修復被“磁盤自動運行”類病毒感染的電腦


由於最近接手的機器都是由於感染“磁盤自動運行”類病毒而送修的,所以在這里將對此類問題提供一個相對完善的解決方案。

一、“磁盤自動運行”類病毒

所謂“磁盤自動運行”類病毒指的是在感染初始階段在每個磁盤(包括U盤、內存卡和移動磁盤在內的相關存儲介質)目錄下生成名稱為“Autorun.inf”(不含引號)以及一個可執行的病毒文件;當電腦使用者在Windows的資源管理器中雙擊被感染的磁盤后,根目錄下的可執行病毒文件就會在Autorun.inf文件的引導下執行一系列操作,包括感染其他未中毒的磁盤、結束殺毒軟件進程、破壞已知文件、感染磁盤中其他可執行文件作為其宿主文件、竊取電腦用戶的個人資料、QQ帳號、網游密碼及相關虛擬財產等。

二、傳播方式

此類病毒的傳播途徑主要有二類:一是通過網絡下載的安裝文件或者其他被感染的文件進行感染,此種方式為病毒剛剛出現、尚未形成規模時感染電腦的主要方式;二是通過U盤、可移動磁盤、光盤等移動存儲介質進行傳播,此種方式為這類病毒傳播的主要方式。

三、預防方法

鑒於此類病毒的感染及傳播方式,預防方法如下:

針對第一類感染方式,電腦使用者應及時升級電腦中安裝的殺毒軟件的版本,並在下載文件后第一時間進行查毒、殺毒,對於一些可疑文件不要雙擊執行或者解壓,直接進行刪除;最好在相關下載軟件,如快車、BT下載軟件中打開下載完成后查毒的選項;

針對第二類感染方式,電腦使用者在使用可移動存儲裝置時也應該第一時間用殺毒軟件查毒。同時關閉電腦的自動運行功能,即使不關閉自動運行功能,當系統彈出自動運行對話框后也應將其關閉。然后打開“我的電腦”在顯示的磁盤圖標上單擊鼠標右鍵,選擇用殺毒軟件查毒、殺毒。

還有一個預防方法就是在每個磁盤下建立免疫文件夾。這個操作需要在命令行下完成,具體操作步驟如下:

打開“開始”菜單,單擊“運行”,在其中輸入“cmd”,回車;

進入相應磁盤的根目錄,以C盤為例,並輸入下列命令:

cd c:

md Autorun.inf

cd autorun.inf

md 防毒勿刪..\

cd..

cd..

attrib +h autorun.inf

這樣就建立了一個隱藏的免疫文件夾。

為了同時免疫“威金”病毒我編寫了一個批處理文件,里面包括了上述代碼。其可以快速的在多個磁盤和目錄下生成免疫文件夾。將下列代碼粘貼到記事本上,並保存為后綴名為“.bat”的文件,復制到C盤根目錄下,雙擊執行即可。

echo off
cd c:\windows
md Logo1_.exe
cd Logo1_.exe
md AntiVirus..\
cd..
attrib +h Logo1_.exe
md Rundl132.dll
cd Rundl132.dll
md AntiVirus..\
cd..
attrib +h Rundl132.dll
cd..
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
d:
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
e:
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
f:
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
echo on

四、感染后的狀態

由於此類病毒種類繁多,在這里無法將所有症狀一一列出,只能列出一些最為常見的症狀:

1、在每個磁盤根目錄下至少生成二個文件:一個為“Autorun.inf”(不含引號);另一個為“*.exe”(其中“*”可以替換為任何系統可以接受的文件名,同樣不含引號)。有些種類的病毒文件會生產三個文件,但所生成的第三個文件就會因病毒不同而有所不同了;

2、在每個用戶瀏覽過的文件夾下生成一個名為“_desktop.ini”的文件。這個文件中記錄着病毒最近一次執行的日期及時間。由於其與系統自動生成的文件夾配置文件“desktop.ini”文件很相似,所以極容易被用戶忽略;

3、由於其使用了Autorun.inf這個系統文件作為病毒引導器,因此在用戶在“我的電腦”中右鍵單擊磁盤時會出現二個“打開”或者一個“Open”、一個打開,而作為病毒引導器的“打開”或者“Open”選項卻總是默認打開選項,即用黑色粗體顯示。但最近一些病毒只會生成一個“打開”選項,給識別是否感染造成了一些困難。

