逝去的回忆－残耳blog

今天在淘宝买的1GTF卡到了,期待很久了,我的a1200只有128M实在不够看,也许就是因为太兴奋着急才导致我机子遭殃!拿到手后我就迫不及待地插到读卡器,没有查毒就马上双击打开TF卡的盘,电脑突然停顿一下才打开,我霎时间就感觉出问题了,然后打开其他盘都是相对缓慢了点,由于前几天电脑硬件产生大改变导致系统要重新激活,所以我直接用ghost恢复回一年前的状态(系统不是不得已我真不愿意恢复),很多东西都是原来的全新系统默认状态,也就是说遇到autorun.inf文件双击该磁盘就会执行autorun.inf里指定的程序,我已经知道中招了,按Ctrl+Alt+Del调出任务管理器,发现多出temp1,temp2两个进程(也弄得太明显了吧?都不伪装下进程),打开文件夹选项,选择显示系统文件和显示所有隐藏文件夹,在每个盘下都多出了autorun.inf，copy.exe，host.exe这三个文件,不用说就知道是感染性的病毒,刚开始我想手工删除掉这些文件就可以了,结果全部删除后,打开磁盘还是再次被感染,这个病毒其实好狠毒,由于在每个磁盘都生成有autorun.inf来引导执行文件,所以对于对电脑不太熟悉的人就算重新安装系统,当下次你打开其他盘的时候还是中毒的,这也就是为什么平时有些朋友说中了病毒后重新格式化磁盘重新安装系统病毒仍然存在(并不是每种都和本例一个原因,有些病毒原理是不一样的并非通过autorun.inf引导来感染),说回正题,我删除了这三个文件后,他还重新感染,证明了它还有其他文件监视着,一旦没有发现这三个文件就会重新生成,刚才我有说到进程里的temp1,temp2,一般的病毒都是喜欢放在C:\WINDOWS或者C:\WINDOWS\system32,我在C:\WINDOWS\system32找到了这两个文件,但是安全起见,建议大家删除的时候应该在我的电脑里使用系统的搜索功能搜索temp1和temp2的文件,然后把搜索出来的文件删除掉,没有经验不确认是不是病毒的可以用杀毒软件对这些文件进行扫描,再删除,这样就安全点了,对于这个病毒除了temp1.exe,和temp2.exe还在:\windows\下产生了xcopy.exe和svchost.exe,这两个其实是伪装系统文件,大家如果不懂得判断的话,还是建议用卡巴对系统盘进行全盘扫描,扫描到病毒直接删除(有些是删除了又重新生成的),把中毒的文件名复制下来,用系统的搜索功能搜索此文件,把相关的dll.exe.pl文件全部删除掉,这样系统的病毒就被清理干净了。

最后点击开始――运行，输入gpedit.msc，打开组策略管理器，进入计算机配置――管理模板――系统，把“关闭自动播放”启用，这样对陌生的磁盘就不会轻易感染上它附带的病毒。
如果自己对病毒不是很了解，希望大家能养成个好习惯，对陌生的磁盘都先进行病毒扫描再打开