V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kingcos
V2EX  ›  问与答

autorun.inf U 盘病毒还是无解吗?有没有 U 盘内置的杀毒软件?

  •  
  •   kingcos · 2014-12-08 22:08:02 +08:00 · 4921 次点击
    这是一个创建于 3637 天前的主题,其中的信息可能已经有所发展或是发生改变。
    学校机房电脑病毒肆虐啊,虽然不删除原文件,但是手动恢复真麻烦
    搜索也没啥好的解决方法,用金山的什么U盘卫士,弄了个什么免疫文件夹,今天也中毒宣告失败了。
    有没有好的U盘杀毒软件啊= =

    话说移动硬盘不太容易中毒吧?不过U盘也是必备的。。。
    第 1 条附言  ·  2014-12-09 19:01:43 +08:00
    我可能描述不太对吧= =就是那种把你所有根文件夹变成.exe可执行文件,然后隐藏真实文件,但是不能直接恢复,必须复制到新的文件夹才可以。
    不过有时候根本看不到隐藏文件夹(我已经在系统里面设置显示隐藏的,系统保护的)
    我见我同学的U盘中的毒是有些子文件夹也感染= =
    谢谢大家回复~
    第 2 条附言  ·  2014-12-10 08:44:39 +08:00
    T^T
    问这个问题只是想问问这种病毒(我也不知道叫什么名字的病毒)有木有不让我的U盘感染的解决方法= =
    木有想过让整个学校所有机房都没有这个病毒...只是自己还有同学在用的过程中感觉很不爽...
    大家不要吵了....都怪我问的太低级。。。
    感谢大家的回复。。。我要发送感谢了= =
    68 条回复    2014-12-10 08:24:23 +08:00
    msg7086
        1
    msg7086  
       2014-12-08 22:09:16 +08:00
    u盘只是个存储设备你怎么指望他能杀毒
    tanyuxiang
        2
    tanyuxiang  
       2014-12-08 22:10:22 +08:00
    U盘好像很少看到有只读功能,移动硬盘有的有只读开关。
    shierji
        3
    shierji  
       2014-12-08 22:14:11 +08:00   ❤️ 1
    Windows 7 开始应该是直接免疫。

    之前有问题是因为系统会自动执行。

    只要是存储设备都可能感染autorun.ini

    你的意思是原来的文件被自动隐藏了吧?这个简单,买一个能开只读模式的U盘。每次去机房用只读模式
    Lentin
        4
    Lentin  
       2014-12-08 22:14:36 +08:00
    NTFS设置权限
    kingcos
        5
    kingcos  
    OP
       2014-12-08 22:14:50 +08:00
    @msg7086 哦对= =也是。。。智捉了>.<
    @tanyuxiang 哦~不过体积有些大啊= =以后存大东西再买
    kingcos
        6
    kingcos  
    OP
       2014-12-08 22:16:33 +08:00
    @shierji 可是有时候还是要往里面存东西。。。T^T
    @Lentin 话说我的还是OTGU盘 NTFS就用不了OTG了。。。
    Lentin
        7
    Lentin  
       2014-12-08 22:19:29 +08:00
    @kingcos 无解
    lalalakakaka
        8
    lalalakakaka  
       2014-12-08 22:46:40 +08:00
    @tanyuxiang 朗科的U盘有只读功能。
    只读U盘是它的专利
    bobopu
        9
    bobopu  
       2014-12-08 22:48:34 +08:00 via iPhone   ❤️ 1
    江民有款杀毒优盘,而且还带实时监控且能在线升级。多年前学校机房病毒肆虐时用着挺爽。卡巴也有款,没用过。
    tanyuxiang
        10
    tanyuxiang  
       2014-12-08 22:58:28 +08:00
    @lalalakakaka 只记得朗科有U盘相关专利,没想到还有这么吊的专利。。。。



