U盘病毒专杀工具 移动存储卫士

U盘病毒专杀工具 移动存储卫士（精选7篇）

U盘病毒专杀工具 移动存储卫士 第1篇

【软件简介】

U 盘病毒又称 Autorun 病毒，是通过 AutoRun.inf 文件使对方所有的硬盘完全共享或中木马的病毒，随着 U 盘，移动硬盘，存储卡等移动存储设备的普及，U 盘病毒也随之泛滥起来。近日，国家计算机病毒处理中心发布公告称 U 盘已成为病毒和恶意木马程序传播的主要途径。面对这一需要，U 盘病毒专杀工具 - USBCleaner 应运而生。

USBCleaner名为U盘病毒专杀工具，这里的U盘病毒其实是一种泛指也是不规范的称法，它应该包括U盘，移动硬盘，记忆棒，SD存储卡，MP3，MP4播放机等闪存类病毒。USBCleaner是一款杀毒辅助工具，但它并不能代替杀毒软件和防火墙，请用户安装专业反病毒软件及防火墙。

USBCleaner是一种纯绿色的辅助杀毒工具，其最新版支持简体中文与繁体中文切换,支持Vista，独有的分类查杀引擎具有检测查杀500余种 U 盘病毒，U 盘病毒广谱扫描，U 盘病毒免疫，修复显示隐藏文件及系统文件，安全卸载移动盘盘符等功能，全方位一体化修复杀除 U 盘病毒。USBCleaner 是你学习，工作，娱乐的好帮手！

【软件功能】

1.U盘病毒查杀：检测U盘，MP3，MP4，SD卡，移动硬盘等移动存储设备里的恶意程序，并进行清除和修复。

打开USBCleaner主界面，单击左上角的“全面检测”按钮，即可开始全面检测，全面检测可精确查杀已知的503种U盘病毒，并对这些U盘病毒对系统的破坏作出修复。

全面检测分为14个阶段，USBCleaner使用原创的分类病毒查杀引擎，带毒杀毒，扫描过程比较缓慢，检测完毕，将自动进入广谱深度检测阶段，如图所示，点击“是”进行广谱检测，广谱检测是一种高级启发式查毒，目前主要还是提示你有无未知病毒，并不能完全查杀未知病毒。

广谱深度检测完毕，将提示您是否要运行Auto.exe专杀工具增强版，此工具专为查杀Auto.exe类病毒而编写，点击“是”，即调出Auto.exe专杀工具V2.2（如图所示）,点击“开始查杀”，即可进行Auto.exe类病毒的查杀，查杀完毕需单击“退出程序”退出该专杀工具。

下面将调用移动存储病毒处理模块V1.1，该模块是用于检测U盘，MP3等移动存储设备的专门模块，注意：此处将U盘和移动硬盘作了区别，

当然，你也可以自由选择进行某项查杀操作，比如你可以直接单击“检测移动盘”单独对移动存储设备进行病毒查杀。

2.U盘病毒防护：查杀与防护紧密结合，有效抵御U盘病毒的入侵。

防护方式1：U盘病毒免疫，包括关闭系统自动播放和建立免疫文件夹两种免疫措施，可自如控制免疫的设置与取消，U盘病毒免疫可以有效的防止系统感染U盘病毒。

防护方式2：USBMON监控，包括常规监控和日期监控，其中USBMON常规监控可智能识别U盘病毒实体并加以防护而USBMON日期监控则针对修改系统时间的U盘病毒加以防护。

3.移动盘卸载：此功能在不能正常卸载移动盘符的情况下使用。

4.病毒样本提交与上报：该功能用于将用户发现的疑似病毒提取出来并上报给USBCleaner的制作者。

5.系统修复：该功能用于修复一些常见系统问题，包括修复隐藏文件与系统文件的显示，映象劫持修复与检测，安全模式修复，修复被禁用的任务管理器，修复被禁用的注册表管理器，修复桌面菜单右键显示，修复被禁用的命令行工具，修复无法修改IE主页，修复显示文件夹选项，初始化LSP等。

6.其他组件：针对感染全盘的几个U盘病毒而设的独立的全盘清理程序，包括EXPLORER.EXE Worm.Floder.a，SDGame.exe(瓢虫病毒)，Thumbs.lnk和Fatter.exe，而Auto.exe专杀增强版V2.2，则是专门针对auto.exe木马设计。

7.U盘非物理写保护及文件目录强制删除：U盘非物理写保护是通过软件的方法设置USB设备为只读状态，保护您的U盘不被恶意写入。 文件目录强制删除是用来删除一些通过程序生成的歧义文件夹，例如C:1.本功能可以帮助你安全的删除它们。

【小结】

USBCleaner是一款完全免费的U盘病毒专杀工具，绿色免安装，功能全面，操作简单，新版本界面时尚美观，且支持Vista系统，是一款不可多得的移动存储小卫士。

U盘病毒专杀工具 移动存储卫士 第2篇

U盘病毒防护盒（Anti U-virus Box）是一款集防御、查杀、修复等诸多功能为一体的全方位反病毒软件，针对U盘而设计，同时其使用效果也完全适用于移动硬盘、mp3/mp4、手机/照相机的记忆卡/棒等各种移动磁盘设备与计算机的固定磁盘。其独有的智能查杀引擎能够100%的查杀任何磁盘上以自运行形式存在的所有已知与未知病毒，同时无须升级即可对各种流行病毒与木马进行高识别率的智能检测与清除。其实时监控程序所具有的独创的神盾保护系统与ARP攻击防护、系统时间防修改保护等多重防御系统将使病毒对您的电脑无计可施。此外，它还有系统功能修复、映像劫持修复、隐藏文档修复、文档管理器、进程管理器、启动项管理器、防毒浏览器等一整套防护辅助工具，让您从此不再为U盘病毒的侵扰而苦恼。该软件专门为广大的大众计算机使用者而开发，完全免费、功能齐全、界面友好、操作简单易用，且富人性化设计，是对付U盘病毒的绝佳选择！

