U盘免疫

fasten

广东安规检测
有限公司提供：

小型摆管淋雨试验机

IPX5X6X7喷水试验机

1000L恒温恒湿箱

各种试验指现货

可程式恒温恒湿试验箱

水平垂直燃烧机

自动卷线器试验机

耐划痕试验机

各种灯头量规现货

灼热丝试验机现货

GB1002插头量规

IPX1-X7淋雨现货

IEC61347/UL935镇流器热试验箱

灯具防风罩

IK冲击试验机

UL498插头插座量规

VDE0620插头插座量规

稳定性试验台

家电温升测试角

针焰试验机现货

热电偶焊机现货

家电125mm试验指

E12灯头量规

无绳壶无绳电熨斗插拔寿命试验机

IEC60335试验指甲

一个新U盘又在别人电脑上中招了，所以要考虑新U盘免疫，以下是具体实现方法：

免疫方法：
　　首先打开命令提示符(在开始菜单>运行,输入cmd,回车)
　　然后键入U盘盘符
　　再输入以下内容(输一行打一个回车)
　　mkdir autorun.inf
　　attrib autorun.inf +s +h
　　cd autorun.inf
　　mkdir abc..\

或者：
如果你自己创建一个autorun.inf放在U盘里，那么病毒是可以将其删除掉并将自己的autorun.inf复制进去的。但是如果利用XP的文件命名规则做文章，病毒就无计可施了。首先在“运行”里面输入CMD然后回车，在弹出的CMD窗口里面输入 X: (X为你的U盘盘符)回车，它显示X:>
然后输入md autorun.inf 回车
上面这句的意思是建立一个文件夹名为autorun.inf
然后再输入 attrib autorun.inf +r +h +s
这句的意思是将autorun.inf赋予只读、隐藏、系统文件属性，这样当病毒试图将自身的autorun.inf复制到U盘时，就会出错，因为存在重名文件。这样病毒就无法通过U盘在别的电脑上启动了！

本人中的是：文件夹EXE病毒

　　同名文件夹EXE病毒：

　　木马名称：Worm.Win32.AutoRun.soq

　　当你把你的U盘插入到一台电脑后，突然发现U盘内生成了以文件夹名字命名的文件，扩展名为exe，更要命的是它们的图标跟文件夹是一样的，很具有迷惑性。
　　一、病毒原理及相关分析

　　一台电脑中毒后，电脑里面会有一个 XP-****.exe（其中****是一个大写字母与数字混合，如XP-02B94AC1.exe）的类似XP补丁的进程以及D7F45.exe的类似进程，同时建立D7F45.exe及一个文件夹的几个启动项，当你插入U盘后，它会把原文件夹隐身，同时建立同名的EXE文件夹，例如 软件.exe 这样的病毒文件夹，文件夹大小为1.44M，不知道的人双击就会中毒。

　　病毒名称：Worm.Win32.AutoRun.soq

　　病毒类型：蠕虫类

　　危害级别：3

　　感染平台：Windows

　　病毒行为：

　　1、病毒运行后会释放以下文件：com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE（后8位随机）（其中com.run dp1.fne eAPI.fne internet.fne krnln.fnr RegEx.fnr fne spec.fne 等并非病毒文件，而是汉语编程易语言的支持库文件）到系统盘的\WINDOWS\system32里面

　　2、新增以下注册表项，已达到病毒随系统启动而自启动的目的。

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　注册表值：XP-290F2C69（后8位随机）

　　类型：REG_SZ

　　值：C:\WINDOWS\system32\XP-290F2C69.EXE（后8位随机）

　　3、添加以下启动项，实现病毒自启动：

　　“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“　.lnk”指向病毒文件。

　　4、下载病毒文件： hxxp://df-123.cn/v.gif（16,896 字节）保存为以下文件，并且运行它们：

　　%Windir%\System32\winvcreg.exe

　　%Windir%\System32\2080.EXE (名称随机)

　　5、被感染的电脑接入移动磁盘后，病毒会遍历移动磁盘根目录下的文件夹，衍生自身到移动磁盘根目录下，更名为检测到的文件夹名称，修改原文件夹属性为隐藏，使用户在其他计算机使用移动磁盘打开其文件夹时运行病毒， 以达到病毒随移动磁盘传播的目的。

　　二、解决方案

　　专杀清除方法：

　　下载瑞星等杀毒软件。（网上有免费正版的，只不过好像只能使用半年左右）

　　手工清除方法：

　　1、结束病毒进程。打开超级巡警，选择进程管理功能，终止进程XP-290F2C69.EXE（后8位随机），winvcreg.exe，2080.exe（随机名）。

　　2、删除病毒在System32生成的以下文件：

　　com.run dp1.fne eAPI.fne internet.fne krnln.fnr og.dll og.edt RegEx.fnr fne spec.fne ul.dll XP-290F2C69.EXE winvcreg.exe 2080.EXE（随机名）

　　3、删除病毒的启动项，删除以下启动项：

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”里的XP-290F2C69.EXE（后8位随机）；

　　“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动” 里的“　.lnk”。

　　4、手工删除后缀为exe的文件,然后显示被隐藏的文件夹。点击“开始”---“运行”----输入“cmd” ，进入命令提示符，然后进入你U盘所在的根目录，具体操作如下，比如你的U盘盘符位G，那么就输入“g：”在回车就可以了。最后，输入如下命令：attrib -r -a -s -h *.* /s /d。

　　三、安全建议

　　养成右键打开U盘的习惯，建议安装360安全卫士

　　或者是开启USBCleaner的Usbmon.exe保护程序

　　这个毒是小毒来的，只要你装了360，开启了除ARP防火墙（可根据个人再开启）其余的实时保护，就不再怕那个毒了

　　虽然是小毒，但是safe360最新版（比如目前的5.0）、KAV7.0、NOD32 EAV3.0版、NOD32 ESS3.0版都杀不了这个毒，甚至查都查不出来，当然，病毒库都是最新的，除了专杀好象其他杀软都对这个毒忽略了，让我感到意外的是瑞星居然还能查杀，虽然我对瑞星的杀毒能力一直持怀疑态度，这个毒的数据我也提交了好几次，但是杀软和这个毒一直相安无事。

　　最新消息，目前KAV7.0的最新病毒库已经能查杀该病毒了（可能是变种）

　　NOD32 4.0也可以查杀了

fengjunping

試一下先。

chengming

近来“u盘杀手”新变种挺厉害，要加强防范。

xiaoxiangtongzi

呵呵。一直用的U盘免疫的。
很多人带糯虫病毒的U盘到我电脑上，就被报警并清理了。
  [s:3]

rindon

貌似不行啊

ph2684607

呵呵。一直用的U盘免疫的。
很多人带糯虫病毒的U盘到我电脑上，就被报警并清理了。

放开那姑娘

U盘就是传播病毒的工具