一、关于Autorun.inf
有不少病毒都是借着autorun.inf的外壳进入计算机的,因此一些人把病毒与autorun.inf直接划等号。这是不对滴!
autorun.inf本身是Windows系统的文件,一般出现在每个逻辑盘的根目录中。双击该文件(不用担心会中病毒),可以看到里边相关的设定,比如:设定逻辑盘的图标,还有自动运行的程序。
问题就出在这里,自动运行的程序。
一些光盘可以自动运行,其实就是利用了这个功能,双击光盘图标,会自动运行光盘中的程序。
因此,某些病毒利用了这一功能,把病毒文件写在了自动运行的位置,这样,当你双击某个逻辑盘盘符的时候,病毒文件就被运行了。所以有时候,有些人会告诉你:“不能双击的时候,通过右键鼠标,点打开就可以了”,却没有意识到其实是病毒修改了Autorun.inf。
解决办法也很简单,打开autorun.inf,看里边自动执行的程序是哪个,然后找到它删掉就可以了。一般的可执行文件的扩展名都是.exe,.com,.pif, .bat,后两个其实是windows的批处理文件,总之,删掉这些文件就行。
二、病毒文件最常见的隐身地点
1. 系统的临时文件夹:temp。根据自己系统的设置文件夹位置不一定相同。当然,最常见的地方是:c:\windows\temp,c:\Documents and Settings\你的用户名\Local Settings\Temp,以及,有些人在系统环境变量里边还增加了自己的Temp路径。
Temp里边一般存放安装文件时的临时文件,或者是运行Word文件或者Winrar解压缩时产生的临时文件,如果这些文件正常关闭的话,就自动删掉了,但是如果遇到异常的关机或者系统出错,程序不得不关闭的时候,临时文件就无法删掉。所以,大家需要不定期的检查一些这些地方,清理一下。
正是因为好多人不知道,所以病毒制造者们也利用了这些藏污纳垢的地方,把病毒文件隐藏在这里,于是,好多人无端中毒,瘫痪,重装……
2. c:\windows\, c:\windows\system32 和 c:\windows\system
这些都是Windows系统文件的存放位置,病毒经常把自己隐藏在这些地方,甚至把自己伪装成一个和系统文件很相似的名字蒙蔽大家。
比如说,explorer.exe是Windows启动时执行的文件,所以出现了开始菜单、桌面等等功能,病毒经常利用一些易混淆的字母、数字修改名字,比如改为expl0rer.exe或者exploror.exe等等(名字不一定是,但是道理类似)。还有svchost.exe,rundll32.exe等等系统文件,也被修改。
修改的手段无非就是(1)字母o和数字0之间,字母l和数字1之间的互换,(2)或者少1个字母或者多1个字母,(3)或者用一些貌似系统文件,但却蒙蔽了那些对系统稍微有一些了解,但又不很清楚的人的办法,比如:系统里没有rundll.exe文件,他就起了一个rundll.exe这个文件,和rundll32.exe很像。等等等等,诸如此类的鬼蜮伎俩。
因此,建议大家遇到这类问题的时候,睁大眼睛,辨别真伪。
大部分可疑的可执行文件,修改日期不很规律。可以看一下系统文件的修改日期。也可以点击右键,属性,版本,正规的文件都有版本号、公司名称等信息,可疑文件一般没有,这是一个很明显的标志,建议有一定电脑基础的人使用,方便确认为之病毒。
3. 每个逻辑盘根目录下,或者 RECYCLER,RECYCLLED, 或者"runauto.."这些目录里边都很可能有病毒。RECYCLER和RECYCLLED文件夹本来是回收站的目录,runauto..呢又是利用了一些系统命令的bug。
三、防治措施
1. 显示所有的隐藏文件。打开我的电脑(或者资源管理器),工具,文件夹选项,查看。将“隐藏受保护的操作系统文件”前的钩去掉,选择“显示所有文件和文件夹”,然后点击确定。
这样,各种隐藏文件都会显示出来,不用担心找不到可疑文件。
2. 不是所有的病毒都要亲自查杀,所以要勤更新病毒库。有的人的杀毒软件自打安装上就没有升过级,还美其名曰自己有杀毒软件,没有毒才怪。现在不是N年前了,敢上网裸奔的人是越来越少。
3. 关于runauto..文件夹的删除方法
这个文件夹名字比较特殊,用资源管理器又打不开,一般的DOS操作无法进入到该文件夹,更无法删掉。需要使用一些参数和特定字符:
在“运行”中,输入cmd(Windows ME或者Windows2000中是command),进入命令行方式(也可以使用开始菜单里的快捷方式进入)。
我们假定runauto..文件夹在D盘,输入:“d:”,然后回车,将进入到d盘(其他盘符类似)
接着输入:“rd /s/q runauto...\”,回车,搞定。
注意:runauto后边有3个“.”。
前边的rd是删除目录的命令,参数/s表示删除其子目录及文件,/q表示不需要确认删除。具体帮助可以输入“rd /?”查看。
4. 可以安装“360安全卫士”和/或“瑞星卡卡上网安全助手”。一方面这两个软件可以查杀流氓软件和浏览器插件,另一方面,可以修改有关启动的一些注册表,比用regedit.exe方便一些。还可以查看当前运行的进程,寻找可疑的文件。
顺便说一句,360安全卫士里边可以下载到正版的卡巴斯基杀毒软件,免费使用半年,的确不错哦!
此外,还可以找到前段时间瑞星免费提供的杀毒软件,可以更新病毒库哦!
最后,希望大家能够减少重装系统的次数,提高防范病毒、黑客、恶意软件的意识,有什么问题可以联系我哦。知无不言。
