|
|
【双击硬盘闪存,无法打开】之解决方案
* T$ ?6 X1 _& |) u) k' E! b0.如果感染了 fun.xls.exe 或者 tel.xls.exe1 p' s0 _; @3 V- C
请下载http://bbs.nju.edu.cn/file/Virus/fun_tel_xls.rar' U; \9 G2 k, }# Z
分别运行 fun.xls killer 或者 tel.xls killer
8 i+ N+ b6 D3 q3 o# j; G1.下载 http://bbs.nju.edu.cn/file/Virus/non_auto_run.cmd
% m- u3 I/ C! E) s* J. j+ I 运行 non_auto_run.cmd2 h7 T7 b T. a1 @ K r
按数字键1,选择[1] 删除当前所有磁盘中的 Autorun 病毒并免疫; q4 S! t+ j: n, h4 f0 L5 u6 q+ C
插上移动硬盘or闪存,再运行 non_auto_run.cmd6 D) \* \: }2 }$ s
按数字键2,选择[2] 删除可移动磁盘中的 Autorun 病毒并免疫; `! w5 c) {7 `0 Y# Q; ^
【免疫机制】+ Z8 h0 X4 \# T* ~1 L0 b2 u
大家都知道,“文件”是由 文件名+扩展名 共同组成的。
8 b* Z) t# Y( g6 l5 U* g比如:regedit.exe,regedit是文件名,exe是扩展名7 t9 V+ O& f+ A2 R/ A
在同一个目录下的2个“文件”不能重名。
5 e. t" J3 j" ]0 z比如:在C:\WINDOWS 下已经有了regedit.exe8 M7 _0 D# s( y
此时你尝试着把notepad.exe改为regedit.exe,系统就会提示你“重名”
o1 e% {+ S% ~: M5 R! G+ F但大家很少知道,在同一个目录下,“文件夹”与“文件”也不能重名, v7 ~& x4 c% h& x& g1 P) Q# O' W, P0 H
比如:在C:\WINDOWS下已经有了regedit.exe: _; E: l9 Z$ ~6 N
此时你新建一个名为“regedit”的文件夹,这是没问题的, j+ J' D* M: I6 O5 h
但当你新建一个名为“regedit.exe”的文件夹,系统就会提示你“重名”) r( [$ P4 ]; \
autorun此类病毒会在 本地硬盘/移动硬盘/闪存 根目录下生成 autorun.inf文件
1 l, S7 W R5 n. J; [0 A/ c S当你双击时磁盘时,autorun.inf文件会加载病毒3 o% L* q& |) w
免疫工具会在各磁盘根目录下生成隐藏的 autorun.inf文件夹 9 `1 S0 K: y/ r \
利用“重名”的特点,阻止病毒生成 autorun.inf文件,从而达到免疫的目的
. l5 D: Y5 Z7 [" c
2 ]" A& K% j. j% W w————————————————————————————————————, Y7 H0 ~' I% W" r- g2 g
2.双击我的电脑>>>顶部“工具”>>>文件夹选项>>>【查看】分页
6 R0 I# c, m% @ 勾选“显示所有文件和文件夹”
$ I/ v) G# Y- Y3 i: x 取消“隐藏受保护的操作系统文件(推荐)”
7 a% o* L" Y6 p' Y5 h* b/ e “隐藏已知文件类型的扩展名”9 i+ C8 t# S6 o) n) k2 a( O7 c c
此处设置,稍后可更改回来" v8 c& _4 N& O
$ D. D( c/ J) k% H# d4 M$ Q* ^2 l
如果1)我的电脑>>>顶部“工具”>>>没有[文件夹选项]
i/ K$ o; u5 @" `或者2)明明进行了第2步操作,但点击“确定”之后,又变成老样子3 b3 o6 U" Z4 L. d
请运行注册表文件 http://bbs.nju.edu.cn/file/Virus/hidden.reg
" n8 A3 l$ A9 U5 _! y3.鼠标左键选中“我的电脑”,右键弹出“资源管理器”8 h7 V1 N3 A3 v2 C. F. W& r* p
分别进入 本地硬盘/移动硬盘/闪存 的根目录,找寻怪异的文件。
" r: e8 z# u% b. j& Z9 y1 {. N- x+ Q- k
. a5 V) C1 [9 b- I" m; r( j1 K 什么是怪异的文件呢?