【软件资料】

软件版本：3.1.729

软件大小：5M

软件类别：国产软件/病毒防治

软件授权：免费版

软件语言：简体中文

运行环境：WINDOWS /XP/

下载地址：www.duote.com/soft/13276.html

【软件特色】

※独有的智能查杀引擎，能够100%的查杀任何磁盘上以自运行形式存在的所有已知与未知病毒。

※无须升级即可对各种流行病毒与木马进行高识别率的智能检测与清除。

※独有的拦截免疫功能可以有效地阻挡病毒的运行，让其无法为非作歹。

※提供从修复隐藏文件显示、解锁注册表到解决双击无法打开磁盘、修复浏览器首页被篡改等超过30种的各类系统功能修复项目。

※方便的映像劫持修复，自动探测识别被病毒劫持的所有程序，让您轻松解除病毒对杀毒软件的劫持，化解杀毒软件无法启动的危机。

※自动扫描并恢复隐藏文档，找回被病毒隐藏的文档只需轻点几下鼠标，便解燃眉之急。

※借助文档管理器，方便的清除、粉碎顽固文件、文件夹或恢复文件、文件夹的正常属性。

※强化的进程管理器让您详尽了解系统正在运行的进程，迅速辨别并终止系统中的可疑程序。

※启动项管理器，让您对系统中所有的开机自动运行程序都了若指掌，操纵自如。

※利用防毒浏览器可以在身中恶劣病毒的情况下依然方便、安全的访问搜索引擎与各大反病毒站点。

※超低功耗实时监控，根据用户需要自动检测并清除插入的移动磁盘中的病毒，彻底切断病毒通过U盘感染电脑的途径。

※常规免疫功能可以让您一键制作自己的防毒U盘，独创的神盾保护系统更是让磁盘对U盘病毒的免疫无懈可击。

※系统时间防修改保护，让病毒更改系统时间导致杀毒软件过期失效的阴谋不再得逞。

※独有的ARP攻击防护功能切断病毒对无辜局域网用户的攻击与感染。

※详尽的查杀日志，记录软件每一时刻的运作，让您充分了解软件的运行情况并方便的提交问题反馈。

【功能简介】

1.开盒即用

开盒即用能让您在运行本软件后的第一时间了解本机上个磁盘的使用与感染状况，并进行最为常用而有效的防毒、反毒操作。

开盒即用功能界面

可操作驱动器列表将自动检测与当前计算机连接的所有固定磁盘与可移动磁盘，并显示其相应的设备信息与感染情况。

磁盘详细信息栏将给出说选中磁盘的详细使用情况。

快速查杀：对所选择的磁盘进行快速查杀。快速查杀将以最快的速度对磁盘携带的Autorun病毒进行检测而暂不对其他文件进行分析。

安全打开：将以不激活任何病毒自运行脚本的方式安全地打开所选磁盘的根目录。

安全卸载：安全卸载地所选中的磁盘。但该功能仅对可移动磁盘有效。

深度扫描：深度扫描将进一步检测磁盘上的各种病毒、残余病毒与被病毒隐藏的正常文件等多种安全项目。

常规免疫：以最常见的传统方式在所选磁盘上建立免疫文件夹，免疫后的磁盘可以阻挡大部分U盘类病毒的传播。

进入安全模式：对于一些恶劣的病毒推荐在安全模式下运行本程序进行查杀，将获得较好的效果。该功能将重新启动计算机并进入安全模式。

注意：如果您的计算机已经感染了病毒，并且病毒已将您计算机的安全模式破坏请勿使用该功能！否则，将有可能造成您的计算机无法正常启动。推荐您先使用“修复安全模式”功能，或手动进入安全模式。

手动进入安全模式的方法：计算机启动时，在系统进入Windows启动画面之前，不停地按F8键，知道出现操作系统多模式启动菜单，这时只需选择“安全模式”，就可以将计算机启动到安全模式了，

磁盘自动播放：不完全关闭磁盘的自动播放功能将有可能在可移动磁盘插入时自动运行其中的病毒程序。推荐将其完全关闭。

神盾保护系统：神盾保护系统将使所有固定磁盘对一切U盘类病毒实施主动防御，屏蔽其感染。强烈推荐开启此功能。关闭实时监控程序将使此功能失效。

2.全面扫描

全面扫描以其独有的智能查杀引擎能够100%的查杀任何磁盘上以自运行形式存在的所有已知与未知病毒，同时无须升级即可对各种流行病毒与木马进行高识别率的智能检测与清除。

使用方法：

首先，您需要设置相应的扫描范围，可以是移动磁盘、固定磁盘或全部磁盘，您还可以手动输入正确存在的单个磁盘盘符以供扫描（若选择固定磁盘或全部磁盘，在扫描相应磁盘前，还将自动扫描内存、进程项与自启动项中的病毒程序）。

然后，您可以单击“开始扫描”按钮开始相应的扫描检测操作。

扫描结果将详细地显示在结果列表框中。您可以单击选择相应项目，在右下方区域查看其基本属性。

还可以单击右键或点击“可选操作”按钮，在弹出的处理菜单中对单个所选项进行查找所在目录、查看属性、在线查询、恢复正常属性、删除、拦截免疫等操作。

您也可以勾选所有要处理的项目并点击“自动处理所选”按钮，基于智能推断、识别引擎对所勾选的项目进行统一的自动处理操作。但如果有不确定项目存在，不推荐使用自动处理功能。

3.强力修复

强力修复功能包括系统功能修复、映像劫持修复和隐蔽文档修复。

系统功能修复：能让您轻松修复超过30余种的各类被病毒篡改所致的系统故障与文件关联错误。系统修复功能界面如下图所示，左边区域为系统功能修复，只需勾选所要修复的项目并点击修复所选即可完成所有的修复工作。单击相应项目将会在帮助信息提示区域显示详细描述信息，右边区域为文件关联修复，本软件会自动探测被篡改的文件关联项目并进行勾选，若用户确认要进行修复，只需点击修复所选即可完成所有的修复操作。

系统修复功能界面

映像劫持修复：自动探测、识别被病毒劫持的所有程序，将其全部列出，一目了然。让您可以轻松解除病毒对杀毒软件的劫持，化解杀毒软件无法启动的危机。映像劫持修复功能界面如下图所示，勾选好要修复的映像劫持项目，再点击“修复所选”按钮即可完成所有的修复操作。而自动修复按钮则将基于智能推断、识别引擎对所检测到的映像劫持项目进行自动处理操作。

