今天中招了,弄了好久才发现是U盘病毒,现在的黑客软件都不能使用,杀毒软件也牺牲了,不能查看文件属性,隐藏文件也不能显示出来,如果打开百度进行搜索,只要出现了病毒、黑客这类字眼的都会被关掉,但是我们玩游戏,登录QQ都不受影响。虽然说这个病毒也没什么大的破坏性,但是和病毒和谐相处却并不是我所希望的。
借用QQ好友的浏览器进行搜索,发现了这个病毒的解决方法,感觉也算是个老病毒了,不过本文要讲的却是Autorun.inf的光荣复活,所以杀毒的方法就简单略过吧!病毒有两个进程:wjftxbl.exe和mpsvbtk.exe,以安全模式启动系统,运行CMD,输入tasklist得到这两个进程的PID分别是1956和1972,新建一个批处理文件,内容如下:
我们保存后运行,就能结束病毒进程,接着到C:\Program Files \Common Files\System\和C:\Program Files\Common Files\Microsoft Shared\目录下删除病毒文件和inf文件。不过我们先得在文件夹选项中显示系统文件和隐藏文件才可以。
最后我们把所有分区根目录里的hfhludy.exe和Auotrun.inf删除掉就可以了。我们再来分析一下Auotrun.inf的内容,打开如下:
我们可以发现这个病毒和以前的自动播放那边都还有些不同,显然这种方法比常见的只靠鼠标单击才能感染的autorun病毒更具有欺骗性。病毒的作者已经注意到目前大多数用户防范autorun病毒的方法,并采用了伪造右键菜单的方式来欺骗用户运行自动播放。在这个autorun.inf文件中,“shell\open=打开(& O)”用于创建一个伪造的“打开(O )”菜单项;“shell\open\Default=1”用于把默认的鼠标双击动作设为第一项;“shell\explore=资源管理器(&X)”更是进一步欺骗对打开命令已经开始警惕的用户。如此一来,无论用户还是双击盘符还是使用右键菜单中的打开命令,或者是资源管理器命令,都会运行病毒,作者精心准备,好的“hfhludy.exe”病毒文件,这对于普通用户来说确实很难防范。这个病毒同时还采用了双进程保护,病毒进程不能使用任务管理器结束。如果病毒作者在狠点,连CMD都给禁止掉,那就不是我们能对付的了。
鉴于现在U盘病毒的欺骗性,建议大家在浏览U盘中的文件前先进行如下操作以防止感染,插入U盘后,打开cmd,输入“dir x:\autorun.inf /a”查看是否有autorun.inf文件,若返回结果存在这个文件,那么我们在执行“type x:\autorun.inf”查看这个文件的内容,并使用del命令删除其关联的可执行文件以及autorun.inf本身(以上“x”为U盘的盘符),这样就能做到最好的安全防范了。