彻底清除 autorun风暴 病毒

     前两天U盘借同学用后，接上电脑，习惯的双击打开，觉得怎么不对。有问题！
     选择“显示隐藏文件”这一选项后，没有发现什么文件。
     选择去掉“隐藏受保护的操作系统文件” ，可以看到U盘里多出了好几个文件。autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh……都是隐藏、系统、只读属性。

Autorun.reg———————–

Windows Registry Editor Version 5.00
autorun风暴
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

Autorun.inf——————————–
[autorun]
open=rundll.exe
shell\open=打开(&O)
shell\open\Command=rundll.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=rundll.exe

如图：

 

    清除办法： 1.结束rundll.exe进程(Ctrl+Alt+Del)。

                    2.去注册表删除(Win+R    regedit)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

                    3.删除各盘下面的 autorun.bat autorun.vbs autorun.bin autorun.inf autorun.txt autorun.reg autorun.wsh……等文件(Shift+Del)。

                    4.重启OK。 

      这个是利用autorun.bat,autorun.vbs,autorun.reg进行扩展的木马
首先你第一次双击硬盘图标时会首次加载autorun.bat,然后会调用reg文件对注册表中的开机初始进程rundll后面增加这个 autorun以保证其下次能够自启动，然后autorun.bat这个文件会开启windows中使用脚本的进程wscript以成功运行其 autorun.vbs，进而实现一个循环链，单纯删除文件都会被恢复

    防治办法：当接上U盘等移动设备时，别双击打开，右键“打开”也不好。最好用资源管理器打开(Win+E)。 

     Autorun病毒基本上就这些套路，有个SVOHOST.exe 也是一样的。