別讓閃盤(pán)成“閃妖怪”

有一種流行，你必須拒絕。有一種方便，你必須放棄。

比如，那些現(xiàn)在非?！傲餍小保帜芊浅！胺奖恪钡赝ㄟ^(guò)閃盤(pán)傳播的病毒與木馬。只需要短短一瞬，它們就能把你心愛(ài)的閃盤(pán)，變成傳播毒害的“閃妖”!

目前，通過(guò)閃盤(pán)傳播的病毒正在互聯(lián)網(wǎng)上瘋狂傳播，“Av終結(jié)者”、“隨機(jī)8位數(shù)”等病毒通過(guò)閃盤(pán)大肆蔓延，已經(jīng)有近十萬(wàn)用戶受到閃盤(pán)病毒的侵?jǐn)_。在許多公共場(chǎng)所，比如網(wǎng)吧、學(xué)校機(jī)房、打印復(fù)印店、辦公室等地，閃盤(pán)簡(jiǎn)直變成了“流動(dòng)殺手”。

哈利·波特與“閃妖”

隨著電影大片《哈利·波特與鳳凰密令》掀起電影院線的熱映高潮，一種偽裝成《哈利波特與死亡圣徒》小說(shuō)、通過(guò)閃盤(pán)傳播的病毒也來(lái)湊起了熱詞。當(dāng)你在電腦中插入閃盤(pán)時(shí)，該病毒會(huì)自動(dòng)感染電腦。

PCD讀者的“閃妖”遭遇

廣州讀者李方曾打電話到編輯部求助：他把自己的閃盤(pán)借給同學(xué)拷貝論文去打印，可把閃盤(pán)拿回來(lái)之后，剛插到自己的電腦上．系統(tǒng)日期就被更改了，接著殺毒軟件的授權(quán)文件失效，還沒(méi)來(lái)得及報(bào)警就被強(qiáng)制“下崗”。幾分鐘之后．寢室里聯(lián)網(wǎng)的其他電腦也紛紛中招

北京讀者胡彥清是公司的網(wǎng)管，他的遭遇讓他很郁悶。一種病毒劫持了全公司的電腦，整個(gè)局域網(wǎng)陷入了癱瘓。最讓人抓狂的是，即便格式化硬盤(pán)后重裝操作系統(tǒng)，電腦立即又被感染……幾經(jīng)周折，才發(fā)現(xiàn)“罪魁禍?zhǔn)住本故且晃粏T工的閃盤(pán)。

絕地反擊中了閃盤(pán)病毒怎么辦

可能大家都有過(guò)這樣的經(jīng)歷：把自己閃盤(pán)拿到其他地方用過(guò)之后，再插回自己的電腦上，電腦就開(kāi)始出一些毛病。比如莫名死機(jī)、系統(tǒng)運(yùn)行緩慢，開(kāi)機(jī)時(shí)間變長(zhǎng)、內(nèi)存占用率突然提高、突然出現(xiàn)大量相同名字的程序運(yùn)行……總之就是出現(xiàn)了一大堆中毒的癥狀。更可怕的是，如果這些病毒再隨便帶上點(diǎn)木馬的傾向，就極有可能把你電腦里的銀行賬號(hào)、密碼；網(wǎng)游賬號(hào)、密碼；個(gè)人機(jī)密資料等泄露出去

是坐以待斃，還是絕地反擊?答案當(dāng)然是后者，本文就和大家分享受一下怎么三管齊下，根除閃盤(pán)病毒(以下如無(wú)特殊說(shuō)明，均以WinXP系統(tǒng)下的操作為例)。

知己知彼，百戰(zhàn)不殆

要“干掉”閃盤(pán)病毒，就需要了解一些相關(guān)的知識(shí)，比如閃盤(pán)病毒的傳播途徑、發(fā)作原理、偽裝方式、常見(jiàn)現(xiàn)象等。

1 閃盤(pán)病毒傳播途徑

目前，閃盤(pán)病毒在互聯(lián)網(wǎng)上傳播的常用方式有：把病毒偽裝成點(diǎn)對(duì)點(diǎn)下載(例如BT、電騾等)使用的種子文件，或把惡意病毒程序偽裝捆綁到一些熱門(mén)的軟件、電影、MP3音樂(lè)等網(wǎng)絡(luò)資源中，如果大家通過(guò)一些熱門(mén)關(guān)鍵詞去搜索并下載這些有問(wèn)題的數(shù)據(jù)資源，那么很有可能會(huì)受到這些惡意病毒的入侵感染。另外，目前越來(lái)越多的閃盤(pán)病毒通過(guò)網(wǎng)站種植木馬的方式進(jìn)行傳播，如果隨意登錄一些不明網(wǎng)站，或者點(diǎn)擊一些不明網(wǎng)絡(luò)鏈接，也很容易“中招”。