映像劫持修复界面

隐蔽文档修复：当移动磁盘中的数据被病毒隐藏时，即可用该项自动扫描指定位置并恢复被隐藏的文档，以解燃眉之急。使用方法：首先设置好要扫描的目标位置，可以是移动磁盘、固定磁盘、全部磁盘或自定义位置。若选择的是自定义位置，则可在相应路径输入栏手动输入或浏览选择相应的位置。选是恢复被隐藏的文件还是文件夹，也可以两者都选。选择是扫描所选位置的根目录还是包括该目录下面的所有子文件夹。但在文件目录繁多的情况下（如固定磁盘或数据较多的移动硬盘）选择扫描所有子目录将会使扫描速度大为下降，在非必须时不推荐使用。设置完以上项目后，点击“开始自动恢复”便开始自动扫描并恢复被隐藏的文档了。

隐蔽文档修复界面

4.辅助工具

U盘病毒防护盒提供四款辅助工具，分别是文档管理器、进程管理器、启动项管理器、防毒浏览器。

文档管理器：借助文档管理器，您可以方便的清除、粉碎顽固文件、文件夹或恢复文件、文件夹的正常属性。

进程管理器：强化的进程管理器让您详尽了解系统正在运行的进程，迅速辨别并终止系统中的可疑程序。

启动项管理器：让您对系统中所有的开机自动运行程序都了若指掌，操纵自如。

防毒浏览器：当系统受到一些较为恶劣的病毒侵袭时，由于病毒恶意破坏，往往会无法正常地在网络上搜索和浏览反病毒信息。使用防毒浏览器即可以在身中恶劣病毒的情况下依然方便、安全的访问搜索引擎与各大反病毒站点。

5.实时监控

当您开启了U盘病毒防护盒――实时监控 程序，将会在您屏幕的右下方出现其图标。双击该图标将启动 U盘病毒防护盒 主程序，左键单击该图标将会弹出快捷操作菜单，右键单击该图标将会弹出设置菜单。如图所示：

实时监控程序将自动识别当前计算机所连接的磁盘，根据不同的具体情况，菜单项会有所改变，通过快捷操作菜单，您可以方便的扫描、安全打开所插入的移动磁盘或固定磁盘或启动U盘病毒防护盒主程序，通过设置菜单您可以对神盾保护系统、ARP攻击防护、系统时间保护与实时监控等功能的开启与关闭以及本软件的选项进行设置。

实时监控：开启本功能将根据用户的需要自动检测并清除插入的移动磁盘中的病毒，彻底切断病毒通过U盘感染电脑的途径，且对系统资源消耗非常低，是防护系统不被U盘病毒感染的最核心方式。

神盾保护系统：本软件独创的神盾保护系统将使所有固定磁盘对一切U盘类病毒实施主动防御，彻底屏蔽其感染。强烈推荐开启此功能。关闭实时监控程序将使此功能失效。

ARP攻击防护：许多病毒都通过局域网的方式进行传播，即使在局域网中原本只有一台计算机感染了该病毒，但通过ARP攻击，将使得局域网中的其他用户在完全不知情的情况下被感染上病毒。开启此功能将屏蔽局域网中的ARP攻击，确保本机不被非法攻击和感染。

U盘病毒的传播与预防 第3篇

随着计算机的普及与应用, 越来越多的高校配备了多媒体教室。多媒体教室通过教师机、投影仪、屏幕和有源音箱的有机结合, 将教学内容以文字、图画、声音、视频等丰富多彩的形式展现在学生面前, 再辅以教师的板书和讲解, 既提高了学生的学习兴趣和学习效率, 又丰富了教师的教学方法, 是广大教师在教学活动中的好帮手。随着多媒体教室的大量投入使用, U盘被广泛用于教师的教学活动或学术报告, 但同时造成的负面影响是U盘病毒的数量与日俱增。U盘病毒, 顾名思义就是通过U盘 (或类似移动存储设备) 传播的病毒, 如:rose.exe、sys.exe、RavMonE.exe、Worm.exe、Copy.exe、host.exe、doc.exe等, 它们轻则使教师机的右键菜单不正常、打不开U盘、弹出很多窗口、机器运行速度变慢;重则使教师机黑屏、蓝屏、不能进入系统甚至系统崩溃。因此, 对广大教师来说, 有必要了解U盘病毒的传播途径和预防措施, 做到未雨绸缪。

2 U盘病毒的传播途径

U盘病毒主要靠Windows自带的autorun.inf文件启动和传播。首先, 用户在不知情的情况下插入已感染病毒的U盘, 通过自动播放功能或通过双击“我的电脑/H: (假设H代表U盘) ”打开U盘;这时系统自动查找U盘根目录下的隐藏文件autorun.inf, 并自动执行其中的恶意代码, 调用U盘中的病毒文件, 使计算机感染病毒;然后对A到Z驱动器进行遍历搜索, 写入被病毒文件修改过的autorun.inf文件和病毒主体文件。当这台计算机被插入新的移动存储设备, 会被病毒写入这两个文件用来感染其他计算机, 从而达到传播的目的。

autorun.inf文件自Windows95就已经存在, 设计初衷是为了方便用户访问光盘、U盘、移动硬盘、MP3、MP4和数码相机等移动设备, 其本身不是病毒, 但它的功能却被黑客利用了。autorun.inf文件是驱动器 (分区) 根目录下的有一定格式的文本文件, 进入某分区的时候会首先判断是否有该文件, 如果有则读取其内容并自动执行autorun.inf中指向的可执行文件, 如.exe、.com、.bat等。常见的autorun.inf文件格式如下:

[Autorun]//表示autorun部分开始, 必须输入

ICON=C:*.ico//指定给C盘一个个性化的盘符图标

OPEN=C:*.exe//指定运行程序的路径和名称, 只要在此放入病毒程序就可自动运行

因此一旦用户双击打开U盘或系统自动运行时, 实际上就是运行了U盘内autorun.inf文件所指向的病毒程序, 用户的计算机在不知不觉间就感染了病毒。

感染U盘病毒的计算机一般有以下现象:

(1) 双击盘符不能打开, 当用右键单击U盘时, 发现右键菜单的第一项不是常规的“打开”, 而变成了“自动播放”、“Open”、“Browser”等选项。

(2) 计算机的分区或U盘里增加了一些隐藏文件。在计算机的“文件夹选项”中选中“显示所有文件和文件夹”的操作后, 发现计算机的分区或U盘里有autorun.inf文件或伪装成回收站的Recycler文件夹等来历不明的文件或文件夹。

