|
|
【双击硬盘闪存,无法打开】之解决方案& @, O, X( K9 ~0 q) i; d1 B
0.如果感染了 fun.xls.exe 或者 tel.xls.exe6 J/ O0 j1 b$ V6 _1 ^# o' W
请下载http://bbs.nju.edu.cn/file/Virus/fun_tel_xls.rar
1 S* r5 n6 R* G% G 分别运行 fun.xls killer 或者 tel.xls killer' r6 _. I0 \- a4 x
1.下载 http://bbs.nju.edu.cn/file/Virus/non_auto_run.cmd1 D0 {1 X" j9 R
运行 non_auto_run.cmd0 h# R% r2 A) Y0 P6 @
按数字键1,选择[1] 删除当前所有磁盘中的 Autorun 病毒并免疫6 z6 e3 P: M- _" S& n
插上移动硬盘or闪存,再运行 non_auto_run.cmd
/ W0 ?% \! K. g" n! f% m 按数字键2,选择[2] 删除可移动磁盘中的 Autorun 病毒并免疫1 q5 |0 q" G/ \) Y2 P* ]
【免疫机制】
; d4 c% b* x D: M8 P' o7 p& v大家都知道,“文件”是由 文件名+扩展名 共同组成的。
& g6 }. b+ n: D" l- n比如:regedit.exe,regedit是文件名,exe是扩展名
2 [5 D7 a: o9 x; E3 \- E在同一个目录下的2个“文件”不能重名。8 L1 L9 L8 [: ~9 L
比如:在C:\WINDOWS 下已经有了regedit.exe
9 }6 {( G% D- j* i7 J; `此时你尝试着把notepad.exe改为regedit.exe,系统就会提示你“重名”
B; W3 i, r9 X, {$ z3 u但大家很少知道,在同一个目录下,“文件夹”与“文件”也不能重名
7 U9 {! u5 f* o. {比如:在C:\WINDOWS下已经有了regedit.exe3 x- T* @0 o$ t' @5 _/ v, O: ^
此时你新建一个名为“regedit”的文件夹,这是没问题的! x2 u8 v5 S- O. {4 P8 @( `
但当你新建一个名为“regedit.exe”的文件夹,系统就会提示你“重名”
, v, j9 L3 k% u" ^autorun此类病毒会在 本地硬盘/移动硬盘/闪存 根目录下生成 autorun.inf文件% t) ^' O- q+ G9 w
当你双击时磁盘时,autorun.inf文件会加载病毒
( e8 z4 F9 G0 o5 V. `免疫工具会在各磁盘根目录下生成隐藏的 autorun.inf文件夹 7 V8 J6 ?1 e& d- R; X: I7 L) O
利用“重名”的特点,阻止病毒生成 autorun.inf文件,从而达到免疫的目的& w" e: \% f$ p% p& p' K
' X0 Q4 L+ j5 _
————————————————————————————————————) o: L' n) B# E% L3 \
2.双击我的电脑>>>顶部“工具”>>>文件夹选项>>>【查看】分页0 X9 ~' {# E1 D6 O/ m
勾选“显示所有文件和文件夹”
/ L9 F- \8 J9 ^/ ~# F* E) T) W 取消“隐藏受保护的操作系统文件(推荐)”
+ K/ J! D0 h3 I# s* i+ Y/ L# o “隐藏已知文件类型的扩展名”
, O" `3 l7 S, G0 B! ?" e4 v 此处设置,稍后可更改回来, E4 d2 j4 E. Q7 e/ m6 d$ u
4 D7 u! M# f- r U) C' m( f
如果1)我的电脑>>>顶部“工具”>>>没有[文件夹选项]% P8 J+ I' X+ `7 H9 D* _
或者2)明明进行了第2步操作,但点击“确定”之后,又变成老样子- g8 N- t8 f( h- k
请运行注册表文件 http://bbs.nju.edu.cn/file/Virus/hidden.reg
) A9 u$ r' U! \7 y0 o5 ~* z4 {3.鼠标左键选中“我的电脑”,右键弹出“资源管理器”
S" f1 w2 M- h 分别进入 本地硬盘/移动硬盘/闪存 的根目录,找寻怪异的文件。8 K6 @" R5 X) O2 Y7 {
8 D6 r1 I% M$ k' S
! L6 w# u! C" v y7 `2 V
什么是怪异的文件呢?
5 T, x/ k8 r$ a: m( |8 Y 首先,上图显示的<Autorun.inf>、<RECYCLER>、<System Volume Information> 三个" v( O; d7 t: _$ S8 R6 O
文件夹是正常的,我们不必理会这三个文件夹4 A/ v# x- A6 v7 e1 V% i$ @2 Q$ y
其次,同时具有以下特征的文件,就属于“怪异的文件”
5 {6 Q6 [( R6 @1 J! i8 r ①在各个磁盘根目录下都有 ②图标颜色很浅(表明它是隐藏文件)
' B/ t" M/ R6 |2 {% w 比如:autorun.inf 文件
1 [* h" w' y/ A! Q( b. F 删除这些怪异的文件吧!
