先看看autorun.inf的编写规则:
1.自动播放.
若想在驱动器右键生成“自动播放”菜单项,点击时可以自动运行(原先是用于光盘的自动运行的,许多光盘上都可以看到这个文件,它们可不是病毒)。可分为以下两种情况:
(1)shellexecute=*.*或[path\]*.*
此种方式可以在所有的驱动器上生成“自动播放”菜单项。双击时自动运行“=”后的文件。此时“=”后可以为任意扩展名的文件。
(2)open=*.exe,*.bat,*.com
此种方式仅可以在光盘驱动器上生成“自动播放”菜单项(网上资料是这么写的,但病毒文件基本上都有用open,看来不光在光盘上能用)。“=”后的文件必须是exe bat com
2.自定义驱动器图标
格式: icon=[path\]*.ico,*.bmp或是[path\]*.exe[,0,1,2...]*.dll[,0,1,2...]
注意path路径必须是本驱动器的路径,即ico bmp exe dll 必是在本驱动器内。
3.自定义卷标
格式: label=字符串,这个简单.不赘述.
4.添加右键菜单
格式: shell\n=名称
shell\n\command=命令
或两者合成:shell\名称\command=命令
[说明]shell指菜单,n可以为任意字符串,“名称”即你想要的右键菜单名称。“命令”即你在单击该菜单项时执行的命令。
如果在病毒生成的autorun.inf文件中发现
shell\open\Command=病毒文件
shell\explore\Command=病毒文件
shell\find\Command=病毒文件
就意味着右击,选择菜单中的“打开”、“资源管理器”、“查找”都会执行“=”后的病毒文件体,导致中毒。当然,这种文件中第一行是不会少了“open=病毒文件”的,这样双击自然也是中毒。AUTO病毒更狡猾和变态了。
手工解决的方法:在病毒清除之前,不要以上述方式打开硬盘分区,可以从开始-运行,输入盘符加冒号形式,如“c:”、“d:”等(不包括引号),或从地址栏输入上述命令形式也行,还可以用winrar、ACDSEE等软件来打开。
打开后当然是删除autorun.inf文件及它其中“=”后面指向的文件及脚本(部分有)。至于其它地方还有的病毒不在本文讨论之列。
——抢救性发布,原载于我的天极博客,从百度快照中捞回来的
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/autorun-virus.html
