熱點推薦:
您現在的位置: 電腦學習網 >> 網絡技術 >> 正文

感染了閃存病毒怎么辦

2013-09-12 15:53:41  來源: 網絡技術 

  菜菜鳥:前幾天我中了閃存病毒,利用《電腦報》教的方法查殺了。我對閃存病毒的工作原理比較好奇,想知道它是怎么危害我們這些網民的,哪位大蝦可以指點迷津?
  唉!現在閃存病毒四處肆虐,像你這樣的受害者數不勝數。之所以這種方法流行,一個重要原因就是黑客發現對病毒進行閃存化很簡單,當真是誰用誰知道!
  閃存病毒主要是通過閃存等可移動存儲設備進行感染,一般是利用“Autorun.inf”文件進行病毒激活,讓系統的“自動播放”功能來觸發病毒進行傳播,而且每當我們雙擊閃存分區圖標時,該病毒就會通過“Autorun.inf”文件中的設置再次激活病毒,導致病毒復發,難以清除。
  小知識:Autorun,也指Autorun.inf,是電腦操作系統的DVD以及閃存自動播放功能,也可以用于自動運行文件及修改磁盤圖標。
  一般情況下,只要右擊自己的閃存,第一項顯示的不是“打開”而是“Auto”、“自動播放”、“Open”、“Browser”等選項,則說明你的閃存可能已經中病毒或曾經中過病毒了(圖1)。
  一般Autorun.inf有這么幾行命令:
  [autorun]
  open=**** //雙擊盤符自動打開****文件
  icon=****.ico //將盤符圖標變成****.ico
  shell=**** //新增右鍵選擇菜單項目為****
  當讀者打開盤符的時候就已經自動運行****這個文件了,下面我們就來剖析閃存病毒的工作原理。www.hbhskj.tw
第一步: 制作病毒
  新建一個文本文件或記事本文件,在文件中輸入以下內容:
  [AutoRun]
  open=sxs.exe
  shellexecute=sxs.exe
  shell\Auto\command=sxs.exe
  其中sxs.exe是服務端文件名,也就是病毒或木馬文件名。輸入完畢后保存,然后用鼠標右鍵點擊該文件,在彈出菜單中選擇“重命名”,改名為AutoRun.inf。把AutoRun.inf和配置好的服務端sxs.exe一起復制到用戶的驅動盤根目錄下,這樣不需要對方運行服務端程序,而只須對方雙擊D盤就會使病毒或木馬運行(圖2)。

第二步:感染病毒
  當計算機用戶將沒有任何病毒的閃存插入潛伏了病毒的主機上,通過一些常用的操作后,可能就會激發病毒程序。病毒首先會將自身復制到閃存中,同時創建一個名為AutoRun.inf的文件。此時,病毒順利地在閃存上扎根了。
第三步:傳播病毒
  由于Windows系統具有“自動播放”功能,當計算機用戶把閃存插入到計算機上后, Windows系統的“自動播放”功能就會自動運行AutoRun.inf文件里面的設置,將病毒種植在這臺計算機上,此時病毒就會在Windows系統中扎根了。
  即便計算機用戶利用殺毒軟件殺掉了硬盤中的病毒,但只要雙擊閃存盤符,照樣會激活閃存中的AutoRun.inf文件,病毒程序就會再次運行。
總結
  知道了原理,我們就好防范了。除了要對電腦安裝防火墻和殺毒軟件并經常進行升級外,還應該關閉操作系統的“自動播放”功能。此外,在使用閃存之前,最好先查殺一下。
小知識:AutoRun.inf主要命令參數格式
1.自動播放運行程序
  (1)Open命令:在光盤驅動器上生成“自動播放”菜單項。“=”后的文件必須是exe、bat、com類型的文件。
  格式:open = =*.exe,*.bat,*.com
  注意:*.exe,*.bat,*.com文件必須和AutoRun.inf文件在同一根目錄下。
  (2)ShellExecute命令:在所有的驅動器上生成“自動播放”菜單項。雙擊時自動運行“=”后的文件,此時“=”后可以為任意擴展名的文件。
  格式:shellexecute=*.*或[path\]*.*
2.自定義驅動器圖標
  格式:icon=[path\]圖標文件名或是[path\]*.exe[,0,1,2...]*.dll[,0,1,2...]
  圖標文件名:包含圖標信息的 .ico、.bmp、.exe、.dll文件名。如果該文件包含多于一個圖標,必須用一個從0開始的索引進行標記。
  注意:path路徑必須是本驅動器的路徑,即ico bmp、exe、dll必須在本驅動器內。
3.添加右鍵菜單
  格式:shell\n=名稱
  shell\n\command=命令
  兩者合成:shell\名稱\command=命令
  “shell”指菜單,“n”可以為任意字符串,“名稱”即你想要的右鍵菜單名稱,命令即你在單擊該菜單項時執行的命令。

 

巧用Win2000控制臺刪感染文件   本人的一臺操作系統為Win2000 Server的筆記本電腦最近被感染了病毒,我首先用新升級的Symantec AntiVirus企業版來掃描計算機,掃描報告如下:(本文為WWW.SQ120.COM電腦知識網推薦文章)
  病毒名稱:Hacktool
  文件名:c:\winnt\system32\ntservice.exe
  操作:刪除失敗,隔離失敗,訪問被拒絕
  再用KV2004來殺毒,依然顯示發現病毒,刪除失敗。
  如何才能徹底刪除呢?
  因為c:\winnt\system32\ntservice.exe已經在運行了,直接刪除顯然是不可能的。于是我運行Windows任務管理器,在進程選項卡中選擇結束ntservice.exe進程,結果系統顯示“無法中止進程,拒絕訪問”。
  我突然想到在Win2000(XP)的控制臺狀態下是可以用DOS命令的。
  什么是控制臺
  控制臺是Windows的一種簡易運行模式,它可以不啟動圖形界面而在命令行狀態下有限制地訪問FAT和NTFS分區,并對系統進行一些設置和操作。
  通過控制臺,我們可以更換系統文件、關閉或者禁用某個系統服務、禁用或卸載硬件設備、修復引導扇區、新建分區以及格式化硬盤分區等。
  啟動控制臺
  對于Windows2000,我們可以用光盤啟動電腦,然后在安裝程序的選單中按R鍵選擇“修復Windows2000安裝”,再從修復選單中按C鍵選擇“故障恢復控制臺修復Windows2000”。
  對于Windows XP,同樣是用光盤啟動電腦,然后按R選擇修復,就能直接進入控制臺。
  直接把控制臺的相關選項安裝到啟動菜單中的方法:把光盤放入光驅,然后直接在運行中輸入“d:\i386\winnt32/cmdcons”之后回車(這里假設你的光驅是D),再點擊“是”,就可以把控制臺選項安裝到高級啟動菜單中,這樣以后直接從硬盤就可以進入控制臺中。這個方法適用于Windows2000和WindowsXP。
  在控制臺的命令提示符下,為安全起見,我首先對ntservice.exe進行備份,然后直接運行:del c:\winnt\system32\ntservice.exe就OK了。  
From:http://www.hbhskj.tw/Article/Network/201309/403.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.   
    体彩内蒙古十一选五82