在本页阅读全文(共7页)
自动播放惹祸上身:让你双击打不开磁盘分区
我们知道Windows有个自动播放功能,放入光盘或插上闪盘可以自动执行某项操作,给用户带来方便同时也给某些木马病毒创造了自动传播的有利条件。不经意的一次双击可能执行的就是移动设备中的木马程序,由此导致双击打不开分区,而只能右键打开。其实很简单,包括最著名的“落雪”,都是利用Autorun.inf自动播放来入侵和运行的。
1.自动播放搞的鬼
Autorun.inf一般位于磁盘分区根目录,用记事本打开,常见如:
[Autorun]
icon=flower.ico
open=setup.exe
这是自动播放使用的安装信息,如图,其中“Icon=*.ico”可以为磁盘添加图标,等号后面可以是图标或应用程序;“Open=*.exe”是自动运行的程序,这很容易被木马“嫁接”,双击该磁盘就等于运行木马。
当然,聪明的木马会把Autorun.inf和程序文件设置成隐藏的系统文件,甚至会把主程序放在RECYCLER或System Volume Information目录下。所以,我们要多一个心眼,在第一次打开来源未知的光盘或闪盘,最好按住Shift,然后右键该盘符看有没有“自动播放”(Auto等等)的项,选择“打开”命令比较安全。
2.当木马无处藏身
既然木马是隐藏的,首先就要让所有文件都显示出来。文件夹选项如图设置,不要认为微软推荐就一定是好的!要杀木马就放心设置了,不放心完了改回来就。当然,更聪明的木马会修改注册表,让文件夹选项中隐藏或显示系统文件的设置无效,这是为什么有时设置“显示所有文件和文件夹”,确定后再打开文件夹选项仍是不显示;或干脆两个选项都选不中;或无法显示系统文件夹的内容……
如上图设置,对应注册表中的项有:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"SuperHidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"CheckedValue"=dword:00000000
有时木马并不修改当前用户[HKCU]的注册表项,而是修改了所有用户的,这时要检查[HKLM]下的设置,地址在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]。
设置完成以所有隐藏文件显露无疑。
3.木马束手就擒
最后,我们可以清除自动播放的木马,放心把分区下的Autorun.inf和木马文件统统删除!当然也可以用Autorun.inf个性化分区图标,也可以指定运行想要的程序。再搜索一下有没有复制到其他目录的木马程序,容易复活的话可以到命令行安全模式删除。这里不再赘述。 D盘和F盘打不开了总是选打开方式的解决办法
问题:硬盘打开的时候总是选择打开方式?
解决办法:
1.打开文件夹选项-文件类型 找到“驱动器”点下方的“高级”,点选“编辑文件类型”里的“新建”,操作里填写“open”,用于执行操作的应用程序里填写explorer.exe,确定,随后返回到“编辑文件类型”窗口,选中open,设为默认值,确定.
2.或者运行 输入regedit 找到HKEY_CLASSES_ROOT\Drive\shell将shell下的全部删除 然后关闭注册表按键盘F5刷新或重启电脑。
3.我的电脑 文件夹选项 查看 隐藏已知受系统保护的文件勾去掉,显示所有文件勾上.开始搜索该盘下的autorun.inf找到后删除
如图:
简单点说
C盘打不开,点击C盘显示"请选择打开方式"如何解决?
分析解答:
1、如果各分区下带autorun.inf一类的隐藏文件,删除后最好重新启动电脑。
2、在文件类型中重新设置打开方式(以XP为例) 打开 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有 “open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。随后返回到 “编辑文件类型”窗口,选中“open”,设为默认值,确定。现在再打开分区或文件夹看下,是不是已恢复正常?
3、注册表法: a、对于分区不能双击打开者 开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将 shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。 b、对于文件夹不能双击打开者 开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell] 将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。 注意操作注册表前请先备份注册表(导出一个文件即可) 双击磁盘打不开,auto排第一位
方法一:
1."开始-运行",键入cmd后回车,进入DOS状态,输入C:后回车.继尔输入dir/a后车(没有参数a是看不到隐藏文件的.执行a是显示所有文件)
2.此时你会发现一个autorun.inf文件,再输入attrib autorun.inf -s -h -r 后回车,此你说什么呢作目的是去掉autorun.inf文件的"系统"、“只读”、“隐藏”属性,否则无法删除。随后输入del autorun.inf。
3.双击c盘试一下,如能打开,就OK.
4.如出现要求你定位某个命令,如DESKTOP.EXE或其它时,进入注册表,清除注册表中相关信息:"开始-运行",键入regedit,"编辑-查找-DESKTOP.EXE或其它,找到的第一个就是C盘的自动运行,删除整个shell子键,完毕.
双击C盘,应该可以打开了!
方法二:
1、单击“开始→运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口;
2、在左窗格的“本地计算机策略”下,展开“计算机配置→管理模板→系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”;
3、单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭“组策略”窗口。
4.重启 ok!
方法三:
我是直接在资源管理器中用右键打开硬盘(双击打不开可以试用右键打开),在文件夹属性里打开显示所有文件和受操作系统保护的文件,找到autorun.inf ,删除并重启!再用杀毒软件彻底杀一遍。有同样问题的朋友可以试试此方法!
或用dos,在cmd模式用dir/a 或dir/as查看。再用命令attrib -h -s -r autorun.inf, del autorun.inf
dos下查看autorun.inf可用type或Edit命令,可以看到自动运行的是哪个程序,如果杀毒软件无法杀掉源病毒,用attrib命令解除文件属性,del掉。
本文导航
