某HIPS软件报告QQ读取硬盘各分区根目录下的autorun.inf,如c:\autorun.inf、e:\autorun.inf等,而硬盘中并不存在autorun.inf文件或文件夹,杀毒软件也没查出可疑的东西。原来这不过是QQ医生在QQ启动时检查电脑系统(包括检查硬盘中是否存在Autorun.inf病毒)、而正好碰上HIPS软件中设置有禁止对autorun.inf的读写规则所引起的误会。
同样瑞星2010也有这样的问题,前一段时间,在瑞星的日志中频繁发现如下的信息:
来源:系统加固
处理结果:阻止
规则 ID: 93
防护类型: 访问文件
进程: C:\WINDOWS\EXPLORER.EXE
文件名: E:\AUTORUN.INF
核对时间,都是在打开硬盘某分区(如C盘、D盘、E盘)时产生的,就是说每次进入硬盘时,explorer.exe都会访问autorun.inf文件,当时倒很奇怪,硬盘上绝没有autorun.inf,系统也没有病毒,瑞星这个日志从而何来。当然作为瑞星的主动防御的规则(设置中的“电脑防护”-“系统加固”)倒不奇怪,奇怪的是explorer.exe对autorun.inf的访问,而且专门测试过在组策略中关闭自动播放,但对这个exploer.exe访问autorun.inf并无影响,瑞星照样拦截这种行为。唯一能解释的是windows(XP)本身文件机制就是这样的,即使关闭自动播放,explorer.exe也仍然会在打开硬盘时查找访问autorun.inf,即使后者并不存在。因此对此问题并不需要进行处理,对系统并无影响,反正即使真有autorun.inf病毒,也能被杀毒软件拦截,虽然大多数时候瑞星都在简单地、并不聪明地重复做着无用功。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/572.html
