瑞星卡卡安全论坛

看到《软件报》又拿Autorun病毒说事了
唉这么老套的病毒还是充满生机的,那我就谈谈吧:default6: :default6:

(一)禁止自动播放
1.在放入光盘或插入U盘/移动硬盘时,按Shift即可(这招从Win98起就能使用了)
2.组策略关闭法:
开始/运行/gpedit.msc
打开组策略窗口,在左侧的窗口"计算机本地策略"  展开:  计算机配置/管理模板/系统
在右侧的窗口找到"关闭自动播放"单击右键,属性  改为已启用  吧关闭自动播放设为:关闭所有驱动器的自动播放
XP HOME版没组策略,方案见附件(猫叔的杰作,引用下:default6: )
3.关闭服务法
我的电脑,单击右键,管理/服务和应用程序/服务(或开始/程序/管理工具/服务) 
在右面的窗口找到 shell  Hardware Detection服务  右键/属性 服务状态改为停止,启动类型改为已禁用即可

4.软件关闭法
例如Wsyscheck/工具/修复隐藏文件显示及禁用硬盘自动播放
Windos优化大师/系统安全优化/禁止光盘,U盘等所有磁盘自动运行
金山清理专家/安全百宝箱/系统修复工具  在启用自动播放时会意识修复
5.
(二)免疫法
利用Windos不能在同目录下生成同名文件的这个属性
在磁盘的根目录下创建Autorun.inf可防止病毒创建Autorun.inf文件
推荐软件:超级巡警U盘病毒免疫器
http://www.sucop.com/download.html
360的自动播放免疫工具
http://www.360.cn/killer/bdkiller.html

建议用瑞星杀毒软件的应用程序保护保护免疫文件夹,禁止*程序对免疫文件夹搞任何操作
(三)软件防御法

瑞星杀毒软件/设置详细设置/其他设置  在U盘监控
卡卡上网助手/防护中心/U盘病毒免疫
金山清理专家/安全百宝箱/U盘病毒免疫工具
360安全卫士/保护/U盘病毒免疫


再谈谈Autorun中毒症状:右击磁盘,快捷菜单里显示自动播放/Autorun
所以右键打开磁盘更安全

对U盘常杀毒,打开前杀毒是好习惯

现在有U盘内置杀毒软件或有防毒设计,请购买这类产品

大家请补充,谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; MAXTHON 2.0)

附件: 155847200821981759.rar

着几个现在已经是所有电脑和移动存储设备里尽量要做的事了。

顶一个

天月哥哥，说点你的经验:default6:

没话说

哥,问题是都没人做,所以那些中了auto的人在求助~~~~~

还有金山的木马群专杀工具能关闭自动播放的

瑞星的专杀工具要改进了

在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器(开始-所有程序-附件-windows资源管理器)将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备！(要养成这样的良好习惯)

写得不错，好习惯是关键！

解决双击磁盘无法打开方案
卡卡安全论坛的小狮子整合


磁盘打开方式出问题，一般两个部分
一个是根目录下可能有autorun.inf文件影响。
二个是注册表里关于磁盘打开的项目异常
针对一，删除autorun.inf文件
二见下文(二）
方案（一）
这是木马常用的一种幼稚的设置关联方式。
先打开本逻辑磁盘根目录下的autorun.ini，看它关联的EXE文件在哪里，然后：

1、先去下载一个恢复文件关联的工具，例如金山注册表恢复器，或SREng或upiea。
2、CTRL＋ALT＋DELETE调出任务管理器，中止你电脑中的木马进程，以防止它再次自动设置关关
3、使用文件关联恢复器恢复.exe、.txt等文件的关联默认
4、设置启动项msconfig，如果不懂系统进程的话，就只保留ctfmon和杀毒软件，其余全删；还要把除杀毒软件以外的非系统服务禁掉。
5、删除EXE文件，删除autorun.ini
6、重启

如果执行完上面步骤，还是自动在磁盘下加autorun.ini的话，那则说明文件关联恢复得有问题，或者木马体以DLL形式加载在explorer.exe中，那则需要更复杂的处理方法。
用SREng扫描日志，保存为log格式，发到卡卡安全论坛的反病毒区