3 U盘病毒的预防措施

掌握了U盘病毒的传播途径后, 就可以采取一些有针对性的措施来预防U盘病毒。

(1) 修改Windows的组策略, 关闭系统的自动播放功能。其具体步骤如下:首先单击“开始”菜单的“运行”命令;在“打开”对话框中, 输入“gpedit.msc”并单击“确定”, 打开“组策略”窗口, 它有左右两栏。然后, 在左栏单击打开“计算机配置”下的“管理模板”文件夹下的“系统”子文件夹;这时右栏会出现“系统”的许多属性, 其中一项正是“关闭自动播放”。最后, 双击“关闭自动播放”, 在“设置”选项卡中选中“已启用”和“所有驱动器”选项, 单击“确定”按钮即可。

(2) 修改注册表, 关闭系统的自动播放功能。其具体步骤如下:首先单击“开始”菜单的“运行”命令;在“打开”对话框中, 输入“regedit”并单击“确定”, 打开“注册表编辑器”窗口。然后在左栏中单击打开“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionPoliciesExplorer”, 这时右栏显示该路径下的“NoDriverTypeAutoRun”键, 它的键值默认是95H, 双击该键, 将键值改为9dH, 最后关闭注册表编辑器即可。

(3) 使用前先用杀毒软件扫描, 确定U盘安全无毒后再打开U盘。知名的杀毒软件如360杀毒软件、瑞星2010、金山毒霸2010、江民杀毒软件 (KV2010) 、诺顿、卡巴斯基等都具备查杀U盘病毒的功能。但要注意:两款不同的杀毒软件装在同一台计算机上容易引起冲突, 使系统速度变慢, 所以安装一款即可。本文推荐安装360杀毒软件, 这是一款完全免费且功能强大的杀毒软件, 安装后可在其主窗口设置“U盘防火墙”为打开, 可在插入U盘时关闭自动播放, 自动检测并清除autorun, inf文件, 保护系统安全。另外, 也可安装U盘病毒的专杀工具, 如360安全卫士、USBCleaner、QQ医生等。

(4) 通过建立同名文件夹, 防止U盘病毒创建autorun.inf文件。利用在Windows操作系统中, 同一目录下, 同名的文件和文件夹不能共存的原理, 在U盘的根目录下建立一个文件夹, 名字就叫“autorun.inf”。这样, U盘病毒除非先删除该文件夹, 不然是无法再创建autorun.inf文件的, 从而可以达到预防U盘病毒的功能。

4 结束语

随着使用U盘的教师不断增加, U盘病毒的威胁日益加剧。广大教师应该加强防范意识, 安全使用U盘。例如:以下2点可作为多媒体教师机使用的注意事项, 贴在多媒体教室的中控台 (讲台) 上:

(1) 使用U盘时, 应先用杀毒软件或专杀工具扫描;不要双击打开U盘, 而应右键单击它的盘符, 然后在快捷菜单中选“打开”。

(2) 禁止学生用U盘在教师机上拷贝课件;若学生需要课件, 教师可课后将课件发到学生班级的公共邮箱 (或QQ共享) 上。

衷心希望广大教师能够通过对本文的阅读, 清楚地认识U盘病毒的危害和防范措施, 有效地阻止U盘病毒的入侵和传播, 确保多媒体教学活动的顺利进行。

摘要：结合多媒体教室计算机维护的实际经验, 分析了U盘病毒的传播途径, 指出它主要利用autorun.inf文件和Windows的自动播放功能进行传播。因此对症下药, 提出了四点具体的U盘病毒预防措施:修改组策略、修改注册表、安装杀毒软件和专杀工具、建立同名文件夹。

关键词：U盘病毒,autorun.inf文件,自动播放

参考文献

[1]姚红星, 张泽锋, 赵峰.U盘病毒的有效防治[J].新乡学院学报 (自然科学版) , 2009 (3) :55-56.

[2]杨正彬.基于计算机U盘病毒防范的应用研究[J].才智, 2009 (17) :145-146.

[3]周亚萍.U盘病毒的分析及研究[J].才智, 2009 (20) :160-161.

[4]岳光远.如何更好地防止网络病毒的入侵[J].北京物资流通, 2008 (4) :50, 66.

[5]甄保社.防毒软件应用综述[J].中华医学图书情报杂志, 2008, 17 (4) :61-64.

[6]王文超.浅谈普通高校多媒体教学电脑的维护[J].电脑知识与技术, 2009, 5 (23) :6497-6498.

[7]张汉良.浅谈多媒体教室计算机维护[J].科技风, 2008 (11) :112.

[8]胡晓燕.高校多媒体教室计算机维护方案[J].决策管理, 2008 (1) :74.

[9]文戈.AUTORUN.INF病毒的原理及其防范技术[J].福建电脑, 2009 (7) :153.

U盘病毒防范 第4篇

U盘；U盘病毒；症状；解决方案

随着U盘的广泛使用，U盘感染病毒的现象也相应增多。目前更出现专门利用U盘传播的病毒。如果出现双击U盘无响应或显示U盘内容为0字节等现象，那么你的U盘中毒了。

1.U盘病毒的危害

U盘病毒作为一种传染性病毒，其危害如下：

导致U盘无法正常使用；破坏软件系统，影响工作；删除文件，篡改数据；远程控制，窃取资料。

2.U盘病毒的特点、目的及症状

U盘病毒的概念是：只要是通过感染U盘而在电脑间传播的病毒都被称为U盘病毒。U盘病毒的特点在于利用了Windows操作系统自动播放的特性，让用户在毫无察觉的情况下中毒。U盘病毒的目的是窃取染毒电脑里用户的个人信息及各种密码，破坏染毒电脑里的文件和操作系统，致使系统运行缓慢，频繁死机。

U盘被病毒感染后，会出现一些症状，如：U盘无法显示文件；U盘的文件损坏；U盘无法格式化；U盘文件被隐藏等。

3.U盘病毒的原理

U盘病毒通常利用Windows系统的自动播放功能进行传播。自动播放功能是Windows系统为客户提供方便的一种特性，当这种功能启用时，U盘或光盘插入到计算机上时无须用户干预，就会自动运行介质中的指定程序，从而实现软件自动安装、媒体自动演示等功能。这一功能是通过U盘或光盘中的系统隐藏文件Autorun.inf来实现的，它是一个存放在驱动器根目录下的一个纯文本脚本文件，保存着一些简单的命令，指定系统自动运行的程序名称和路径。Autorun.inf本身是一个安装信息文件，而不是病毒，但病毒程序通过它就可以实现U盘或者可移动设备的自动运行。当用户双击U盘盘符时，便自动调用该文件，在用户完全不知情的情况下，“自动”运行该文件指定的U盘中的病毒程序，向各硬盘分区的根目录拷贝病毒体和Autorun.inf。