一旦閃盤(pán)病毒入侵了電腦，就會(huì)主動(dòng)尋找閃盤(pán)等移動(dòng)設(shè)備進(jìn)行感染，植入病毒體并“安插”自動(dòng)運(yùn)行腳本，把閃盤(pán)變?yōu)椤岸驹础崩^續(xù)傳播。

2 閃盤(pán)病毒發(fā)作原理

閃盤(pán)病毒的發(fā)作主要借助的就是Autorunini文件，發(fā)作過(guò)程可以分為兩個(gè)階段。

第一階段：感染病毒

當(dāng)用戶將一塊沒(méi)有任何病毒的閃盤(pán)插入一臺(tái)潛伏了病毒的電腦上，通過(guò)一些常用的操作，可能就會(huì)激發(fā)病毒程序。病毒首先會(huì)將自身復(fù)制到閃盤(pán)中，同時(shí)創(chuàng)建一個(gè)名為Autorunini的文件。此時(shí)，病毒順利在這塊閃盤(pán)上扎根了。

第二階段：傳播病毒

當(dāng)這塊閃盤(pán)插入到一臺(tái)沒(méi)有任何病毒的電腦上后，通常情況下，Windows默認(rèn)會(huì)用Autorun.ini中的設(shè)置去運(yùn)行閃盤(pán)中的病毒程序，此時(shí)病毒就會(huì)在Windows系統(tǒng)扎根，并向各硬盤(pán)分區(qū)的根目錄拷貝病毒體和自動(dòng)運(yùn)行腳本。

當(dāng)你意識(shí)到電腦中毒之后，即使格式化了系統(tǒng)分區(qū)，由于其他硬盤(pán)分區(qū)還帶有病毒，并且是自動(dòng)運(yùn)行的，如果你按照平時(shí)的習(xí)慣雙擊盤(pán)符想要打開(kāi)分區(qū)，病毒就再一次啟動(dòng)并且頑固地盤(pán)踞在你的電腦中，造成病毒屢殺不止的現(xiàn)象。

3 閃盤(pán)病毒的偽裝方式

閃盤(pán)病毒如果堂而皇之地出現(xiàn)在閃盤(pán)里，肯定會(huì)被用戶發(fā)現(xiàn)而刪除，所以，病毒肯定會(huì)偽裝起來(lái)，并且將自己改造成系統(tǒng)文件夾、隱藏文件等，一般情況下是看不到的。閃盤(pán)病毒常見(jiàn)的偽裝方式有兩種。

方式一：冒充假回收站。

病毒通常在閃盤(pán)中建立一個(gè)“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這個(gè)文件夾就是回收站了，而事實(shí)上，Windows系統(tǒng)回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的。

方式二：假冒殺毒軟件。

病毒會(huì)在閃盤(pán)中放置一個(gè)程序，改名為“RavMonE.exe”，甚至連圖標(biāo)都改得和瑞星一模一樣，這很容易讓人以為是瑞星殺毒軟件的后臺(tái)監(jiān)控程序(RavMon.exe)，其實(shí)它卻是病毒。

看到這里，也許有讀者會(huì)問(wèn)，我已經(jīng)知遭自己的閃盤(pán)“中了毒”，但為什么打開(kāi)它卻看不到你說(shuō)的那些文件呢?很簡(jiǎn)單，通常情況下，系統(tǒng)默認(rèn)會(huì)隱藏一些文件夾和文件。

要讓自己能看到隱藏的文件或文件夾，怎么辦呢?按照如下步驟進(jìn)行操作：打開(kāi)“我的電腦”，依次單擊“工具”一“文件夾選項(xiàng)”，在文件夾選項(xiàng)窗口切換到“查看”標(biāo)簽頁(yè)，然后點(diǎn)選“顯示所有文件和文件夾”，并去掉對(duì)“隱藏受保護(hù)的操作系統(tǒng)文件”和“隱藏已知文件的擴(kuò)展名”的勾選，再單擊“應(yīng)用”→“確定”即可。

4 閃盤(pán)病毒的異?，F(xiàn)象

雖然大部分閃盤(pán)病毒發(fā)作時(shí)會(huì)有比較明顯的現(xiàn)象，例如電腦異常死機(jī)、運(yùn)行速度緩慢等，但是很多閃盤(pán)病毒都很“高明”，可以悄無(wú)聲息地潛入你的電腦。但是再狡猾的狐貍也會(huì)露出尾巴，如果閃盤(pán)帶有病毒，還會(huì)有些不易察覺(jué)的異?，F(xiàn)象，當(dāng)鼠標(biāo)右擊閃盤(pán)的盤(pán)符時(shí)，右鍵菜單會(huì)多出一些選項(xiàng)，例如“自動(dòng)播放”、“Open”、“Browser”等項(xiàng)目；而正常的閃盤(pán)右鍵菜單中是沒(méi)有這些項(xiàng)目的。

現(xiàn)在我們已經(jīng)初步了解了閃盤(pán)病毒的方方面面，下面就開(kāi)始圍剿行動(dòng)吧!