方案（二）
症状

1、磁盘分区双击无法打开，弹出选择打开方式窗口：选择您想用来打开此文件的程序。

通过检查磁盘根目录没有autorun.inf等双击运行程序(通过dir /ah和icesword查看过)。

右键菜单也只有打开菜单，并无auto等异常菜单选项

2、杀毒软件，流氓软件清理工具等安防软件都无法运行，双击或是右键打开均无反

应。系统中的.exe执行文件不能打开，双击或右键打开无反应

3、打开cmd，屏幕提示c:\windows\system32\seshost.exe不是内部或外部命令，也不是可运行程序

icesword、sreng及杀毒软件都不能运行，后通过修改icesword和sreng的程序扩展名为.com，

都能使用了。

铺垫

用icesword检查到system32目录里有20多个显示为最近同一日建立的隐藏文件，根据其文件名和建立日

期，凭经验判断，都是病毒文件，利用强制删除功能全部清理掉。

system32目录里没有最近的磁盘机病毒的dnsq.dll，同时其下com文件夹里也没有伪系统文件的lass.exe

和smss.exe等典型病毒特征文件，各磁华军（中国）硬盘数据恢复|修复中心-24小时热线：400-6759388盘根目录均检查确定无隐藏病毒文件。

利用icesword的强制删除功能清理了系统各临时文件并巡查各系统目录，以减少需要检查分析的对象。

打开sreng.com，清理启动项，只保留根据执行文件名即可判断为系统服务的项目，同时将win32服务里的

服务进行异常清理，修复文件关联方式，ie修复，winsock修复

xxx

针对磁盘双击、右键不能打开

打开注册表(可通过将windows\regedit.exe扩展名修改伪.com或是用icesword的注册表功能打开)，

找到hkey_classes_root\drive\shell,这里是磁盘打开方式的影响分支之一，发现shell项的默认值

为open,shell项下有两子项：open,find 。

打开open项下的command项，其默认值为xfsadssfjkpop35465.dll(因为原文件名为无规则随意文件

名，印象不是很清晰，所以此处为模拟文件名)，这里应该就是罪魁祸首了！

将shell默认值修改为空，删除open项。双击磁盘却发现成了，也就是find项的功能，

干脆，连find项也删掉。

磁盘打开正常。

打开命令符窗口异常提示

根据打开cmd命令符窗口有提示，搜索注册表关键字seshost.exe,

在hkey_local_machine\software\microsoft\command processor项下的autorun值上有发现。

此分支值应该是命令符功能的加载分支选项。清空autorun值。


再次打开cmd，正常 ！

exe等执行文件的关联注册表修复

hkey_classes_root\exefile项下子项的open和ruanas的command默认值均为%1 %*,正常

hkey_classes_root\.exe的默认值为exefile,content type值为application/x-msdownload,正常

再次利用icesword和sreng的文件关联修复功能进行修复

重启

这时，360safe安装程序可以运行。安装，升级，打开。

进行恶意软件清理，常规病毒扫描，启动项清理(杀毒软件和输入法启动项保留)

重启

系统正常。
追述：磁盘不能正常打开，清空hkey_classes_root\drive\shell项的默认值后双击磁盘成搜索。

后来发现可以将shell默认值设定为none,再删除异常项open，保留find项更为妥当

补充下
Wsyscheck/工具/清除Autorun.inf
多方便?解决磁盘无法打开的问题

shift+winrar，可以使用在任何机上，且免去一切设置……

版主哥哥何意??

插U盘前按死SHIFT键不松，直到U盘驱动程序安装完成并写入注册表提示“新硬件安装并可以使用了”，松手，然后：开始--程序--winrar--winrar，打开U盘，挂掉u盘根目录下隐藏的autorun.inf及其他异常文件即可。
以上方法为系统自带，无需第三方软件设置，无需组策略设置，比较方便……

版主哥哥
WinRAR系统自带么?
WinZIP才是吧(我系统菜鸟,不知道,说错了,哥哥原谅)

至于安Shift,我已谈了
哥哥还有建议吗??谢谢

你没说错，WINRAR的确不是系统自带的，呵呵错啦……

如果U盘有问题，就要把问题解决掉，否则始终是个病毒源头，你不可能保证每次都这么做，一旦一不小心因为使用U盘不当导致计算机被感染，所花的精力就多了。所以发现U盘的问题就搞定它，这才能断根……

其他没啥可说的……

天天是自动播放病毒。
这帖，我还得顶呀。

下载地址
http://download.cpcw.com/soft/utilitie/antivirus/201/437701.shtml
Autorun病毒防火墙:default5:

补充句:刚刚测试的东东与杀毒软件并未冲突

建议都打开

见图

晕

没人看？？不怕中毒？？
电脑报又拿Autorun病毒说事了

《Autorun病毒防御者》软件简介

Autorun病毒防御者软件是一款专门针对流行的U盘病毒开发的查杀程序。它独有的精确查杀与扩展查杀双查杀机制能够彻底清除病毒和木马的相关文件和注册表项，不留残余。配合独特的启发式查杀引擎，对未知U盘病毒拥有90%以上的识别率。软件采用英特尔(R)多核处理器优化技术构建，在多核处理器平台上有更加出色的表现。

