cnkoo
级别: 管理员

只看楼主 | | | 0 发表于:2009-12-28 22:28

酷网社区讲解U盘病毒的危害及对策

U盘病毒的危害及对策
1.感染磁盘。U盘病毒运行在电脑中,病毒程序不断扫描各盘(包括硬盘分区、U盘、移动硬盘、内存卡等),并且在每个磁盘根目录下建立病毒文件的副本和一个autorun.inf或者autorun.pif自启动文件,有时会感染其他文件。
2.伪装成文件夹。U盘病毒会检查你的移动设备里有多少文件夹,并根据每个文件夹的名字建立同名的病毒文件副本(扩展名为exe),这个病毒副本的图标和文件夹的图标相同或者相似,并且病毒把原有文件夹的属性改成hidden(隐藏)或者system(也是隐藏的)。
3.用户中计,电脑被感染。因为windowsXP的默认配置是不显示文件的扩展名,不显示隐藏文件和系统文件,这就使你原来的文件夹实际上看不到,看到的是病毒文件,但病毒文件伪装的和原来的文件夹一模一样,如果你误以为那是你的文件夹并点了这个文件,病毒便会运行,并安装到电脑中(这个过程你是看不到的),同时病毒引导你进入正常的文件夹,所以你在完全不知情的情况下就中毒了。
4.通过自动播放运行。当移动设备插在电脑上时,通过windows的自动播放功能,自动执行autorun.inf文件,autorun.inf文件激活病毒程序。
5.通过双击盘符运行。如果windows自动播放功能被关闭,则移动设备不会被自行打开,病毒也无法直接运行,这时如果你不做任何操作,电脑是不会中毒的。但如果你双击盘符,则autorun.inf也一样会被运行,结果与4相同(注意:右击打开也不是安全的)。
预防U盘病毒的准备工作
1.安装杀毒软件。推荐的免费杀毒软件:
Nod32(360版),获取注册码可免费半年。半年后,还原系统或重装系统后可重新安装并获取注册码
Avast,捷克的杀毒软件,其home版式免费的,需要用邮箱注册,但不收费,注册后可用两年,到期后,可再注册,没有限制。功能还不错,服务器在国外,校园网用户无法升级。
小红伞avira,德国的杀毒软件,有免费版,亦存在类似Avast的升级问题,可以找代理服务器。
360杀毒软件,完全免费。

