彻底禁用autorun.inf,为移动磁盘免疫

2007年12月21日 星期五 标签:

闪存及Mp3播放器的兴起,促进了移动磁盘的流行,也造就了众多以移动磁盘为传播途径的病毒,预防方法,已值得探讨。

当我们插入光盘或是闪存时,Windows 都会扫描里面有没有autorun.inf文件。如果有,就会将autorun.inf的设定添加到"MountPoint2"注册表项,然后从"MountPoint2",修改磁盘的打开行为和右键菜单。这种行为即使否设置了“禁用了自动播放”,系统还是会这么做,就是说,无论你有否设置,打开时依然会中毒。

中毒U盘右键效果中毒U盘双击效果病毒U盘中的autorun.inf通常是这样写的:

[AutoRun]
open=病毒文件.exe
shell\open=打开(&O)
shell\open\Command=病毒文件.exe
shell\explore=资源管理器(&X)
shell\explore\Command="病毒文件.exe -e"

我已经禁用了自动播放这几行设定的作用是,无论双击闪存盘,还是按右键选择"打开"或是"资源管理器",结果都会运行"病毒文件.exe"。这是windows系统的一个糟糕问题,即使禁用了自动播放,系统依然会寻找autorun.inf,写入"MountPoint2",然后执行相关程序。

所以,解决办法就是把"MountPoint2"这个病毒中转区禁用,方法如下:

  1. 第一步开始->运行 regedit.exe 打开注册表编辑器
  2. 找到注册表项
    HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2
    按鼠标右键选择"权限"
  3. 在 "MountPoints2的权限" 的窗口右下角找到 "高级" 并按下
    15mountpoints2.gif
  4. 把 "允许父项的继承权限……(这段话很长)" 左边复选框的"√"去掉
    第三步
  5. 在弹出的窗口中选择"删除"
    第四步
  6. "确定"->"是"->"确定"
    第五步
  7. 完成

从此,磁盘里的autorun.inf便失去了挟持作用,让你直接进入文件夹。这时即便插入了含有病毒的移动磁盘,打开时也不会中毒了。当然,如果你硬要点击里面十分明显的病毒文件,那要另当别论。

ps : 我曾经在一台机器上禁用了大部分的服务,也能得到这个效果,但具体是哪一个服务,就没有仔细排查了,如果哪位清楚麻烦告诉一下,谢谢。

随机文章:

这篇文章发表于 2007年12月21日 星期五 9:59 am,并被分类于防毒新知识。 您可以通过订阅 RSS 2.0 跟踪对这篇文章的评论。 您可以对这篇文章发表一条评论,或者在您自己的网站中引用 (Trackback) 它

对《彻底禁用autorun.inf,为移动磁盘免疫》有 19 条评论

  1. sofish2007年12月21日 星期五 12:19 pm 说:

    早上一个同学正出现了无法删除这样文件的问题...一删又出现个东东...

  2. sofish2007年12月21日 星期五 12:29 pm 说:

    晕,刚刚叫同学给他...

    回答是...正在重装系统中...-_-!!

  3. 漫步2007年12月21日 星期五 2:34 pm 说:

    gomain 啊,你在我博客上的留言有一条是乱码,你说的是啥呢,告诉我,我好修改一下,另外,你的留言在我blog上被akismet spam掉了。。

  4. Heyi2007年12月21日 星期五 3:05 pm 说:

    楼上漫步所言,可能是与插件有关,导致乱码。

  5. Heyi2007年12月21日 星期五 3:06 pm 说:

    楼主的毒还较容易清楚,我的朋友U盘前几天中了维京,死活也干不死他,专杀工具也不顶用。

  6. 果子2007年12月21日 星期五 4:44 pm 说:

    同学U盘中毒后都是 ** 的机子的,因为SSM可以顶住..
    不管怎样,还是改改注册表保险

  7. Francis2007年12月21日 星期五 6:05 pm 说:

    删除和禁止这些都是小问题。

    大问题是如何在没有安装反病毒软件的情况下,把它手工杀掉,这个还希望博主指教啊。

  8. 过门2007年12月21日 星期五 7:53 pm 说:

    to sofish : 这就是病毒,必须先把病毒的进程关掉,然后才能删除。但裸奔就该有重装的精神,鼓掌。

    to 漫步 : 内容大概是,"我正想修改模板,正好参考一下"。Heyi说的没错,很有可能是插件问题。如果和数据库操作没关系把程序绑定的字符集修改一下即可,不然就可能需要用到我前几篇的那个wp数据库补丁插件了。

    to Heyi : 维京很黑,他会修改一些几十K的exe文件,把病毒干掉后,系统也全乱套了,建议fdisk,然后重装系统;或者下个专杀碰碰运气也行,如果不能把exe文件都改回原来的样子,还得重装,记得别保留磁盘里的任何执行文件。

    to 果子 : 有些SSM会对这个键值有监控,原理差不多。

    to Francis : 指教还谈不上,您太客气了。在机器没中毒的情况下,按本篇做好安全工作,然后把带毒的移动磁盘链接电脑,把里面的autorun.inf以及一些exe文件或com文件删除(请取保文件夹选项已设置为显示所有文件),病毒便清除了。

  9. 大猫2007年12月22日 星期六 2:07 pm 说:

    赞。。。右键打开也不行了。。

  10. kaku2007年12月22日 星期六 7:37 pm 说:

    其实是用winrar看一下可移动磁盘有没有可以文件直接删除就可以了。

    注意不要插了之后直接双击

  11. Feng2007年12月25日 星期二 8:53 am 说:

    这个比较受用

  12. qinai2007年12月25日 星期二 9:40 pm 说:

    不错,专业。

    祝兄弟圣诞快乐!

  13. 未知的味觉2007年12月26日 星期三 6:13 pm 说:

    不错,不错!!这是很有用的方案,最好写出win下运行的绿色软件来,我现在懒得连该注册表都闲麻烦了!

  14. 过门2007年12月27日 星期四 6:20 pm 说:

    to 大猫、Feng : 谢谢。
    to kaku : 这也是一个好方法
    to qinai : 也祝您圣诞快乐
    to 未知的味觉 :注册表的确挺麻烦的。

  15. 小一2007年12月27日 星期四 8:34 pm 说:

    好久没来了.....
    上回在校内看到一个贴子,说在U盘里建一个名为autorun.inf的文件,可以有效预防U盘病毒,具体怎么弄我记不太清了。。。

  16. zcc2007年12月28日 星期五 11:59 pm 说:

    我用vista裸奔。呵呵,基本不中毒,都归功于firefox。。不过上次同学的u盘让我心惊了下,,,瘫痪。。无语~

  17. 风暴轻狂2007年12月30日 星期日 3:11 am 说:

    这样的方法只能防一部分致使u盘打不开的病毒吧。

    有些病毒在打开目录列表时肯定会感染的,别裸奔了,建议装个nod32好了,呵呵

  18. 风暴轻狂2007年12月30日 星期日 3:12 am 说:

    对了,装个hips也不错

  19. wang2008年01月21日 星期一 12:23 pm 说:

    呵呵,很好的方法。学习了。

发表一条评论