此外，软件还有U盘病毒免疫、系统修复、残余清理、病毒分析、系统诊断、顽固目录删除、应急浏览器、隐藏文档恢复、隐藏目录恢复、U盘解锁、U盘软件写保护等一系列完整的辅助工具，以及进程管理、启动项管理和系统服务管理等系统工具，能够让您彻底远离U盘病毒的困扰。

本软件绿色、免费，程序小巧，查杀和清除能力强。是您查杀U盘病毒的好助手！

软件特色一览：

- 独有的精确查杀系统，能够针对病毒的病毒文件、注册表、服务、备份副本、根目录残余、文件夹残余进行全面的检测与清理，对每一种病毒的查杀都相当于专杀的效果。
- 独有的扩展查杀系统，对于随机命名的病毒有着100%的识别率，并能够智能分析出相关的病毒注册表项并给予删除。
- 独有的DLL病毒清理机制与DLL反注入引擎，让DLL病毒也无法为非作歹。
- 在国内首个可以对全盘的病毒残余进行扫描检查，清除病毒更彻底。
- 独创“应急浏览器”功能，在病毒会强制关闭浏览器的情况下仍然可以浏览网页、下载专杀工具，不再需要到处找别的电脑了。
- 独特的“流行病毒免疫”功能，能够阻止一些流行病毒在计算机上运行，确保不受到流行病毒的感染。
- 专业而全面的系统修复工具，强力修复被病毒篡改的系统。
- 拥有“进程管理”、“启动项管理”和“系统服务管理”三大系统工具，当相关工具无法正常使用的时候，也可以在这里进行相关的操作。
- IFEO映像管理功能，让所有被病毒劫持的项目显露无余，您可以轻松的删除被病毒劫持的文件。
- 恢复文档工具，能够恢复被病毒隐藏起来的Word、Excel和PDF文档的正常属性。
- 文件清理工具，能够将存在于临时文件中的病毒副本轻松剿灭。
- 独有的深度免疫工具，在NTFS分区上能够确保病毒无法自动运行。在FAT32分区上也能阻止一部分病毒的自动运行。
- 自带系统自动播放的两个开关程序，可以随时方便的启用和禁用，避免U盘病毒的传播。
- U盘解锁和U盘软件写保护功能，让您的U盘使用起来更加自如。
- 独有的顽固目录删除工具，能够将病毒留下的删不掉的顽固目录全部彻底清除。
- 独创的“隐藏文件现身”工具，即使被病毒设置为不显示隐藏文件，也能够将隐藏的文件全部曝光在您的视野之下。
- 独创的“病毒智能分析”工具，只需要指定病毒的路径，就可以查出与之关联的文件、注册表、服务等项，方便高级用户手动清除未知病毒。
- 针对U盘病毒专门研发的“生成系统诊断报告”功能，详尽分析U盘病毒会篡改的注册表、服务、进程、IFEO映像、HOSTS文件、驱动程序、文件关联等项目，并能够分析各个磁盘目录下的Autorun.inf文件，找出病毒文件。
- 独有的“病毒样本提取”功能，只需要指定盘符，就能自动识别盘符下的Autorun.inf文件和病毒文件。
- “恢复隐藏目录”功能，能够自动检测并恢复被病毒隐藏的文件夹。
- 详尽的日志记录系统，记录每一个程序操作，让您了解软件的运作情况。

感谢分享！我要支持一下这位可爱的MM！o(∩_∩)o...

受教了，谢谢

最近流行的代理蠕虫也有该性质
所以自己顶

打开我的电脑，点工具栏里的文件夹，在左侧栏列表中打开U盘。。。

还得问一个问题，为什么用一个软件autorun.inf文件夹无法删除，里面没有..\文件夹，经确认的确是空文件夹？短消息告知一下。。。。

游戏哥这招挺好用的·:default6:

我用winrar的时候看见autorun.inf，于是将所有盘中的全删除后，又重新建了些此文件名，光盘就不自动播放了，但360总报有个恶意的插件autorun.inf。我想这下安全了。应该是没问题的噢。

看到上面介绍的几款软件都用于XP及XP以下的，有给Windows Vista用的吗？

彻底免疫
http://bbs.ikaka.com/showtopic-8528742.aspx 2楼

再设置磁盘根目录运行任何程序就更好了

我的内存卡也中了这毒 杀了还有 格也格不了

:kaka12: 在放入光盘或插入U盘/移动硬盘时,按Shift即可
这招不错　学习了～～以前不晓得呢！