关于防范“双击进入盘符感染AutoRun.inf类型病毒”的清除方法
近段时间以来,局域网内病毒较多,对网络的正常运行造成重大影响。网内部分用户受到几种名为“svchost 广州大学华软学院” 病毒、 “熊猫烧香”病毒或威金病毒及其变种的攻击所致。该病毒发作时其症状表现为计算机运行较慢,用户上网速度极慢,甚至造成网络短时瘫痪 ,无法正常使用Word,Excel等办公软件,exe可执行文件无法运行等症状,极大地影响了校园网用户的正常使用,给整个校园网的安全带来严重 的隐患。为此,用户及时更新病毒库和安装系统补丁,提高防范措施:
一、病毒症状:
“svchost 广州大学华软学院” 病毒:
会在磁盘根目录生成一个autorun.inf和一个svchost.exe然后将它隐藏起来,对于系统不会造成重大影响,在后台运行svchost.exe程序,如 果结束该程序,电脑自动1分钟倒计时重新启动电脑,重装系统后也会很容易中毒。
“熊猫烧香”病毒:
会在磁盘根目录生成一个autorun.inf和一个setup.exe然后将它隐藏起来,会中止大部分杀毒软件的实时监控进程,接着感染exe文件,rar 文件,并且生成一个名为Desktop_.ini的病毒文件,而且会删除硬盘内的GHOST文件。影响电脑的正常使用。
“威金”病毒:
感染所有的exe文件.开机自动运行,执行后会在系统生成病毒文件,并在注册表添加系统服务随系统启动,试图终止安全相关的(杀毒软件 实时监控)程序,终止系统重要进程,注入自身到dll组件,全盘搜索.exe文件并注入自身到这些文件,无法清除使系统文件全部都感染病毒。 在共享的打印机上不停的打印,内容为当天日期。感染应用程序,只要一使用到某个应用程序马上就会被感染,并且Logo1_.exe会变成此应用 程序的图标。在局域网内部中传播相当快,能通过信使传播,被感染的机器很难清除干净。在某些电脑上的每一个文件夹还会有一个_desktop 的記事本文件,内容为当前日期。
二、病毒原理:
该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件 ,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下 载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器 上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运 行被感染病毒的程序、和带病毒的邮件附件等方式进行传播。
三、查杀要点:
中毒后的处理方式:自动查杀、手工查杀;
1、自动查杀:
a.升级至最新的病毒库或下载最新的专杀工具;
U盘病毒专杀工具V2.0正式版-USBCleaner 纯绿色 (
http://www.it1688.com/UpLoadFiles/Soft/2007-1/2007010411132892018.rar )
svchost广州大学华软学院病毒 专杀工具 (
http://www.it1688.com/UpLoadFiles/soft/2007-1/2007010209592281211.rar )
b.关闭相关网络共享资源或设置复杂的密码(用于清除病毒后防止再次感染);
c.杀毒时断开全部网络连接;
d.进入安全模式杀毒。
2、手工查杀与防治:
a、当别人将U盘插入自己的电脑,当出现操作提示框时,不要选择任何操作,关掉。
b、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的 盘符进去,否则会立刻激活病毒!
c、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到U盘中可能会出现 autorun.inf、setup.exe、wincfgs.exe、sxs.exe、rose.exe等病毒文件,直接删除!如果删除时候提示不能删除,可将这两个文件的属性由 “只读”改为“存档。若还不能删除,则重启电脑,在自检时按F8进入到安全模式下去删除。
最近发现:AdobeR.exe等病毒文件有时会躲入U盘或移动硬盘的“System Volume Information”里面,这需要先按照前述方法取消“隐藏 受保护的系统文件”,然后进入“System Volume Information”一个个清除目录下的所有文件病毒文件。
确定清除完后,把电脑重新启动一次。
重要提醒:如果以上方法都不能杀除,你的电脑可能已经中了很深的以AutoRun.inf形式感染的病毒,建议断开网络后重新安装系统,然后按手 工查杀u盘病毒的方法彻底清除病毒文件(注意每个分区都要注意检查到,并删除)!最后做好系统的备份工作。