U盤病毒

U盤病毒，又稱Autorun病毒，就是通過U盤，產生AutoRun.inf進行傳播的病毒，隨著U盤、移動硬碟、存儲卡等移動存儲設備的普及，U盤病毒已經成為比較流行的計算機病毒之一。

識別U盤速度變得極為緩慢，且雙擊U盤盤符時無法打開，當然右鍵菜單選擇“打開”也不行；雙擊U盤盤符時無法打開，但在資源管理器窗口中卻可以打開其盤符，用WinRAR打開U盤，發現了u.vbe文件和類似回收站圖標的文件；右鍵菜單里多了“自動播放”、“Open”、“Browser”等命令項目，U盤無法正常拔插；所有EXE程序被關聯，且快捷方式圖標全部換成類似.com程序的默認圖標；U盤裡面的所有文件夾並成*.exe格式文件或快捷方式文件，不能正常打開；選擇“開始”菜單→“運行”命令，輸入cmd進入命令行模式，輸入C：按回車鍵，進入C盤根目錄后，輸入dir/a查看所有文件，會出現現Autorun.inf和RavMon.exe這兩個文件。通過識別這些特徵，有助於我們預防U盤病毒。

U盤病毒通過隱藏，複製，傳播三個途徑來實現對計算機及其系統和網路的攻擊的。

（1）隱藏。U盤病毒的隱藏方式有很多種： ①作為系統文件隱藏。一般系統文件是看不見的，所以這樣就達到了隱藏的效果；②偽裝成其他文件。由於一般計算機用戶不會顯示文件的後綴，或者是文件名太長看不到後綴，於是有些病毒程序將自身圖標改為其他文件的圖標，導致用戶誤打開；③藏於系統文件夾中。這些系統文件夾往往都具有迷惑性；④運用Windows 的漏洞。有些病毒所藏的文件夾的名字為runauto...，這個文件夾打不開，系統提示不存在路徑，其實這個文件夾的真正名字是runauto...\

（2）複製。U盤病毒具有輪渡技術，即將系統中的某些指定關鍵字的文件複製到優盤中，當優盤插入到具有上網條件的計算機中使用時，優盤病毒會將已經複製的文件傳送到指定的郵箱或者木馬病毒控制端。

（3）傳播。當隱藏或中毒U盤插入到一台沒有任何病毒的電腦上后，使用者雙擊打開優盤文件瀏覽時，Windows 默認會以autorun.inf 文件中的設置去運行優盤中的病毒程序，此時Windows 操作系統就被感染了。

在這三個過程中，系統設置的autorun.inf文件運行起著關鍵作用。病毒通過其設置木馬程序。使得其文件格式變為以下幾種：自動運行的程序Open=filename.exe；修改上下文菜單，把默認項改為病毒的啟動項ShellAutocommand=filename.exeShell=Auto；只要調用Shell ExecuteA/W 函數試圖打開優盤根目錄，病毒就會自動運行Shellexecute=filename.exeShellExecute=；偽裝成系統文件，迷惑性比較大，較為常見的就是偽裝成垃圾回收站。Shellopen=打開（&O）ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=資源管理器（&X） \

U盤病毒又稱Autorun病毒，是通過AutoRun.inf文件使用戶所有的硬碟完全共享或中木馬的病毒；能通過產生AutoRun.inf進行傳播的病毒，都可以稱為U盤病毒。隨著U盤、移動硬碟、存儲卡等移動存儲設備的普及，U盤病毒也開始泛濫。病毒首先向U盤寫入病毒程序，然後更改autorun.inf文件。autorun.inf文件記錄用戶選擇何種程序來打開U盤。如果autorun.inf文件指向了病毒程序，那麼Window就會運行這個程序，引發病毒。一般病毒還會檢測插入的U盤，並對其實行上述操作，導致一個新的病毒U盤的誕生。

隨著U 盤，移動硬碟，存儲卡等移動存儲設備的普及，U 盤病毒也隨之泛濫起來。國家計算機病毒處理中心發布公告稱 U 盤已成為病毒和惡意木馬程序傳播的主要途徑。

U盤病毒會在系統中每個磁碟目錄下創建Autorun.inf病毒文件(不是所有的Autorun.inf都是病毒文件)；藉助“Windows自動播放”的特性，使用戶雙擊盤符時就可立即激活指定的病毒。