    另外 突然想起还可以用读卡器+sd卡
    kingcos
        11
    kingcos  
    OP
       2014-12-08 23:02:36 +08:00
    @Lentin = =不会吧
    @lalalakakaka 。。。没听说过
    @bobopu 现在还有么= =还久没听说过江民了。。。
    @tanyuxiang 读卡器加sd卡...
    hjc4869
        12
    hjc4869  
       2014-12-08 23:04:16 +08:00
    Vista-8.1全都免疫。
    XP就算了吧。。
    momo5269
        13
    momo5269  
       2014-12-08 23:10:59 +08:00
    物理读写开关就好了
    momo5269
        14
    momo5269  
       2014-12-08 23:19:13 +08:00
    @bobopu 你是说和台电合作那些?
    negation
        15
    negation  
       2014-12-09 01:53:25 +08:00 via Android   ❤️ 1
    XP时代可以用建立autorun. inf的文件夹然后再用命令行在里面建立一个带连续两个..的文件夹,然后就会由于固有bug忽略掉一个.导致无法找到路径而无法操作下层文件夹,导致autorun. inf文件夹无法删除,而且由于不能重名,结果就是autorun. inf文件无法建立。
    而在win7下进行访问的话会自动修复该路径而失效,然而相对的即使中招,win7的UAC会起作用出现提示(当然前提是没有关掉UAC)。
    综上,免疫文件夹对NT6.1以上无效。
    另外,移动硬盘一样中毒!
    再另外,使用物理写保护毕竟是一刀切,当然如果在中招的电脑上不需要写入操作那是非常简单可行的。
    negation
        16
    negation  
       2014-12-09 02:09:38 +08:00 via Android
    而且固定中那个毒的话,写个批处理不就得了,插上盘双击一次不就恢复了
    bobopu
        18
    bobopu  
       2014-12-09 09:41:42 +08:00
    @kingcos 现在还在有啊,江民现在重点在行业客户,没倒闭。。这个我用过,感觉还不错,你看下宝上有没卖便宜的。http://www.jiangmin.com/buy/
    @momo5269 不是和台电合作的那些。是U盘版杀毒,台电那个是骗人的。
    flynaj
        19
    flynaj  
       2014-12-09 10:04:06 +08:00 via Android
    这个应该跟机房的人说一下,安装一个杀毒软件
    kingcos
        20
    kingcos  
    OP
       2014-12-09 10:27:04 +08:00
    @hjc4869 没吧。。。感觉7也会感染啊= =
    @negation 还有的在文件夹内部有lpk.dll,真心受不了了
    @bobopu 瞅瞅= =
    @flynaj 这个感觉没用啊。。。清一色360,该中还是中。。。
    NearTan
        21
    NearTan  
       2014-12-09 12:23:30 +08:00
    这年头怎么能靠国产杀软呢
    买个 DIY 的 U 盘,一般都带写保护
    momo5269
        22
    momo5269  
       2014-12-09 13:01:49 +08:00
    @bobopu 和一般的便携版杀软有什么重大区别吗
    bobopu
        23
    bobopu  
       2014-12-09 13:08:30 +08:00
    @momo5269 他这个U盘版杀毒是重新开发的,砍掉了很多没用的功能,但保留了最基础的查杀引擎和实时监控引擎和病毒库升级功能。U盘插入电脑后会自动运行在后台,拔掉U盘后又会退出。病毒库升级是直接升级到U盘里的。六七年前在学校时,那会机房、网吧病毒肆虐,刚好是什么威金啊什么病毒流行的时候,能穿透网吧的还原软件,搞得很多人一开机就中毒电脑卡到爆,我拿这个插上去他自动能把内存里的病毒先杀掉,然后起码电脑能用了,当时小伙伴好羡慕。。唉,往事。。。
    momo5269
        24
    momo5269  
       2014-12-09 13:11:01 +08:00
    @kingcos 其实装SEP/VSE也不一定有用……会写规则另说
    momo5269
        25
    momo5269  
       2014-12-09 13:16:38 +08:00
    @bobopu 主要是看媒体评测也没啥,价格挺贵的买不起233 = =
    六七年前已经没啥病毒了 也就机房之类这种环境还有一些。当年的杀软安装过程都带扫描杀毒……威金之类这样解决过
    bobopu
        26
    bobopu  
       2014-12-09 13:45:34 +08:00
    @momo5269 好吧,我当年用的是D版的,好惭愧,当年穷学生,钱全用来吃大盘鸡穿阿迪了,然后就没了。。后来工作了,专门买了套正版的江民,算是偿还吧。。。
    flynaj
        27
    flynaj  
       2014-12-09 14:08:10 +08:00 via Android
    对付一般病毒360已经完全可以,还有XP安装一个补订autorun.inf就失效了
    wy315700
        28
    wy315700  
       2014-12-09 14:09:25 +08:00
    @tanyuxiang 朗科的U盘专利被宣布无效,但是写保护专利是有效的
    BlueFly
        29
    BlueFly  
       2014-12-09 15:54:10 +08:00
    我汗,真为你们一群人智商捉急~

