管理模板--系统--关闭自动播放]
  该项目共有三个选项:不禁用/禁用光驱(实际上是禁用光驱和U盘等移动设备)/禁用全部
  方法二:注册表编辑器
  运行regedit,找到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] (与组策略中用户配置对应)或者[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] (与组策略中计算机配置对应)
  把这主键下的<NoDriveTypeAutoRun>键的十六进制键值改为FF,然后重新启动,即可禁用全部的自动播放。(关于 NoDriveTypeAutoRun不同键值的说明参考http://support.microsoft.com/kb/136214/EN-US/

 2. 正确的打开U盘途径
  既然病毒有可能会修改“打开”“资源管理器”等菜单命令,因此绝对不要双击打开U盘,或者用右键菜单里的这两项。
  最方便的方法是点击我的电脑上方工具栏的“文件夹”,然后从左侧导航栏进入U盘。
  也可以在我的电脑上方的地址栏直接输入“U盘盘符:”然后回车。

二、清除U盘内的病毒

  病毒的劣迹首先当然是复制自身到U盘,其次很多病毒还会把U盘中原有的文件改成隐藏属性,然后用自身来冒名顶替。例如比较常见的打印店Global会把U盘内所有文件夹都改成隐藏,然后创建“文件夹名.exe”的程序,欺骗用户点击触发病毒。这在那些文件夹选项设置为“不显示隐藏文件”以及“隐藏已知文件类型的扩展名”的系统中,就只能看到由病毒伪装的内容。因此很多人即使用正确的方式打开了U盘,不注意区分病毒伪装还是会中招。

【应对方法】
  这个不用废话,直接拿杀毒软件扫描U盘即可。
  或者按正确的方法打开U盘手动把看不顺眼的autorun.inf以及不是自己创建的.exe,.vbe等等文件统统删掉(病毒通常为隐藏属性,需要设置显示隐藏文件)。

三、善后工作

  杀毒软件虽然会清除病毒,但是autorun.inf本身并不是病毒,因此不会被自动清除。所以有时候杀过毒的U盘再双击会无法打开。此外,由于病毒把文件属性全部改成了隐藏,因此在“不显示隐藏文件”的系统上看,好像是U盘杀过毒之后什么东西都没有了。

【应对方法】
 1. 清除残留的autorun.inf
  对于autorun.inf的残留,只要按照之前提到的正确方法进入U盘,然后手动删除autorun.inf(有可能它是隐藏属性),之后拔掉U盘重新插上即可。

 2. 显示被隐藏的文件
  方法一:[我的电脑--工具--文件夹选项--查看]里选择“显示所有文件和文件夹”。
  方法二:在WinRAR中浏览U盘,也可以看到隐藏文件和文件夹。
  方法三:利用Windows的搜索功能,在U盘内搜索“*”,勾选高级选项中的“搜索系统文件和隐藏文件”,可以找出U盘中所有隐藏的非隐藏的内容。
  方法四:直接去掉文件的隐藏属性再查看。
  〖附问题〗为什么在文件夹选项里设置显示隐藏文件无效?
  打开注册表编辑器,找到主键[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],把其下<CheckedValue> 的键值(注意检查该键类型是不是dword,若不是请删除后重建)改为1。
  然后再修改文件夹选项试试。如果还是不行,并且<CheckedValue> 键值会自动变回0,很不幸,你可能已经中毒了,请按一般的步骤查杀病毒。

 3. 去掉文件的隐藏属性
  在运行对话框中输入“attrib -s -h -r U:\*.* /s /d” 然后回车(将其中的U替换为U盘所在的盘符)。
  这实际上是同时去掉了系统、隐藏、只读三个属性,关于attrib命令各参数的自行Google。

四、其他应对autorun的方法简介

  仅仅是简介,具体实现的详情请自行Google。另外现在的病毒对某些方法也有了应对策略,不保证100%有用。
 1. 将U盘格式转换为NTFS,然后用NTFS 的安全策略去掉其他用户对U盘的写权限。
 2. 在U盘根目录下建立一个名为“autorun.inf” 的文件夹,然后在文件夹下建立一个不能用普通方法删除的文件。
 3. 绝对安全的方法——使用带写保护功能的U盘!

Filed under 以毒攻毒 Tagged with