4.U盘病毒的解决方法

在电脑上无法显示U盘信息时，可以根据不同的情况，使用不同方法应对。

病毒修改文件显示属性的解决方法。在插入U盘前，先确认一下要操作的计算机是不是也中毒了。如果已经中毒，就不要插入U盘，以免U盘被感染。

首先在桌面上建立一个RAR的压缩包文件，然后打开压缩包文件，再选择"添加"，可以找到U盘，打开U盘后会看到里面的文件包括系统隐藏的文件，然后再打开里面的文件，这种方式打开U盘可以保证本台计算机安全。正常的双击打开U盘可能不会使电脑中毒，但仍无法查阅U盘中被隐藏的文件。

然后，用DOS命令来恢复文件的显示模式。在"开始"----"运行"----输入cmd回车，进入DOS界面。在DOS提示符后输入U盘的盘符，然后回车。如果U盘插入后默认为F盘，就输入了F，回车进入F盘。然后输入命令恢复显示文件attrib/d/s-s-h-a-r。attrib是调整文件的属性，/s/d表示所有文件，s表示System系统属性，h表示隐藏属性，a表示存档文件属性，r表示只读文件属性。此举可恢复文件的显示属性，使文件“可见”。

U盘病毒AutoRun.inf的解决方法。U盘感染AutoRun.inf病毒后，会调用Windows的自动播放功能，自动运行病毒。解决方法：直接删除盘符里的AutoRun.inf文件和sxs.exe文件。由于这两个文件是隐藏的，在Windows下是看不见的（即使显示所有文件也看不见）。因此，这里介绍几种解决方法。

方法一是组策略关闭AutoRun功能。

如果想一次全部禁用Windows XP的自动播放功能，可以按下述步骤操作：

①单击“开始→运行”，在“打开”框中，键入“gpedit.msc”，单击“确定”按钮，打开“组策略”窗口；

②在左窗格的“本地计算机策略”下，展开“计算机配置→管理模板→系统”，然后在右窗格的“设置”标题下，双击“关闭自动播放”；

③单击“设置”选项卡，选中“已启用”复选钮，然后在“关闭自动播放”框中单击“所有驱动器”，单击“确定”按钮，最后关闭“组策略”窗口。

方法二是修改注册表，在注册表中关闭AutoRun功能。具体操作如下：

①在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Exploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”（就是这个键决定了是否执行）

②双击“NoDriveTypeAutoRun”，在默认状态下没有禁止AutoRun功能，在弹出窗口中可以看到“NoDriveTypAutoRun”默认键值为95，00，00，00。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备，Windows中不同设备会用不同的数值表示。

方法三是修改权限法，具体操作如下：

①点开始->运行输入regedit.exe回车；

②[HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼MountPoints2]；

③右键点MountPoints2选择权限；

④依次点击“安全中的用户和组”，在下面的权限中都改成拒绝；

⑤刷新一遍，此后即使U盘有病毒也不会激活，可正常进入U盘。

方法四是隐藏驱动器法，具体操作如下：打开注册表编辑器，进入HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer，新建二进制值“NoDrives”，缺省值是00000000，表示不隐藏任何驱动器。键值由4个字节组成，每个字节的每一位（bit）对应从A到Z的一个盘，当相应位为1时，“我的电脑”中的相应驱动器就被隐藏了。第一个字节代表从A到H的八个盘，即01为A、02为B、04为C……依此类推，第二个字节代表I到P；第三个字节代表Q到X；第四个字节代表Y和Z。U盘的盘符是接着现有盘符往下推。如果硬盘已经分区为C、D、E、F，那么U盘采用G：作为盘符，再插入一个U盘就用H：。此时只需将G：和H：隐藏，则插入U盘也不会在“我的电脑”里显示。当然，用注册表编辑器修改注册表的方法操作起来较为复杂，现在有很多专门修改注册表的软件，如WINDOWS优化大师中展开“系统性能优化/系统安全优化/更多设置/选择要隐藏的驱动器”，将要隐藏的盘符前的"□"里打"√"，确定即可。

方法五是禁止创建AutoRun.inf，具体操作如下：在根目录下建立一个文件夹，名字就叫AutoRun.inf。由于Windows规定在同一目录中，同名的文件和文件夹不能共存，这样病毒就无法创建AutoRun.inf文件，即使您双击盘符也不会运行病毒。

[1]张 伟.新型U盘病毒的防止办法[J].电脑知识与技术，2008.29

[2]范志力，孙静丽，包春芳等.U盘病毒及其应对策略[J].赤峰学院学报（自然科学版），2008.24

U盘病毒简介 第5篇

U盘病毒会在系统中每个磁盘目录下创建autorun.inf病毒文件(不是所有的autorun.inf都是病毒文件)，因此也被称为“Autorun病毒”，此类病毒借助“Windows自动播放”的特性，使用户双击盘符时就可立即激活指定的病毒。此外，它主要通过U盘传播自身，危害极大，不但影响用户的电脑系统，而且可能会造成大规模的病毒扩散等现象。

U盘病毒是一个统称，实际上他不仅仅可以通过U盘传播，还可以通过网络漏洞各种方式下载的用户本机并隐藏，由于用户会经常双击打开本地盘符，因此这种病毒的存活率和复发率非常的高，目前来看多流行为“下载器(Downloader)”;木马下载器，以此形式通过网络后台自动下载各类木马和病毒，对用户的电脑和虚拟财产造成极大的危害，即使是重装的情况下，也很容易再次激活其他盘符中的病毒，

360安全卫士U盘专杀工具，使用智能启发式查杀方法，对流行的U盘病毒及其衍生物具有优秀的杀灭效果，同时，使用360粉碎机的破冰技术可以有效阻止病毒再生!