- n1 C' _2 f( T* Q( f 首先,上图显示的<Autorun.inf>、<RECYCLER>、<System Volume Information> 三个* o! o! x* I n+ l" Y2 X
文件夹是正常的,我们不必理会这三个文件夹
5 n6 a; r3 V$ E7 N( T* j 其次,同时具有以下特征的文件,就属于“怪异的文件”
7 i5 W2 ~9 G, U9 o" C6 b ①在各个磁盘根目录下都有 ②图标颜色很浅(表明它是隐藏文件). J; `- }; M& ^ m: r# m
比如:autorun.inf 文件
* ~, R O% o1 d# d) } 删除这些怪异的文件吧!$ d% d; X4 ~6 A$ m) B" \$ Y8 a# U( H
4.重启计算机之后,如果病毒死灰复燃* F5 A7 N) k0 M$ V. }# \' T
请下载 http://bbs.nju.edu.cn/file/Virus/HijackThis.exe* h' j; I7 k1 U3 D' c
用HijackThis“扫描系统并保存日志”,将反馈结果贴在 Virus 版上,以便专家会诊1 E3 z. t/ F" G9 v. o
5.以后使用移动硬盘/闪存时,最好不要直接双击
}% k# N' D0 K 最为稳妥的方法是:鼠标右键>>>打开附上禁止使用U盘等移动存储设备的方法 如果想恢复使用U盘等移动设备,进行逆操作即可
; s6 g$ L( O1 {说明:通常用得最多的是第二个方法) M; x% G6 |, u- ^
方法一,BIOS设置法(快刀斩乱麻法) 不推荐这一个方法+ r# Z" h6 O7 d, h0 _; p
进入BIOS设置,选择“Integrated Peripherals”选项,展开后将+ K7 c$ V& n7 G! K
“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”,即% O7 P$ P' f" K: P( v7 v
可禁用USB接口。最后别忘记给BIOS设置上一个密码,这样他人就无法通过修改注册表解“锁”上述设备了。& S. s: ]% w& N4 h8 d& `& _, B
注意:这个方法是完全禁止了USB接口,也就是说各种USB接口的设备均不能用了,当 `' Y' R6 w+ V q( d. s& h! m( }
然也包括了U盘和移动盘。由于此法过于霸道,请慎用。
3 L4 D6 b0 C% g2 Z1 E* o方法二,禁止闪盘或移动硬盘的启动(适用于Windows XP/2000/2003)
; A8 g" J5 l7 ~, ]; D8 G 运行regedit打开注册表编辑器,依次展开如下分支
* J, ~0 j( X+ L% y% ?[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR],在右侧的窗格中找到名为“Start”的DWORD值,双击,在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器,重新启动计算机,使设置生效。(原来是 3)
5 U1 Q" |$ c6 e' S方法三,隐藏盘符和禁止查看(适用于Windows系统) 这个比较麻烦,还要计算,不推荐9 y% ~6 V! M. K
打开注册表编辑器,依次展开如下分支' j' H0 [8 u, d$ G( g
[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer],新建二进制值“NoDrives”,其缺省值均是00 00 00 00,表示不隐藏任何驱动器。键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。比如要关闭C盘,将键值改为04 00 00 00;要关闭D盘,则改为08 00 00 00,若要关闭C盘和D盘,则改为0C 00 00 00(C是十六进制,转成十进制就是12)。
+ g" J0 \8 R# k 理解了原理后,下面举例例说明如何操作:以一个软驱、一个硬盘(5个分区)、一个光
" J: \7 @7 y5 G. i; ?$ C驱为例,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),所以“NoDrives”值为“02 ff ff ff”,隐藏了B、I到Z盘。
# X" A# v2 w- J* D 重启计算机后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:(我
0 A8 I8 Z2 \! ]( n' x的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是
- Y& g5 y8 M8 D5 P0 f5 W障眼法,所以我们还要做多一步,就是再新建一个二进制“NoViewOnDrive”,值改为0 d( J$ M0 g& J
“02 ff ff ff”,也就是说其值与“NoDrives”相同。 这样一来,既看不到U盘符也访问 _% O. |+ m9 ?+ o3 E" c
不到U盘了。% v. H/ b7 v ^+ ^* @
方法四,禁止安装USB驱动程序
# N# D1 _- C# t& N+ ~5 r 在Windows资源管理器中,进入到“系统盘:\WINDOWS\inf”目录,找到名为
9 `$ j4 _7 R2 f' e( T/ a/ E“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安
" A b0 r* i& d# O* p3 Q' ]全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,
4 ` F; J2 O* d, y选中“完全控制”后面的“拒绝”复选框,最后点击“确定”按钮。! u6 X& M; k; E
再使用以上方法,找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户
) S! a- |8 b" {2 T( \8 P访问,其操作过程同上。完成了以上设置后,该组中的用户就无法安装USB设备驱动程序
! j" g9 [0 Y- s! R) T了,这样就达到禁用的目的。
# p- k* ?" i& Q/ z9 G 注意:要想使用访问控制列表(ACL),要采用NTFS文件系统。
5 D I p' s7 V7 s# C) w【双击exe可执行文件,无法运行】之解决方案5 e( A0 @; X4 ^6 x+ A; m* v
1.下载 cmd.com ,将其放入 C:\windows\system327 T; r- g; U/ \" L$ o/ r; e
http://bbs.nju.edu.cn/file/Virus/cmd.com, e7 p* N( Z2 p3 B7 [; }6 }. p
2.在开始菜单>>>运行>>>输入>>>cmd.com
1 o% f. b$ [3 r再输入 assoc<空格>.exe=exefile<回车>
) x" G" N/ l3 w7 a- s. B7 t 即assoc .exe=exefile0 c& Y# _- |1 D" [- m% R8 j
3.下载注册表、IE修复工具
4 s" `/ h6 |( O+ P8 Hhttp://bbs.nju.edu.cn/file/Virus/RegClean.rar |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2010-7-8 00:32:29
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