    禁用自动播放不就得了。 autorun.inf只是inf配置文件,可以直接记事本打开,不是病毒!
    7654
        30
    7654  
       2014-12-09 16:00:04 +08:00   ❤️ 1
    插上U盘时按住shift,禁止自动运行,然后用WinRAR浏览U盘文件,当然用7z更好,7z资源管理器比Rar強大,这两者都带识别隐藏文件的功能,即使设置系统隐藏,病毒文件也可见,删除即可
    skybr
        31
    skybr  
       2014-12-09 16:06:41 +08:00
    @tanyuxiang
    @lalalakakaka 我04年买的爱国者U盘也有........
    tanyuxiang
        32
    tanyuxiang  
       2014-12-09 17:09:44 +08:00
    @BlueFly 真为你智商拙计,病毒直接修改你所有U盘文件,禁用自动播放有个jb用
    tanyuxiang
        33
    tanyuxiang  
       2014-12-09 17:13:54 +08:00
    以前用过的另外一个只读投机办法: 加密打包,修改文件名为aaa.bbb之类,然后复制,再改回扩展名解压。
    lyragosa
        34
    lyragosa  
       2014-12-09 18:21:07 +08:00
    XP(不含)以上的windows已经自动免疫了。

    可移动磁盘自动运行需要用户点一次。
    why
        35
    why  
       2014-12-09 18:57:15 +08:00
    建个文件夹1,把文件都存里边,不过小心别删了它
    kingcos
        36
    kingcos  
    OP
       2014-12-09 19:13:08 +08:00
    @lyragosa 没有吧。。。而且机房这种地方,xp的普及率还是不低
    @why 这个是为啥= =
    @tanyuxiang 这个好麻烦。。。T^T 还是忍忍好了= =
    @BlueFly 就是这个病毒貌似有这个。。。
    @flynaj 360的确能杀,但是不能恢复。。。还是要自己恢复= =
    sandideas
        37
    sandideas  
       2014-12-09 19:17:51 +08:00 via Android
    发现和我们学校打印店的一样。。
    kingcos
        38
    kingcos  
    OP
       2014-12-09 19:21:10 +08:00
    @sandideas 我擦。。。我这次中毒就是在打印店。。。
    BlueFly
        39
    BlueFly  
       2014-12-09 21:10:06 +08:00   ❤️ 1
    @tanyuxiang 唉,跟你这种不懂的人真没法说。 病毒怎么直接修改所有U盘文件? 那是你电脑系统本来就存在病毒,这与U盘本身没有一毛钱关系。 你首先要做的事是清除系统中的病毒,再禁止自动播放,而不是什么投机,什么加密打包修改文件扩展名之类本末倒置的“办法”。
    一个干净的系统,只要禁止了自动播放,你插入任何U盘都相安无事,除非你故意运行U盘上的病毒.exe文件。 一个标准的autorun.inf 里面都有一句 AutoRun=virus.exe 这个同一目录,也就是U盘根目录的virus.exe才是病毒,autorun.inf只是引导文件而已
    BlueFly
        40
    BlueFly  
       2014-12-09 21:16:58 +08:00
    @kingcos 那不是病毒,那只是引导文件,可以是正常,也可以干坏事,就算干坏事也是同一根目录的某个exe文件,你记事本打开inf文档就看到了

    你要做的是,将机房所有电脑重启到不带网络连接的安全模式,然后每一台杀干净,关闭自动播放,然后关机。要等全部电脑都查杀干净,才能重启电脑。
    tanyuxiang
        41
    tanyuxiang  
       2014-12-09 21:41:54 +08:00   ❤️ 1
    @BlueFly “学校机房电脑病毒肆虐啊”,别出来秀智商了好么。。。。
    tanyuxiang
        42
    tanyuxiang  
       2014-12-09 21:43:16 +08:00
    @BlueFly 就你这语文水平和智商还来有信心开群嘲
    kingcos
        43
    kingcos  
    OP
       2014-12-09 21:44:15 +08:00
    @BlueFly 嗯。。可是我做不到。。。因为上课不同机房不同,即使机房相同,位置也不同= =
    看来U盘就当作暂时存放东西吧
    kingcos
        44
    kingcos  
    OP
       2014-12-09 21:45:39 +08:00
    @tanyuxiang = =淡定。。。那句话是我说的= =只是抱怨一下...
    tanyuxiang
        45
    tanyuxiang  
       2014-12-09 21:47:06 +08:00
    @kingcos 就是因为你说到的前提,他那些就全是废话啊,还嘲讽其他人。。。
    zro
        46
    zro  
       2014-12-09 21:54:02 +08:00
    Sandisk的TF卡带SD卡托,卡托有写保护的,前几天才买了个C10 16G,速度不错,15MB/S
    BlueFly
        47
    BlueFly  
       2014-12-09 21:58:00 +08:00
    @tanyuxiang 呵呵…… 你就别再出来秀了,还是多学学。
    我能理解你们中病毒后的焦急无助,但是,你们对于病毒绝大部分都是错的,是误解。 病毒并没有书本上那么夸张,除了熊猫烧香后期,那类凡是exe、DLL文件都加塞一段代码,造成exe文件都被破坏掉,纯是搞破坏,清除复杂麻烦,甚至无解之外,其它纯是为赚钱的worm也好,trojan也好,spyware也好,甚至内核级rootkit也好,都是可以手工清理之。本人再怎么样,以前都是玩收集病毒样本,测试过上百个病毒,并写出解决方案
    BlueFly
        48
    BlueFly  
       2014-12-09 22:07:52 +08:00
    @kingcos 你不是做网管,做维护的,那你问这个问题干嘛?
    机房电脑有病毒关你毛事,只要你自己电脑系统是干净的,并关闭了自动播放,就算U盘从机房带出病毒,也不会传到你电脑。 除非:word文档的宏病毒,但宏病毒很容易处理。再有就是上面说的是个exe都加塞代码那种,但这种非常少,不是流行类别
    tanyuxiang
        49
    tanyuxiang  
       2014-12-09 22:10:01 +08:00
    @BlueFly 你还是先学学语文再提高下智商吧。
    tanyuxiang
        50
    tanyuxiang  
       2014-12-09 22:13:48 +08:00
    @BlueFly
    按你方法,带U盘到机房使用,回来后禁止自动播放,手工清理全部病毒,清理不掉的文件全部删掉。