U盘病毒专杀工具 移动存储卫士 第6篇

如今U盘（又称闪存）已经成为我们最常用的数据传输交换与存储工具。现在使用闪存等USB设备的场合越来越多，闪存感染病毒的几率也越来越大。闪存与电脑之间的来回数据交换更是容易引起闪存、电脑以及其他存储工具都受到病毒感染，对数据文件等破坏将会很严重。如何保护自己的闪存不被病毒感染是很多用户头疼的事。

彻底消灭闪存病毒

方法总是比困难多。面对闪存产品受到病毒威胁，我们有很多种预防与消灭病毒的方法。今日笔者带领大家一起来分享一下闪存病毒防治的法子，看看对朋友们日常使用有没有帮助。

方法一：电脑安装USB写入保护功能

如果在使用闪存的电脑上安有USB WriteProtector 这款USB写入保护工具。它就可以很方便地控制闪存的写入操作，也就等于让闪存加入了“防写入”功能，病毒自然也不能感染闪存了。

USB WriteProtector 下载途径很多

从网上下载软件的绿色汉化版本，解压后直接运行其中的可执行文件即可启动软件。软件操作非常简单，它的界面上只有“USB写入保护开启/USB写入保护关闭”两个选项。

操作很简单很方便

如果你的电脑可能感染了病毒，但又要从闪存上读取资料，你只要在把闪存插入电脑的USB接口之前运行该软件，选择“USB写入保护开启”，然后关闭软件，再插入闪存就可以了。这时插入的闪存处于写保护状态，只能读取不能写入，也就有效地避免闪存染毒和设备内的资料被恶意删改。电脑正常状态下需要向闪存中写入文件时，只要在插入闪存前运行软件并选择“USB写入保护关闭”选项即可。

PS：运行软件前闪存必须与电脑断开连接，否则设置无效。

方法二：杜绝闪存autorun传染病毒

闪存是传播病毒的主要渠道，其中最容易“中奖”的就是autorun。它会伪装成自动运行文件，当把闪存插在电脑上时，电脑就会被感染，这样来来往往，周围电脑的硬盘以及移动设备统统落入autorun的魔掌中。

Antirun软件下载途径很多

这时可在电脑上安装Antirun软件，专门用来阻止autorun。Antirun十分小巧，只有300KB，系统资源消耗少，使用也非常简单。下载安装运行后，程序就会自动藏驻在系统任务栏的右下角，图标就是一个绿色闪存。

安装完毕的绿色图标

当闪存插入电脑时，Antirun就会自动扫描检测该闪存中是否有autorun.inf文件，一旦被侦测到就视为病毒出现删除信息，这时按下Delete按钮，就可将autorun文件删掉，

当清除完毕后，界面就会出现“Successfully removed”信息（，表示已成功删除，这时再按Rescan按钮，就可以正常使用闪存了。

优盘被检测到病毒

病毒删除完毕

删除病毒可以正常使用

当然除了可删除autorun病毒外，Antirun还有几个比较实用的功能。Antirun支持移动硬盘、读卡器等USB设备，当同时插入多个USB设备时，它会以多个标签页的方式来进行管理。而且Antirun界面中还可以一键打开或卸载USB设备，这样使得外设使用更加安全。同时界面的底部还显示了目前空间使用状况的信息，比较直观。

实现多个盘符共同监测

这个工具相当于禁用了USB移动设备的自动运行功能，从而斩断病毒之手，如此一来就不用担心电脑中奖了！

方法三：妙招删除Autorun.inf文件

当计算机系统不小心感染了“Autorun.inf”文件病毒时，该病毒就会自动在本地硬盘的所有分区根目录下面创建一个“Autorun.inf”文件，该文件在默认状态下具有隐藏属性，用普通方法是无法直接将它删除掉的。要想删除“Autorun.inf”病毒文件，我们可以按照如下方法来操作：

首先用鼠标双击系统桌面中的“我的电脑”图标，在其后弹出的窗口中依次单击“工具”/“文件夹选项”菜单命令，打开文件夹选项设置窗口，单击该窗口中的“查看”标签，并在对应标签页面中选中“显示所有文件和文件夹”项目，同时将“隐藏受保护的操作系统文件”的选中状态取消掉，再单击“确定”按钮，这么一来“Autorun.inf”病毒文件就会显示在各个分区根目录窗口中了。

一个U盘病毒简单分析病毒防范 第7篇

U盘病毒对于局域网环境的企业来说也是一个很头疼的事情，由于员工随意插拔使用U盘，经常导致U盘病毒在企业局域网环境下肆意泛滥，给企业网管员带来了不小的麻烦。今天我们分析的这个U盘病毒，会将U盘上的数据隐藏，并会在U盘上生成一个恶意的快捷方式，只要我们打开这个快捷方式，就会触发病毒执行。

病毒样本介绍

先来看一下该病毒样本的相关信息：

File：~%PHENOVECNYE.ini

Size：23M

MD5：69425684F5C155AAD52D0A6C8E41E2FA

瑞星V16+：Worm.Win32.Agent.aym

此病毒样本截图如图1所示，瑞星v16+查杀该样本截图如图2所示。

图1：病毒样本

图2：瑞星V16+对病毒样本查杀截图

病毒样本只是一个lnk快捷方式，并不是~%PHENOVECNYE.ini，我们取消系统的隐藏显示再来看一下。点击工具菜单-文件夹选项，如图3所示，取消隐藏受保护的操作系统文件(推荐)勾选，及隐藏文件和文件夹下面选择显示所有文件和文件夹。

图3：取消系统的隐藏文件

取消系统隐藏文件后，再来看一下病毒样本，文件夹下多了很多文件，如图4所示。

图4：取消系统隐藏文件后，显示出病毒样本~%PHENOVECNYE.ini

我们先来简单分析一下lnk文件，右键点击lnk选择属性，如图5所示。

图5：查看lnk快捷方式文件的属性

我们看到这个lnk快捷方式的目标类型是应用程序，目标是%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini,lnk。如图6所示，这个快捷方式原来是调用系统的rundll32.exe来运行~%PHENOVECNYE.ini。大家可能有点奇怪，~%PHENOVECNYE.ini只是一个ini文件，为什么这个快捷方式要通过rundll32.exe来运行它呢?接下来我们再来分析一下~%PHENOVECNYE.ini文件，看它到底是什么文件类型。

图6：查看lnk快捷方式的属性，其目标为%hoMEdrive%WINDOWSSystem32 undll32.exe ~%PHENOVECNYE.ini

我们使用winhex工具打开~%PHENOVECNYE.ini文件，在winhex的字符串显示区域，我们看到了MZ头，标准的pe文件头，如图7所示。

图7：winhex显示~%PHENOVECNYE.ini文件实际上是一个可执行程序

Winhex只是能说明~%PHENOVECNYE.ini文件是一个可执行程序，但具体这个文件是dll或exe，还是驱动?我们使用IDA工具查看一下文件的输出点，如图8所示，IDA显示~%PHENOVECNYE.ini的Exports为DLLEntryPoint，原来这个~%PHENOVECNYE.ini是一个dll文件。我们知道要执行一个dll文件，需要使用系统的rundll32应用程序，有时当然还需要加上dll运行参数，这样才能将dll跑起来。所以有时候我们不能只通过查看文件的扩展名来识别文件类型，有些病毒文件会伪装成正常的系统文件名来迷惑大家。怎么来分辨呢?简单的就是用记事本直接打开文件，查看一下文件头，就大概知道这个文件到底是什么文件类型。