" j$ w# M/ g7 ?2 ?0 \5 U! o4.重启计算机之后,如果病毒死灰复燃/ _$ n3 A7 Y+ \4 _# }% A; V
请下载 http://bbs.nju.edu.cn/file/Virus/HijackThis.exe
1 ]7 B5 o4 x0 j& \# {$ k) b. S 用HijackThis“扫描系统并保存日志”,将反馈结果贴在 Virus 版上,以便专家会诊
4 s0 n( \# U" Y: G5 H5.以后使用移动硬盘/闪存时,最好不要直接双击
q. ?3 g3 [0 J$ r5 C 最为稳妥的方法是:鼠标右键>>>打开附上禁止使用U盘等移动存储设备的方法 如果想恢复使用U盘等移动设备,进行逆操作即可
, j# P! a* o. K# ?说明:通常用得最多的是第二个方法
0 _8 w! _3 [0 g; m* A5 f方法一,BIOS设置法(快刀斩乱麻法) 不推荐这一个方法
2 Y: c* P2 W9 V, Q5 R2 X 进入BIOS设置,选择“Integrated Peripherals”选项,展开后将
9 R, Y0 U' U1 x. @“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disableed”,即* h/ b O4 s W& m
可禁用USB接口。最后别忘记给BIOS设置上一个密码,这样他人就无法通过修改注册表解“锁”上述设备了。 G( J7 ^4 K2 G/ D4 Q
注意:这个方法是完全禁止了USB接口,也就是说各种USB接口的设备均不能用了,当6 p( D/ |( P& {: i9 `6 h! x
然也包括了U盘和移动盘。由于此法过于霸道,请慎用。2 Y) k% c5 h/ I* n5 {
方法二,禁止闪盘或移动硬盘的启动(适用于Windows XP/2000/2003) 8 Z" I. }1 `) R2 p; b. d
运行regedit打开注册表编辑器,依次展开如下分支0 S G* g+ F6 x$ l, w9 ?! a
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentCntrolSet\Services\USBSTOR],在右侧的窗格中找到名为“Start”的DWORD值,双击,在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器,重新启动计算机,使设置生效。(原来是 3)
4 y L0 [/ K2 x7 F3 d9 k+ j: |: \; k方法三,隐藏盘符和禁止查看(适用于Windows系统) 这个比较麻烦,还要计算,不推荐/ y: I' u# T2 V) |
打开注册表编辑器,依次展开如下分支) X* @3 @* p X. v8 [
[HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Ploicies\Explorer],新建二进制值“NoDrives”,其缺省值均是00 00 00 00,表示不隐藏任何驱动器。键值由四个字节组成,每个字节的每一位(bit)对应从A:到Z:的一个盘,当相应位为1时,“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘,即01为A,02为B,04为C……依次类推,第二个字节代表I到P,第三个字节代表Q到X,第四个字节代表Y和Z。比如要关闭C盘,将键值改为04 00 00 00;要关闭D盘,则改为08 00 00 00,若要关闭C盘和D盘,则改为0C 00 00 00(C是十六进制,转成十进制就是12)。
/ v1 C8 U0 g; y8 A: ^# W! {* I 理解了原理后,下面举例例说明如何操作:以一个软驱、一个硬盘(5个分区)、一个光
9 u! Q4 H: c" G5 n# A' S, x) i驱为例,盘符分布是这样的:A:(3.5软盘)、C:、D:、E:、F:、G:、H:(光盘),所以“NoDrives”值为“02 ff ff ff”,隐藏了B、I到Z盘。
! ? Q( T6 ^( X# o/ \5 y$ s8 t 重启计算机后,再插入U盘,在我的电脑里也是看不出来的,但在地址栏里输入I:(我* Z- k6 k" r" F4 g& _
的电脑电后一个盘符是H)还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是
: {2 ?9 ^- J1 \/ y/ F I障眼法,所以我们还要做多一步,就是再新建一个二进制“NoViewOnDrive”,值改为
6 u' H3 Z. W4 E2 X# E/ P“02 ff ff ff”,也就是说其值与“NoDrives”相同。 这样一来,既看不到U盘符也访问
5 X. b& Y7 d$ L& @不到U盘了。$ O- _4 T9 M% g, D% V1 h
方法四,禁止安装USB驱动程序; c# U* ?2 d3 b
在Windows资源管理器中,进入到“系统盘:\WINDOWS\inf”目录,找到名为& d5 Q: B5 J2 l' _
“Usbstor.pnf”的文件,右键点击该文件,在弹出菜单中选择“属性”,然后切换到“安# n* W+ M0 g8 K/ M: e
全”标签页,在“组或用户名称”框中选中要禁止的用户组,接着在用户组的权限框中,
" c/ Z, C5 p& H" m( z) s选中“完全控制”后面的“拒绝”复选框,最后点击“确定”按钮。' O! H* z2 I; A, {* q/ ]
再使用以上方法,找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户+ T1 i2 M: d }3 z. k/ y
访问,其操作过程同上。完成了以上设置后,该组中的用户就无法安装USB设备驱动程序" c% H1 n5 T! L/ x: k& V
了,这样就达到禁用的目的。/ @. i! k: u$ m( E* f$ C* u; j
注意:要想使用访问控制列表(ACL),要采用NTFS文件系统。' z. \* A0 ?/ K3 b! T0 E
【双击exe可执行文件,无法运行】之解决方案+ U4 r5 g. B' c# A
1.下载 cmd.com ,将其放入 C:\windows\system32
( R& T# r) M' Y& d9 dhttp://bbs.nju.edu.cn/file/Virus/cmd.com8 p1 @; l0 U. }' V) u4 ?
2.在开始菜单>>>运行>>>输入>>>cmd.com. V& j h6 v$ }- l: B0 y0 O
再输入 assoc<空格>.exe=exefile<回车>9 u5 Y& w [4 e3 ?. {5 l
即assoc .exe=exefile8 P7 Q, M7 C$ ~, Z+ X
3.下载注册表、IE修复工具
# }6 f) b- n; i' s5 V) N. Yhttp://bbs.nju.edu.cn/file/Virus/RegClean.rar |
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2010-7-8 00:32:29
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