******這是轉(zhuǎn)載自別人博客的一篇文章，我也中了不止一次autorun.inf病毒，現(xiàn)將此文奉獻(xiàn)出來，謝謝原作者的辛苦勞動！鏈接：

?***************************??????????? http://htwy.org.ru/article/learn/upanchasha.htm????????????? ****************************************

U盤插來插去，難免會中一些不該中的東西，呵呵。當(dāng)然你可以用U盤查殺工具，在U盤插到你的電腦上檢測一下，但是要是你沒裝，或者是在別人的沒裝工具的電腦上呢？（要是你不管別人電腦死活，那就不需要了……呵呵）。有的人要說，沒事我的U盤有免疫，這里我要說，免疫都是沒用的，除非你的U盤帶寫保護(hù)，這個(gè)才是根本，要不然其他的像建什么...文件夾防刪除的，其實(shí)都沒用的。一句話就直接刪除了。這里我來簡單說一下U盤病毒的手動查殺吧。海天說的不好的地方，大家見諒……
其實(shí)這個(gè)U盤手工查殺就是幾個(gè)DOS命令，雖然現(xiàn)在時(shí)windows的時(shí)代，但DOS命令還是不能缺少的，其實(shí)要講的幾個(gè)命令是dir、attrib、del各個(gè)參數(shù)。（高手略過）

我們先來講下現(xiàn)在U盤病毒的原理吧。病毒首先把自身復(fù)制到u盤的隱藏地方，比如說RECYCLER文件夾里，然后創(chuàng)建一個(gè)autorun.inf文件,這樣在你打開u盤時(shí)，會根據(jù)autorun.inf中的設(shè)置自動去運(yùn)行u盤里的病毒。原來的autorun.inf病毒還好，只有雙擊會中病毒，但是現(xiàn)在的病毒不管右鍵點(diǎn)擊打開、資源管理都會中毒……代碼是：
[autorun]
OPEN=SVCH0ST.EXE
shell/open=打開(&O)
shell/open/Command=SVCH0ST.EXE
shell/open/Default=1
shell/explore=資源管理器(&X)
shell/explore/Command=SVCH0ST.EXE
現(xiàn)在還有的U盤病毒是隱藏U盤里原有的文件夾，然后再創(chuàng)建文件夾圖標(biāo)、以每個(gè)文件夾命名的exe文件，而我們一般不會喜歡選擇顯示后綴名，所以就會直接選擇病毒文件的exe文件。有的人會問U盤里的文件夾都被殺毒軟件都?xì)⒘?#xff0c;但空間還占，其實(shí)就是這里所說的，殺軟殺掉了exe病毒文件，但原來的文件都還隱藏著。

OK，U盤病毒差不多就是這些，我們來講下U盤的DOS命令查殺。
1、開始-運(yùn)行，輸入cmd，這樣就打開了windows界面下的dos窗口（其實(shí)這個(gè)并不是真正的DOS窗口，差不多算是windows“偽造”的吧，呵呵）。進(jìn)入U(xiǎn)盤盤符，比如你的U盤盤符是F盤，那么就輸入"f:"這樣就進(jìn)入F盤了。

2、進(jìn)入U(xiǎn)盤以后你要查看有沒有病毒，一般病毒都是可執(zhí)行文件，比如exe、vbs、bat、com都是windows下可執(zhí)行的文件，還有autorun.inf文件，這個(gè)是病毒啟動的關(guān)鍵，有它就肯定有病毒。我們可以用dir、attrib命令查看，輸入"dir /a"，就可以查看U盤根目錄下的隱藏文件，這樣就算病毒是隱藏的我們也能一目了然，只要找上面所說的幾種可執(zhí)行文件。