图8：IDA查看~%PHENOVECNYE.ini的Exports为DLLEntryPoint

病毒行为分析

在这次病毒行为分析中，我们使用SFF这款工具。当然，在开始运行病毒前，开启SSF的监控，直接双击lnk快捷方式，过一会儿，SSF监控到如下的病毒行为，如图9所示，rundll32.exe执行C:ATICatalyst.exe。

图9：rundll32.exe执行C:ATICatalyst.exe

点允许后，SSF又监控到是否允许Catalyst.exe创建一个傀儡进程Catalyst.exe，如图10所示。

图10：是否允许创建傀儡进程Catalyst.exe

从图10来看，两个Catalyst.exe的pid是不同的，实际就是Catalyst.exe同时创建了一个傀儡进程，而这个傀儡进程就是它自己。这里继续点允许，SSF监控到C:ATICatalyst.exe要运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图11所示。

图11：是否允许Catalyst.exe运行C:DOCUME~1ADMINI~1LOCALS~1Tempseynhbuoetjzoetnzoepfqgvpfqkeyne.com

小结一下：~%PHENOVECNYE.ini跑起来后，首先在C盘下创建ATI文件夹，同时写入病毒文件Catalyst.exe，Catalyst.exe同时会创建一个它本身的傀儡进程，同时还会在系统临时目录下释放一个随机文件名的com病毒程序，之后交由Catalyst.exe来运行com病毒程序，如图12所示。

图12：SSF拦截到的Catalyst.exe运行临时目录下的com病毒程序行为

允许seynhbuoetjzoetnzoepfqgvpfqkeyne.com运行后，SSF也监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com同时也要创建一个自身的傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com，如图13所示。

图13：seynhbuoetjzoetnzoepfqgvpfqkeyne.com创建自己为傀儡进程

在允许创建傀儡进程seynhbuoetjzoetnzoepfqgvpfqkeyne.com后，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统程序wupdmgr.exe，如图14所示。

图14：seynhbuoetjzoetnzoepfqgvpfqkeyne.com要运行系统wupdmgr.exe

wupdmgr.exe是windows update manger的缩写，是自动升级的程序。我们接下来看一下，病毒程序seynhbuoetjzoetnzoepfqgvpfqkeyne.com要调用系统wupdmgr.exe程序干什么坏事。继续允许它运行wupdmgr.exe，SSF监控到seynhbuoetjzoetnzoepfqgvpfqkeyne.com要修改wupdmgr.exe内存数据，如图15所示。

图15：修改wupdmgr.exe内存数据、注入

在我们允许之后，SSF又监控到同样的病毒行为提示，如图16所示。

图16：两次是否允许修改wupdmgr.exe内存数据

在允许修改wupdmgr.exe内存数据后，SSF监控到wupdmgr.exe在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun下，写入名称为47801的启动项，如图17所示。

图17：wupdmgr.exe创建启动项47801

到这里我们先来印证一下SSF监控到这些病毒行为，如图18所示，病毒样本的确是在C盘根目录下创建ATI文件夹并写入病毒文件Catalyst.exe。

图18：病毒样本运行后写入的病毒文件Catalyst.exe

图19所示的是病毒样本~%PHENOVECNYE.ini在系统临时目录下写入的病毒文件seynhbuoetjzoetnzoepfqgvpfqkeyne.com。

图19：系统临时目录下的病毒样本seynhbuoetjzoetnzoepfqgvpfqkeyne.com

再使用xuetr工具查看一下系统当前进程及启动项，如图20所示，在进程列表里我们看到wupdmgr.exe，其父pid为1480，也就是seynhbuoetjzoetnzoepfqgvpfqkeyne.com，seynhbuoetjzoetnzoepfqgvpfqkeyne.com修改wupdmgr.exe内存数据并将其启动起来，为病毒下一步干坏事做好准备。

图20：xuetr进程列表显示wupdmgr.exe已经运行起来

再来看启动项，wupdmgr.exe写入启动项名称为47801，其执行路径为：C:Documents and SettingsAdministratorLocal SettingsTempccwaaiehv.bat，如图21所示。

图21：wupdmgr.exe写入的启动项

右键点击启动项点定位到启动文件，如图22所示，我们来看一下这个bat到底是什么文件。

图22：定位启动文件

图23所示的启动项文件是一个被设置为隐藏的ccwaaiehv.bat。

图23：定位到的病毒文件ccwaaiehv.bat

使用记事本打开这个ccwaaiehv.bat文件，看一下批处理的内容是什么，发现ccwaaiehv.bat其实也是一个pe文件，如图24所示。

图24：ccwaaiehv.bat文件头为MZ标准的pe格式文件

我们提取ccwaaiehv.bat和Catalyst.exe这两文件，使用瑞星V16+查杀一下这两个样本，如图25所示，瑞星V16+对这两个文件报毒，

图25：V16+查杀这两个病毒样本

实际上，在wupdmgr.exe被修改内存数据，并写入启动项47801后，这个病毒整个已经跑起来了。接下来我们就要进一步触发一下这个病毒，看一下这个病毒后续的行为。怎么触发呢?从这个病毒lnk快捷方式的名称为我的移动(4G)及图4来看，我们猜测这个病毒样本可能针对的是移动存储设备U盘来做文章，既然猜测是这样，我们就给染毒环境插入一个正常U盘，如图26所示，是一个实机正常插入的可移动磁盘。

图26：正常的U盘

我们把这个U盘切换到染毒环境的虚拟机，在切换到染毒环境之前我们将processmonitor这个工具的捕捉功能开启，让processmonitor捕捉一下U盘在切换到染毒环境后的一些病毒行为。如图27所示，完好的U盘在切换到染毒环境下，U盘上的数据都看不到了，只剩下一个HB1_CCPA_X6(8GB)的快捷方式。

图27：U盘上的数据只剩下一个2kb的快捷方式

我们来看一下processmonitor工具都捕捉到了哪些病毒行为，病毒是如何将U盘数据隐藏的。由于Processmonitor捕捉到内容较多，如图28所示，我们直接查找wupdmgr.exe，Processmonitor显示进程wupdmgr.exe的pid为，这样我们就可以设置过滤规则，直接查看进程wupdmgr.exe的行为。

