最近看了很多关于 硬盘,U盘右键"auto"系统,重装以后重新感染,及双击打不开硬盘的帖子,,所以写了这帖,与大家共同对付这个可恨的autorun.inf类型的病毒7 `" O% G2 W; s, g5 l2 {, K& u+ ~5 `
7 E3 d0 e7 Q/ ?7 D
首先我们右键打开硬盘 显示所有文件如下图.不能显示所有文件的朋友请参看! F* e( H$ w! n$ Y* ~) ?
http://bbs.kingsoft.com/viewthre ... &extra=page%3D1
2 W: }9 `+ T, ]" u[attach]16010492[/attach]
* c& D1 ]) B$ K7 U7 ?! ~9 N一般情况下我们在分区根目录下将看到 autorun.inf 和sxs.exe(这个不一定这里以sxs.exe为例),
9 }8 N% G8 z3 h' @+ ^: i[attach]16010493[/attach]
4 D$ a; j* K! D2 `+ h/ f可以用记事本打开autorun.inf -----内容基本是这种格式的
( u, W5 P4 x! X) k[AutoRun]4 v+ t& Q7 P7 h
open=sxs.exe, k4 P1 T3 U- m
shellexecute=sxs.exe( e0 c% g. q5 r  c  v+ |
shell\Auto\command=sxs.exe
' G6 t1 `; ?1 h% f' |sxs.exe 就是罪魁祸首了,^_^当然我这里的是正常程序
, N8 ]  s) Y, s( f1 T现在我们可以直接删除 AutoRun.inf 和相对应的sxs.exe,对所有分区清理以后就可以了恼人的autorun.inf就驱逐出偶们神圣的电脑
0 u6 ^8 p! j- q
0 Q6 z; z  ^( n( ~2 y2 I一切的一切都是微软的自动播放惹的祸,那我们可不可以预防这种情况的发生呢,答案是肯定的
" e# a6 u) q: E% X  E
, V6 N3 N! ]! c& e/ K- _" p3 F6 w' u! P利用组策略，关闭所有驱动器的自动播放功能。
5 d* P! b5 ~5 j- W步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。(偶懒人拷贝了IE6SP1的Blog的东东,^_^铁军哥不会说偶"盗版"吧更多的就访问http://blog.xoyo.com/ie6sp1* e9 {6 `! g: O2 Y
[attach]16010494[/attach]1 l6 ^9 d1 H5 P/ [% L( B% ?
[attach]16010495[/attach]
1 S3 K+ C0 d% s1 V% i' e4 J1 b0 J[attach]16010496[/attach]7 _. l5 G6 {0 h1 o( c3 k$ l8 X
貌似现在网上还流行在分区根目录下创建名为autorun.inf的文件来预防auturun.inf的创建,邓爷爷说过不管白猫黑猫只要能给我们一点点帮助的就是好猫.大家就将就着试试吧
  n" w! U3 C% y4 Y9 n% p: \& [5 B[attach]16010497[/attach]
. `0 a: G' }9 h7 h  Q! m( P原理吗,^_^
* {% f& l& k- M( W[attach]16010498[/attach]$ b9 {4 M) H) U. ?$ u
友情提醒:
9 o) e) h( m3 L/ C: d5 j   现在很多病毒都喜欢上了autorun.inf, u盘又是这么的普遍,其实我们只要养成在u盘插入电脑的时候先使用杀毒软件杀毒或者选择右键打开 autorun.inf就无用武之地了.
% u) Y" N5 W/ X, V# [' ]" F写的有什么错误或者不正确的大家一起来帮忙修改吧- y& N3 i. h2 W8 B  }' q

, P( m4 r- f8 I! g: R2 }[ 本帖最后由 学习啊学习 于 2007-1-22 09:25 编辑 ]

好文章，顶一下。加精了。

不错。利用组策略这个方法应该说是比较彻底。不过不知有没有病毒会先检查并且恢复组策略在注册表中对应的这项设置。
& K) q3 N6 y# _, l9 u+ e+ N
, O8 ?. @1 N. C. y用icesword等第三方工具可以在不打开隐藏属性或者属性值被病毒破坏的情况下查找这些被病毒隐藏的文件。

给大家一个一健显示隐藏文件的东东

^_^ 感谢 Fido_Lyy  menace 的补充
$ P, J6 Z" K3 W! ?7 E0 }% J2 z
0 p, [" {3 D$ _- Picesword(冰刃)文件删除操作(删除多个文件时候按住ctrl键就可以选中多个文件了)
6 ]7 d: L$ h7 X* g- l0 A9 h% g- C/ a# j( v! f( |5 O
[ 本帖最后由 学习啊学习 于 2007-1-15 19:33 编辑 ]

上传一个自己用的显示隐藏文件bat文件

有时候Process Explorer这个软件也不错的，在Icesword被木马禁止时，可以应急

^_^ 最近的病毒针对冰刃的多了这个不错
6 V6 |$ a+ O9 u: T- u( P6 \% xProcessExplore下载地址
- v( [; a' q# L9 r  xhttp://download.sysinternals.com/Files/ProcessExplorer.zip1 f! m3 }2 H8 F: @6 I

4 `/ R0 O1 z& [9 y7 F4 }& t[ 本帖最后由 学习啊学习 于 2007-1-15 19:43 编辑 ]

PE不能一次结束多个进程，这个比较郁闷哦

^_^  偶一直期待下个版本的更新

写的不错啊.有历史研究价值.我冒险顶一下吧.

请教!对于使用非专业版XP的用户,是不是没有组策略编辑器?怎么才能关闭自动播放啊?

引用:

原帖由 内部编号 于 2007-3-5 04:07 发表
/ t4 a: t, f& ~. ]: X请教!对于使用非专业版XP的用户,是不是没有组策略编辑器?怎么才能关闭自动播放啊?

, m! J4 M; Y- e: n/ q
提供一个小工具楼主试试可以不（其他比如windows 优化大师 应该也会有的）

补充一下：最好用CMD--------md X:\autorun.inf
+ g& c, Z- x7 w7 a这么做肯定不会被覆盖

感谢"学习啊学习"我已经下载了这个小工具...不错!支持你![e03]

我的问题是第一次用过U盘后，硬盘上的所有文件夹的关联被改变了，原来默认“打开”变成了“AUTO”，选择“打开”来打开文件夹后，默认关联可以自动变回“打开”，但所有文件夹会冒出一个“DOS在这里”，连开始菜单中也有。用了很多办法，也没有找到硬盘上的TUTORUN.INF。怎么办啊？

显示所有文件了吗 ？？？

肯定”显示所有文件“了、也取消”隐藏系统文件“了，各种可能影响系统文件或隐藏文件的文件夹选项都试过了，也搜索过了，这些基本常识还是知道的。也用网友推荐的AUTORUN.INF专杀工具了，均一无所获，找不到AUTORUN.INF文件。手工编辑文件类型就是没有办法。只有注册表那个东西没搞清问题出在那个键下，故没动过。

进入注册表以后，展开HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell，删除shell下的autorun键值，刷新以后，此时就应该可以打开盘符了。
# q& B  j( R( k6 T5 O2 r' ~* n- a可能有多个!!

我的注册表跟你的一样啊！不过我的问题不是打不开盘符，也不是1楼说的，愿意帮忙的说，看一下原帖。: U! {7 _* g0 q9 `9 ?7 N& ]2 u
http://bbs.kingsoft.com/viewthre ... &extra=page%3D2