自然，病毒程序不可能明目張膽的出現，一般都是巧妙存在在U盤中。下面總結了一些方式，僅供參考：

1）作為系統文件隱藏。一般系統文件是看不見的，所以這樣就達到了隱藏的效果。但這也是比較初級的。病毒一般不會採用這種方式。

2）偽裝成其他文件。由於一般人們不會顯示文件的後綴。

3）藏於系統文件夾中。雖然感覺與第一種方式相同，但是不然。這裡的系統文件夾往往都具有迷惑性，如文件夾名是回收站的名字。

4）運用Window的漏洞。有些病毒所藏的文件夾的名字為 runauto...,這個文件夾打不開，系統提示不存在路徑。其實這個文件夾的真正名字是 runauto...\。

5）隱藏文件夾，生成對應的文件夾圖標的病毒文件（文件夾模仿者）或者快捷方式（暴風一號）

6）其他新型u盤病毒：比如2010年由金山毒霸率先發現的假面exe新u盤病毒

<以auto為例rose和host一樣處理。>

<切記 這個方法只適合你發現病毒早 中的不深。>

1、進安全模式。<開機啟動進畫面時按下F8 可以選擇進入>.

2 、運行下輸入``regedit`` 進註冊表后/ 在ROOT根目錄下

進DRIVE /把SHELL下所有鍵值刪除。<技巧：搜索 SHELL 看到Autorun全刪除。>

3、然後就是清理工作。在盤的文件夾設置選項下 打開隱藏。再刪除Autorun產生的隱藏文件。

如果中毒比較嚴重了。又懶得使用軟體那使用下面方法

新建一個文本文檔，並將下面的代碼複製其中。複製完畢後點擊左上角的“文件－另存為”在下面的文件名那裡將該文檔的名稱“新建文本文檔.txt”改為“killer.bat”，保存完畢后雙擊運行即可。

@echo on

taskkill /imexplorer.exe/f

taskkill /imwscript.exe

del c:\autorun.* /f /q /as

del %SYSTEMROOT%\system32\autorun.* /f /q /as

del d:\autorun.* /f /q /as

del e:\autorun.* /f /q /as

del f:\autorun.* /f /q /as

del g:\autorun.* /f /q /as

del h:\autorun.* /f /q /as

del i:\autorun.* /f /q /as

del j:\autorun.* /f /q /as

del k:\autorun.* /f /q /as

del l:\autorun.* /f /q /as

startexplorer.exe

U盤病毒都是通過Autorun.inf來進入的；Autorun.inf本身是正常的文件，但可被利用作其他惡意的操作；不同的人可通過Autorun.inf放置不同的病毒，因此無法簡單說是什麼病毒，可以是一切病毒、木馬、黑客程序等；一般情況下，U盤不應該有Autorun.inf文件；如果發現U盤有Autorun.inf，且不是你自己創建生成的，請刪除它，並且儘快查毒；如果有貌似回收站、殺毒文件等文件，而你又能通過對比硬碟上的回收站名稱、正版的殺毒軟體名稱，同時確認該內容不是你創建生成的，請刪除它。

同時，一般建議插入U盤時，不要雙擊U盤，另外有一個更好的技巧：插入U盤前，按住Shift鍵，然後插入U盤，建議按鍵的時間長一點。插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤。

註：部分U盤製造商可能也會利用Autorun.inf進行自己的特色設計，目的是為了讓用戶執行廠商的特色程序。已確認部分廠商確實使用了這種方式，因此建議購買U盤是先做識別，或諮詢銷售人員。

可下載金山u盤專殺到D盤根目錄（av終結者2010會刪除桌面的專殺，所以建議下載到硬碟的任一分區下。），然後打開，點擊快速掃描 即可清除。金山u盤專殺是查殺效果最好，更新最快的u盤病毒專殺。

上述的病毒都會運用到系統的自動播放功能，當雙擊打開磁碟時，就會激活並運行病毒。而且上述的Copy病毒主要是利用U盤傳播，而人們普遍都喜歡開著系統的自動播放功能，這樣，在U盤一插入電腦時就會自動打開U盤內的內容，這雖然方便了操作，但卻成了病毒傳播的重要手段！！