有的朋友U盤里會放很多文件，用dir命令列出來看的眼花繚亂，這時(shí)我們可以直接用attrib命令，這個(gè)命令式顯示文件屬性的，而一般病毒都是隱藏的有的更是會加系統(tǒng)屬性，這樣我們就可以用attrib命令查看到的文件會少很多，下圖所示的Thumbs.db文件就是有隱藏、質(zhì)素、系統(tǒng)屬性的，當(dāng)然這個(gè)不是病毒，這個(gè)是圖片的數(shù)據(jù)庫，我只是拿它說明下。
稍微擴(kuò)展下dir命令/S參數(shù)，這個(gè)參數(shù)是查找盤符下所有文件，就是指，你進(jìn)入盤符根目錄，用dir命令只能看到跟目錄下的文件，而你加上/S參數(shù)查看的就是當(dāng)前盤符下的所有文件，包括文件夾里的文件。這樣我們就可以用"dir /a /s *.exe"命令查看U盤下的所有exe文件，就算它藏在哪個(gè)角落都給翻出來，當(dāng)然不一定exe文件就一定是病毒啊，說不定是你自己的文件呢。（用/S參數(shù)也可以查找文件，我覺得DOS下的windows界面下的速度快）

3、找到病毒了現(xiàn)在開始動刀了。我們先來講比較復(fù)雜的，就是找到病毒去掉屬性再刪除。找到了autorun.inf文件，我們想看看它到底是讓哪個(gè)病毒自動運(yùn)行，運(yùn)行命令"type autorun.inf"，這樣就顯示了autorun.inf里的內(nèi)容，open=后面跟的就是病毒文件。在dos下，你直接用del命令刪除那些有參數(shù)的文件是刪除不了的，這時(shí)你可以用attrib命令去掉病毒的隱藏、只讀、系統(tǒng)屬性。命令是"attrib -s -h -r *.exe"這樣你就可以去除根目錄下所有exe文件的隱藏、只讀、系統(tǒng)屬性。（同理減號改成加號就是加上那些屬性。）去除屬性后我們就直接可以用del命令刪除了。
現(xiàn)在來講一步直接刪除吧，就是用del的/F參數(shù)，這個(gè)是強(qiáng)制刪除文件，我們就可用"del /a /f *.exe"命令直接強(qiáng)制刪除根目錄下的exe文件。
ps：這里要注意上面的偽裝文件夾的exe病毒文件。

OK，現(xiàn)在病毒殺的差不多了，我們來講下防護(hù)吧，自己的電腦上你可以用組策略禁用U盤自動播放，但這個(gè)還是有點(diǎn)瑕疵，最好的是用組策略禁用U盤盤符的exe、vbs等可執(zhí)行文件的執(zhí)行權(quán)限。
開始-運(yùn)行-gpedit.msc進(jìn)入組策略，進(jìn)入計(jì)算機(jī)配置-windows設(shè)置-安全設(shè)置-軟件限制策略-其他規(guī)則，創(chuàng)建一個(gè)“新路徑規(guī)則”，這里輸入你的U盤盤符，比如說F盤就輸入"f:/*.exe"下面設(shè)置成不允許的，這樣U盤里的exe病毒文件想要執(zhí)行都不行。

而那些用autorun.inf文件夾里創(chuàng)建不可刪除的.../文件夾免疫的方法，對付一般病毒還行，但是要強(qiáng)一點(diǎn)的病毒可以直接刪除，就算不能刪除，也能改名后新建。
ps：刪除，可以直接用“rd /s /q autorun.inf”來刪除免疫的autorun.inf文件夾，可謂是一步到位啊。

U盤的查殺就寫到這，記錄的是海天平時(shí)所用到的方法，雖然都是一些簡單的DOS命令，但不可否認(rèn)dos還是很強(qiáng)大的。這里寫的有錯(cuò)誤的地方大家積極指教。病毒永遠(yuǎn)是存在的，殺軟只是一個(gè)防護(hù)，不可能完全防住病毒，也不可能有那種方法能夠完全的防住病毒，所以平常還是要大家自己注意，不要運(yùn)行一些不明文件，注意備份，發(fā)現(xiàn)可疑情況，立即殺毒。殺軟殺不了還是要手工殺毒的，可以借助一些超強(qiáng)的ARK工具，比如我上次推薦的Xuetr就是很強(qiáng)悍的，遇到病毒慢慢殺，實(shí)在不行，我們還能還原呢，呵呵。
原文地址：http://htwy.org.ru/article/learn/upanchasha.htm
海天無影's BLOG Welcome to htwy.org.ru

總結(jié)

以上是生活随笔為你收集整理的【转】U盘病毒autorun.inf的原理及查杀经验的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。