    按我方法,带写保护存储到机房使用,回来后直接使用。

    不知道你现在语文水平能不能看懂上面两个的区别。
    hahastudio
        51
    hahastudio  
       2014-12-09 22:16:25 +08:00
    我记得上次我见到这个病毒的时候,360 还很规矩呢= =
    BlueFly
        52
    BlueFly  
       2014-12-09 22:18:09 +08:00
    @tanyuxiang 懒得理你,你喜欢装可以继续装,喜欢绕可以继续绕,本人第一个回复29楼在6小时前,楼主的补充是3小时前,你慢慢玩字眼吧
    KyonLi
        53
    KyonLi  
       2014-12-09 22:19:21 +08:00 via Android
    @BlueFly 只要你自己电脑系统是干净的,并关闭了自动播放,就算U盘从机房带出病毒,也不会传到你电脑。

    不是传不传到自己电脑的问题,而是机房里中病毒的电脑会把优盘里的文件夹的属性改为隐藏+系统,并创建文件夹图标的exe病毒。虽说一眼就能看出来但想从原文件夹中打开想要的文件还是要费一些事的。本人小白,觉得这种情况挺烦人的,如果您要是觉得这没什么不方便的话就无视我吧,请勿喷,谢谢。
    BlueFly
        54
    BlueFly  
       2014-12-09 22:22:58 +08:00
    @tanyuxiang 呵呵,写保护…… 你到底懂写保护是啥? 带U盘去机房图啥,不就是要复制文件带回来,包括教材、作业什么的。
    你写保护怎么复制东西进U盘?你要复制东西就得打开写保护,一打开写保护,机房机器只要还存在病毒,就会将病毒复制进U盘,你那保护?

    你语文果然肾好!
    tanyuxiang
        55
    tanyuxiang  
       2014-12-09 22:23:42 +08:00
    @BlueFly 你知道开关是什么意思么?
    BlueFly
        56
    BlueFly  
       2014-12-09 22:30:27 +08:00
    @KyonLi 这是基本的隔离策略,将病毒限于U盘内,不带进自身系统。
    外间电脑环境复杂,你是无法保证外间的公共电脑,如网吧、图书馆的、朋友的电脑是无病毒的,你能做的,首先是保证将病毒先限于U盘内。 很简单的,某人电脑有你需要的资料,我就算一眼看出对方的电脑有病毒,但不能指责对方,要求对方必须先清理病毒,我再过来拷资料吧。 但是你可以先拷贝,再慢慢处理
    est
        57
    est  
       2014-12-09 22:34:30 +08:00   ❤️ 1
    @7654 就看到你一个人回复这个了。。。


    LZ,@kingcos 这问题其实在win95时代就解决了。有2招:

    1. 插入U盘前后一直按住shift。放置任意自动启动。(windows开机启动项也可以如此跳过)
    2. 用 资源管理器 树状菜单打开U盘,而不是 我的电脑 里面无脑双机盘符。
    dangge
        58
    dangge  
       2014-12-09 22:36:54 +08:00   ❤️ 1
    我告诉楼主一个方法,下载一个usbkiller,然后杀毒之。
    我校的病毒是安全卫士.exe和ppsap.exe,两个位于System32里的文件,只要杀掉这两个就可以。
    <del>SB老师不知道把毒杀干净了再做还原卡</del>
    BlueFly
        59
    BlueFly  
       2014-12-09 22:39:09 +08:00
    @tanyuxiang 好了好了,全世界只有你了,买到超级U盘,带数据流控制,能开关控制复制什么文件,不能复制什么文件。