图28：Processmonitor显示的wupdmgr.exe的pid为2000

接下来设置规则分别为pid为2000、操作为写入、操作为设置注册表值这三项，如何设置过滤规则就不详细讲解了，看过我们之前的文章，相信大家应该掌握了。如图29所示，我们添加三条过滤规则。

图29：设置过滤规则

设置好规则后，我们看到在插入U盘(盘符为E:)，wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db，如图30所示。

图30：wupdmgr.exe向U盘写入文件desktop.ini及Thumbs.db

同时还修改系统注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced的ShowSuperHidden和Hidden的值，如图31所示，图32、33所示的是修改的具体键值数据。

图31：wupdmgr.exe修改注册表值

图32：修改ShowSuperHidden值为0，勾选隐藏受保护的操作系统文件(推荐)

图33：修改Hidden值为2，勾选不显示隐藏的文件和文件夹

这样修改后，我们就无法查看系统隐藏的文件，其目的就是隐藏U盘上的数据，使我们无法查看到，因为病毒将U盘的文件都设置了隐藏属性，同时wupdmgr.exe向U盘写入病毒文件~%YZUAWLLH.ini，如图34所示。

图34：wupdmgr.exe写入病毒文件~%YZUAWLLH.ini

写入的病毒文件和我们之前运行的~%PHENOVECNYE.ini文件名不同，但其实都是同一个病毒程序。Processmonitor工具同时还捕捉到了wupdmgr.exe向U盘写入lnk快捷方式，如图35所示。

图35：wupdmgr.exe写入的以U盘名及大小为文件名的lnk快捷方式

右键查看U盘上lnk快捷方式的属性，发现同样也是通过系统的rundll32来运行的~%YZUAWLLH.ini，手法和我们的本例讲解的病毒样本一致，如图36所示。

图36：U盘上lnk快捷方式属性

病毒处理

以上是病毒样本的行为分析，接下来我们讲一下如何手动处理这个病毒。使用xuetr工具来处理，如图37所示，使用xuetr先结束进程wupdmgr.exe，之后再删除病毒样本写入的启动项及文件，如图38所示。

图37：结束wupdmgr.exe进程

图38：删除病毒写入的启动项47801及对应文件

之后还要删除在C盘根目录下创建的ATI文件夹，如图39所示。

图39：删除病毒写入的ATI文件夹

接下来恢复病毒样本修改的注册表项，如图40所示，使用xuetr注册表定位到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced，将ShowSuperHidden的值修改为正常1，如图41所示。

图40：恢复病毒修改的ShowSuperHidden的注册表值

图41：修改ShowSuperHidden正常键值为1

如图42及图43所示，使用xuetr工具恢复病毒修改的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden注册表值。

图42：恢复病毒修改的Hidden的注册表值

图43：修改Hidden正常的键值为1

注册表项修改为正常值后，我们就可以看到U盘上隐藏的病毒文件及一个U盘图标似的文件，如图44所示。

图44：U盘上写入的病毒文件及被隐藏的U盘数据

我们打开那个类似U盘图标的文件夹，如图45所示，所有的U盘数据都在这里。

图45：类似U盘图标下的所有U盘数据

接下来将U盘上病毒写入的病毒文件删除，右键选中U盘上病毒写入的文件点删除即可，如图46所示。

图46：删除U盘上病毒文件

删除之后就剩下了那个类似U盘图标的文件夹，如图47所示，这里可是有我们U盘上的数据，不能删除。如何恢复正常的U盘呢?重新插拔一下U盘即可，如图48所示。至此，我们手动完成了处理这个病毒。

图47：剩余的类似U盘图标的文件夹

图48：重新插拔U盘后，U盘恢复正常

瑞星V16+对病毒预防的方法

来讲解一下如何使用瑞星V16+来防范这类病毒。通过前面对病毒行为的分析，病毒修改了系统wupdmgr.exe内存数据并创建一个自身的傀儡进程wupdmgr.exe。那么我们就使用瑞星V16+的系统加固自定义规则，添加一条文件访问规则，监控任何程序访问或修改c:windowssystem32wupdmgr.exe时都给予提示，如图49所示。

图49：瑞星v16+添加文件访问规则，监控c:windowssystem32wupdmgr.exe

还需要将系统加固的默认优化选项默认放过包含厂商数字签名的程序文件及默认放过瑞星云安全鉴定安全的程序文件勾选取消，如图50所示。

图50：取消系统加固默认优化选项

再跑一下这个病毒样本，跑样本前关闭瑞星文件监控，过一会瑞星V16+系统加固拦截到有可疑程序试图打开c:windowssystem32wupdmgr.exe，如图51所示。

图51：系统加固拦截到可疑程序打开c:windowssystem32wupdmgr.exe

从图51来看，重新运行了病毒样本，该病毒样本在系统临时目录下，创建32位随机命名的com病毒文件。来看一下是否在C盘创建了ATI文件夹并写入了病毒文件Catalyst.exe，如图52所示，果然在C:ATI写入了病毒文件Catalyst.exe，说明病毒已经跑起来了。

图52：再次运行病毒样本，在C:ATI写入病毒文件Catalyst.exe

图52-1所示的是病毒文件Catalyst.exe在系统临时目录下创建32位随机命名的com文件。

图52-1：写入系统临时文件夹的32位随机com病毒文件

图52和图52-1都充分说明病毒已经跑起来了，在瑞星V16+系统加固拦截到病毒样本试图打开c:windowssystem32wupdmgr.exe，注意系统加固默认是阻止，在我们不选择处理方式后，系统加固自动拦截该行为。使用xuetr工具查看当前系统进程里，没有wupdmgr.exe，如图53所示。

图53：当前进程列表没有wupdmgr.exe

继续查看启动项，发现HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun也没有被写入可疑启动项，如图54所示。

图54：xuetr显示无可疑启动项

插入U盘到染毒环境再测试一下，看看U盘的数据是否还会被隐藏并变成一个快捷方式。如图55所示，插入U盘后一切正常，说明设置的规则能成功拦截该样本。

图55：插入U盘到染毒环境，U盘一切正常

剩下的就好办了，手动删除掉病毒创建的两个无用的病毒样本即可，如图56所示。

图56：回收站里被删除的两个无用的病毒样本