瑞星,一般没有免费版,但有时候搞活动会放出一些免费半年版什么的,到官方网站上看一下,如果你碰上了就可以免费用上一段时间。
还有正版windows用户可以使用微软附赠的杀毒软件MSE,如果你买了正版windows,就可以免费使用,Windows 7 家庭基础版 ¥399,家庭增强版¥699。
即使是收费的杀毒软件一般也有试用期,有的可以试用一个月甚至更长,如熊猫卫士,如何使用盗版杀毒软件,如盗版卡巴,不在本文讨论范围,请支持正版事业。
2.安装360安全卫士,打开U盘防火墙。
3安装U盘病毒专杀工具(USBCleaner或USBKiller),随机启动,实时保护。
4.关闭自动播放。具体方法如下:
开始->运行,输入下面的命令 gpedit.msc
计算机配置->管理模板->系统->关闭自动播放->启用(选择所有驱动器)
5.如果你的U盘具有写保护功能,在每次出去打印东西的时候,把写保护打开(不幸的是现在很少有U盘有写保护了)。
U盘已经中毒之后的处理
如果你去了打印店,并且U盘已经中毒了,建议您按照一下方法处理。
方法一:本方法比较简单,但比较慢。
1. 保证已经关掉电脑的自动播放。
2. 插入U盘后用安全软件扫描U盘,扫描干净后再打开。
这种方法,对那种装东西很少的U盘还可以,对那种东西很多的u盘很浪费时间,而且如果没有病毒,扫描多此一举。
方法2:本方法其实不难,但要有点经验。
1. 仍是保证已经关掉自动播放。
2. 插入U盘后,不要做任何操作。从开始菜单打开压缩文件管理器(WinRAR),定位到U盘,然后检查,如果发现autorun.inf立即删除。然后检查其他的文件,重点是exe文件和com,dll,sys等,只要不是你自己存的东西统统删掉,有些病毒和你原来的文件夹名字相同,但是末尾是exe,毫不犹豫的删掉。
3. 进一步的,检查那些曾经是你存的文件(主要是可执行文件exe),查看他们的修改时间,如果修改时间恰好就是去打印店的时间,那么很可能你的正常文件被感染了。如果你舍不得删,去咨询一下有经验的人吧,其实一般都是软件,可以再找一个,修复的可能性不大。
完成以上工作之后(无论你采用方法一还是方法二),你就可以安全的打开了。这时候你可能会发现U盘里空空如也,这时候有人一恼,直接就把U盘格式化了。千万不要这样做,而且从一开始中毒就没有必要有这样的想法。
其实如果你使用第二种方法,你打开WinRAR就可以看到你的文件都在。不过在资源管理器(即通常你打开文件夹,显示文件列表的那个窗口)却没有,其实前面已经讲过,病毒会把你的文件夹属性改成hidden或者system,这样你就看不见了。
不要试图把东西拷出来,拷出来之后,它仍是隐藏的。这就要改文件夹得属性,仍有两种方法。
方法一
1.在资源管理器的菜单中选择“工具——文件夹选项”,弹出文件夹选项对话框。然后选择“查看”选项卡。
2找到“隐藏受保护的操作系统文件”选项,去掉选中状态。
3找到“隐藏文件和文件夹”,选择“显示所有文件和文件夹”。
4找到“隐藏已知文件类型的扩展名”,去掉勾选。
5回到资源管理器窗口,大概你的文件夹都回来了,但好像是半透明的。你需要做的事情是:右击每个文件夹,选择属性,把隐藏去掉。
这个方法能够改掉hidden属性,却不能改掉system属性。
方法二
1与方法一相同,去掉隐藏已知文件类型的扩展名
2.新建一个txt文件
3.在txt文件中,写上以下内容,例如:
attrib -s -h G:/11
attrib -s -h G:/音乐
attrib -s -h G:/软件
你有几个文件夹,就写几个个attrib命令,s标识system,h标识hidden,G是你的U盘盘符,如果你的是F,就写F斜线后面的文件夹名与你原来的文件夹名一致,你可以在WinRAR中看到这些文件夹名,并复制出来。
4.把你的txt文件的扩展名改成bat,(图标会变成齿轮状),双击这个bat,你被隐藏的文件夹就一个个都出来了。
attrib命令亦可以在命令提示符(dos)下执行,这根据你的习惯而定。
电脑中毒之后
如果你没有注意,你的电脑也中了毒了,就要杀毒或者重装系统。一般U盘病毒都是很厉害的蠕虫,不容易杀,杀毒软件一般杀不干净,严重的情况,病毒会把杀毒软件劫持,杀毒软件无法启动。病毒专杀能够杀干净,但是你得能识别病毒的具体品种,否则不知道该下什么专杀,所以对于中毒至深的电脑,还是建议重装系统。
网上亦有很多手动清除病毒的方法,一般都是针对某一种病毒的,但病毒五花八门,这里没办法一一列举,而且也不适合初级用户。有兴趣的网友,自己去找吧。
重装系统要注意的问题。
1准备工作:转移文件。
常常有这种问题,有人重装了系统之后,自己存在东西不见了。所以,在重装系统之前一定要转移文件。通常情况下,重装系统会格式化C盘,所以要把C盘的东西转移出来。除了windows、program files、Documents and Settings以外的文件夹,有可能是你存东西用的,看一看又没有你要的东西,有的话拷贝出去。然后看Document and Settings,里面有几个用户的文件夹,每个用户都包含我的文档、桌面、程序、收藏夹等。程序就是你的开始菜单,桌面就是你的windows的桌面,收藏夹就是你的IE的收藏,我的文档里则有你无意中存的东西。通常windows和program files里没有需要保存的,但也不是绝对的,如果你用遨游浏览器,那么它的收藏要在遨游界面上导出。
2重装系统。建议选择格式化C盘的方式,这样C盘会干净一些。
3重装系统之后。如果电脑中了病毒,则每个硬盘分区根目录都会有病毒的副本以及autorun.inf文件,而且你存的很多软件或游戏的安装包也可能已被感染。所以即使你重装了系统,并且C盘被格式化过,但D、E盘仍有病毒,这时如果你双击打开D、E盘,病毒会恢复如初。所以重装系统过程中以及之后,坚决不要动这些盘。这里要声明一点,通过格式化C盘的方法装完系统后,系统中是没有病毒的,C盘没有,D盘、E盘的病毒是处于睡眠状态,并没有运行,只是等待你去激活它,所以这时候你插上U盘,U盘也不会中毒,这时可以从网上下载,或者用一个干净的U盘拷一个杀毒软件和WinRAR的安装包,安装好之后,采用前面所述的清除U盘病毒的方法去清理D盘和E盘等。清除掉病毒后,就可以正常打开这些盘了。

酷网社欢迎您的到来
lk787095
级别: 新手上路
只看该作者 | | | 1 发表于:2010-11-05 12:09

新建文章2

支持支持,全力大力支持~~
南京性功能障碍 南京性功能障碍 南京泌尿感染治疗 南京泌尿感染治疗 南京泌尿感染治疗
南京泌尿感染治疗 南京泌尿感染治疗 南京泌尿感染治疗 南京泌尿感染治疗 南京泌尿感染治疗 南京泌尿感染治疗 南京性功能障碍 南京性功能障碍 南京性功能障碍 南京性功能障碍
南京性功能障碍 南京性功能障碍 南京性功能障碍 南京性功能障碍 南京性功能障碍