以上三個是所有這類病毒的共同特征。除此之外的一些症狀就屬於專屬於特定病毒的症狀了:

4、在系統進程中加入監視程序,防止用戶刪除根目錄下的病毒文件,即使刪除了也會再次自動生成;

5、在一瞬間殺死殺毒軟件及相關進程。最近出現了針對所以殺毒軟件進行秒殺的病毒;

6、感染可執行文件為其病毒宿主,有些病毒甚至會更改可執行文件圖標。如最近的熊貓燒香等;

7、對系統屬性進行修改,關閉注冊表編輯器,使文件夾選項中的顯示隱藏文件功能失效等;

8、從網絡上檢查並下載最新版本的病毒等等;

五、修復方案

對於感染此類病毒后的修復方案,網絡上有許多相對專業的方法,但我覺得除非有極特殊需要,否則那些方法並不比先備份重要文件然后重裝系統來得方便。

對於感染的電腦主要的解決方案首先是備份系統盤(一般是C盤)的重要文件,然后將系統盤格式化重裝系統。有些用戶事先使用Ghost或者以其為基礎的一鍵Ghost、一鍵還原等備份過系統,這時只需還原備份過的分區文件即可。這里強調的是格式化重裝系統的原因是因為就目前電腦的處理速度、網絡傳輸的速度以及病毒發展的趨勢,當使用者已經察覺系統中毒時,系統中已經存在多種病毒共同感染的狀況了。這時在回過頭來清理病毒修復系統設置為時已晚。除非有極特殊需要,否則這將一個十分艱巨的任務。

對於沒有WindowsPE光盤系統的用戶,當重新進入系統中后不要打開除系統盤之外的任何磁盤,然后安裝殺毒軟件,並聯網升級,然后進行殺毒。如果知道是什么各類的病毒后,到瑞星或者金山下載專殺工具進行查殺。然后用鼠標右鍵選擇非默認“打開”選項的方式進入每個磁盤清除根目錄下的病毒文件。之后在清除所以磁盤內在可執行EXE文件和“_deskptop.ini”文件以及其他可疑文件。這樣基本上就可以排除本地保留文件再次感染系統的可能性了。

對於有WindowsPE光盤系統的用戶,還原備份過的Ghost文件,以及清除病毒文件完全可以在PE系統中一次性完成,或者先在PE系統中清除除系統盤之外的磁盤分區,然后格式化C盤重裝系統,這樣也能達到與上面提到的方法同樣的效果。只不過是在PE系統下工作不會有系統過慢、進程中有病毒監視程序,以及有些被感染文件不允許被刪除的情況出現。

對於PE系統這里我推薦大家使用“深山紅葉”v2.7或者v2.8。因為這二個版本完全使用Windows自帶的資源管理器作為文件管理器,同時支持在啟動后加載U盤等可移動磁盤。

這里需要特殊提出一點的就是如果有可能在清理病毒文件時不要使用Windows的資源管理器,即IE窗口,轉而使用TotalCommander作為文件管理器。在“深山紅葉”PE盤中是系統自帶的;而在未使用PE系統的情況下最好從太平洋、天空、華軍等安全性較好的網站上下載。使用這個軟件就不存在使用鼠標右鍵的問題了。要打開磁盤只需單擊磁盤選擇按鈕即可,不存在打開磁盤時Autorun.inf引導病毒文件執行的問題。而且其文件搜索功能十分強大,能快速准確的查找出要刪除的病毒文件和可執行文件。提出這一點的原因是因為今天同事的一台機器中了此類病毒,而在用鼠標右鍵單擊磁盤后卻只有一個“打開”的選項,但是雙擊后根目錄下的Autorun.inf就引導病毒文件進入系統進程,刪除病毒文件后,又會重要自動生成,就是在PE系統下也存在這個問題。如果單單使用資源管理器根本無法解決這個問題,連磁盤都進入不了,刪除病毒文件,殺毒就更不可能了。后來就是通過用TotalCommander來解決這個問題的,效果還是很不錯的。

以上是我在最近工作中的一些心得和總結,希望會對遇到同樣問題的朋友們有所幫助。


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com