    其实你知道所谓“感染”U盘病毒是什么的流程么? 那只是木马病毒就在进程内,遍历系统磁盘,或挂载于explorer.exe 进程内,只要检测到系统新增移动U盘,则将木马写进U盘。
    wdhwg001
        60
    wdhwg001  
       2014-12-09 23:35:22 +08:00 via iPhone
    有时候真要感谢v2ex可以b…
    tanyuxiang
        61
    tanyuxiang  
       2014-12-10 00:11:12 +08:00
    @BlueFly 你不知道U盘可以多次插拔么?
    LU35
        62
    LU35  
       2014-12-10 00:13:58 +08:00 via Android   ❤️ 1
    @kingcos 你需要的是sandboxie这里是关于保护u盘的教程http://www.52pojie.cn/thread-172085-1-1.htm
    BlueFly
        63
    BlueFly  
       2014-12-10 00:19:21 +08:00
    @tanyuxiang 行了,你赢了。 你是对的,U盘数据流控制,能自动过滤autorun.inf+xxx.exe文件复制,能肉眼看到病毒正在往U盘拷贝并迅速提前拔出也好,当肉眼看到病毒休息了你又机智插上U盘,嗯,你都是对的。
    tanyuxiang
        64
    tanyuxiang  
       2014-12-10 00:24:25 +08:00
    之前说过只读开关和加密打包改扩展名两个方法,再分享个以前用的方法/思路,其实很简单,就是:

    插拔两次

    第一次开只读,直接运行&/复制到临时目录运行icesword/xuetr之类工具做简单处理。
    如果需要复制文件进去则拔出来关掉只读再插入。第一次没处理好的话,这样会有风险,但是病毒修改之前未知扩展名文件的几率还是很小,回去对下md5;新拷的文件尽量用纯文本,回去处理病毒/格式。
    tanyuxiang
        65
    tanyuxiang  
       2014-12-10 00:35:34 +08:00
    其他那些直接用还原卡之类不适合打印店,也麻烦些就不提了。睡觉去。 已block。
    xinhugo
        66
    xinhugo  
       2014-12-10 00:44:36 +08:00   ❤️ 1
    「不过有时候根本看不到隐藏文件夹(我已经在系统里面设置显示隐藏的,系统保护的)」


    1.如果不是自己做的设定,你查看隐藏文件而不得的系统,也感染了病毒。

    2.隐藏原有文件,是因为U盘内的文件被病毒修改,禁止「autorun.inf」这个启动引导文件的生成,并不能阻止病毒对U盘的修改。

    3.闪存卡或部分U盘/移动硬盘的写保护,能有效解决问题。

    4.有写入文件到U盘的需求,且文件不大,可考虑将文件发送到自己(专门在公共场所使用)的邮箱。

    5.最根本的解决办法,还是清理病毒,但未必有权限这么做。
    BlueFly
        67
    BlueFly  
       2014-12-10 00:55:21 +08:00
    @tanyuxiang 囧……
    既然都上icesword/xuetr这些ark工具,还不干脆直接把机房电脑/对方电脑病毒木马什么的清理掉?分分钟的事儿。 icesword早已不更新,只限XP止步,7/8没啥用处。icesword以前在电脑爱好者的介绍使用文章就是本人写的……

    没意义,ark工具要用好首先得懂系统,一般人不会;会用的人,在哪用不行? ark只是帮助分析,与U盘防病毒没有关系,那只是U盘如果进了病毒能看出得,能帮助清理,但并不能阻止,就像上面说,既然会用,在哪用不一样?回去慢慢搞还不一样。 最没用的是,你拷贝个资料,你非搞得那么复杂,不小心还吓着对方,到底你拷不拷,尤其拷贝老师笔记本带过来的资料,因为后面还有同学在排队等着。 如果时间充足,倒不如直接把对方电脑的病毒清理掉?
    15ir
        68
    15ir  
       2014-12-10 08:24:23 +08:00   ❤️ 1
    直接用网盘,如果还是嫌需要登陆麻烦,可以试试 ys168.com 永硕网盘,还是挺方便的,当然也可以在自己服务器上做个网络存储。

    我的个人解决方案

    :)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   979 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:39 · PVG 06:39 · LAX 14:39 · JFK 17:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.