下面就來關掉系統的自動播放功能

1 、開始－>運行，輸入下面的命令gpedit.msc

2、用戶配置－>管理模板－>系統－>關閉自動播放－>啟用。

USBCleaner6.0

U盤病毒又稱Autorun病毒，是通過AutoRun.inf文件使對方所有的硬碟完全共享或中木馬的病毒，隨著U盤，移動硬碟，存儲卡等移動存儲設備 的普及,U盤病毒也隨之泛濫起來。國家計算機病毒處理中心 發布公告稱U盤已成為病毒和惡意木馬程序傳播的主要途徑。面對這一需要,U盤病毒專殺工具USBCleaner應運而生了.USBCleaner是一種純 綠色的輔助殺毒工具，具有檢測查殺70餘種U盤病毒,U盤病毒廣譜掃描,U盤病毒免疫，修復顯示隱藏文件及系統文件，安全卸載移動盤盤符等功能，全方位一 體化修復殺除U盤病毒。同時USBCleaner能迅速對新出現的U盤病毒進行處理。

USBKiller

【軟體功能】

除了可以30秒閃電查殺RavMone、 Rose、rising、Fun.xls等幾十種通過U盤傳播的病毒，還可以對系統實行主動防禦，自動檢測清除插入U盤內的病毒，從根本上杜絕病毒通過U盤感染電腦，解決你的後顧之憂。免疫功能讓病毒永遠也無法進入你的U盤；解鎖功能解除U盤鎖定狀態，解決無法安全刪除設備問題；修復功能修復無法顯示隱藏文件、雙擊無法打開硬碟、清除右鍵Auto字樣、修復無法打開殺毒軟體。

【軟體特點】

1.獨創SuperClean高效強力殺毒引擎,查殺auto.exe、AV終結者、rising等上百種頑固U盤病毒，保證95%以上查殺率

2.國內首創對電腦實行主動防禦，自動檢測清除插入U盤內的病毒，杜絕病毒通過U盤感染電腦

3.免疫功能可以讓你製作自己的防毒U盤

4.防止他人使用U盤、移動硬碟盜取電腦重要資料

5.解除U盤鎖定狀態，解決拔出時無法停止設備的問題

6.進程管理讓你迅速辨別並終止系統中的可疑程序

7.完美解決雙擊無法打開磁碟的問題

8.兼容其它殺毒軟體，可配合使用

超級巡警之U盤病毒免疫器

本工具可對選定磁碟進行特別的免疫處理，使得它的自動運行特性完失效，從而避免帶毒的移動磁碟插入本機后病毒立即自動執行。本工具還具備修復系統磁碟關聯和取消系統自動運行特性，徹底解決某些殺毒軟體在殺除病毒后無法打開磁碟的癥狀。

註：如果不選擇任何磁碟，將執行附加功能，即修復磁碟關聯和取消系統自動運行特性。

使用說明：

1.首先選擇免疫的目標，可以選擇所有本地驅動器，也可以選擇指定的盤，比如U盤。

2.然後執行免疫即可。這將在磁碟上建立免疫的目錄，此後這個U盤拿到別的機子，即使把自動運行的病毒拷入，也無法激活運行。如果想刪除免疫的目錄，該目錄無法簡單刪除，請在工具中選擇取消免疫!

3.修復磁碟打開關聯是指，在感染了某些AUTORUN.INF病毒，用戶自行手動刪除后使得雙擊該磁碟無法打開，選中該項目將進行修復。

4.禁止自動運行功能，將屏蔽系統的自動運行功能。

金山U盤專殺

簡要介紹：金山系統急救箱團隊開發的一款U盤專殺工具,採用兩套特徵庫匹配，兩種U盤病毒高啟發演演算法。可以清除已知樣本1000多個，並可以啟發清除未知U盤病毒。

U盤病毒專殺工具2010年01月17日更新處理Conficker變種。

可以解決以下情況：

1．U盤原來存在的文件夾全部被隱藏

2．插入U盤后每個有文件的文件夾裡面都會出現一個和該文件夾同名的，文件夾圖標的EXE文件

3．U盤出現里的文件夾後綴名為exe，scr的文件

4．所有U盤原文件夾別隱藏，出現1.2MB同名exe 或者1.4M

5．U盤中毒後文件夾看不見了，如果恢復呢？