未知閃盤(pán)病毒，手動(dòng)清除

對(duì)于不知名的閃盤(pán)病毒或已知病毒的新變種，我們可以嘗試手動(dòng)進(jìn)行清除。需要注意的是，下面的手動(dòng)清除方法我們只是用于說(shuō)明解決的思路，具體的清除方法視病毒不同會(huì)有一些差異，大家可以根據(jù)具體情況舉一反三。

1 發(fā)現(xiàn)異常，仔細(xì)檢查

當(dāng)你發(fā)現(xiàn)自己的電腦出現(xiàn)前面所述的異?，F(xiàn)象時(shí)，首先斷開(kāi)網(wǎng)絡(luò)，避免病毒升級(jí)并通過(guò)網(wǎng)絡(luò)再次傳播，然后打開(kāi)系統(tǒng)文件和隱藏文件的顯示選項(xiàng)，通過(guò)鼠標(biāo)右鍵的“打開(kāi)”功能進(jìn)入閃存盤(pán)進(jìn)行檢查，看是否有異常文件出現(xiàn)。以RavMonE.exe病毒為例，它會(huì)在閃盤(pán)中放置autorun.inf，msvcr71.dl和RavMonE.exe三個(gè)文件。經(jīng)過(guò)對(duì)比，發(fā)現(xiàn)RavMonE.exe并非瑞星的后臺(tái)監(jiān)控程序，確認(rèn)中了病毒。

2 清除硬盤(pán)上的病毒

由于此時(shí)病毒已經(jīng)啟動(dòng)，因此要清除病毒，必須結(jié)束病毒的相關(guān)進(jìn)程。按Tctrl＋Alt＋Delete組合鍵，打開(kāi)任務(wù)管理器，終止所有RavMonE.exe進(jìn)程。

如果由于病毒作祟，無(wú)法調(diào)用任務(wù)管理器結(jié)束病毒進(jìn)程，我們可以嘗試使用一些殺進(jìn)程的軟件，例如《進(jìn)程殺手》(Prockiller)、lceSword、《柳葉擦跟》、《系統(tǒng)查看大師》、Kill process等。以“進(jìn)程殺手》為例，啟動(dòng)之后，在進(jìn)程列表中選中需要結(jié)束的進(jìn)程，單擊“中止進(jìn)程”按鈕即可。

依次單擊“開(kāi)始”→“運(yùn)行”，在運(yùn)行對(duì)話框中輸入“msconfig”并按下回車(chē)鍵，在系統(tǒng)配置實(shí)用程序窗口切換到“館動(dòng)”標(biāo)簽頁(yè)，去掉對(duì)RavMonE exe)啟動(dòng)項(xiàng)的勾選，“應(yīng)用”并“確定”，同時(shí)查看到該文件位于C：＼Windows下。

進(jìn)入C：＼Windows，刪除其中的RavMonE exe。至此，硬盤(pán)上的病毒清除完畢。

3 清除閃盤(pán)上的病毒

在閃盤(pán)中將發(fā)現(xiàn)的病毒相關(guān)文件：autorun.inf、msvcr71.d1和ravmone.exe都刪除掉，如果還有來(lái)歷不明的文件，也可以刪除，完成后，病毒就算清除了。如果閃盤(pán)上沒(méi)有重要資料，為了保險(xiǎn)起見(jiàn)，還可以在閃盤(pán)的盤(pán)符上單擊鼠標(biāo)右鍵，選擇“格式化”。

對(duì)癥下藥，專(zhuān)殺工具清楚

如果對(duì)照自己電腦感染閃盤(pán)病毒后的癥狀，和國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心、各地計(jì)算機(jī)病毒應(yīng)急處理中心、殺毒軟件廠商發(fā)布的病毒通告中的某個(gè)病毒比較類(lèi)似，或者殺毒軟件已經(jīng)明確報(bào)警提示是某個(gè)病毒，就可以到相應(yīng)網(wǎng)站下載該種閃盤(pán)病毒的專(zhuān)殺工具進(jìn)行查殺。相對(duì)于使用殺毒軟件升級(jí)病毒庫(kù)進(jìn)行全面查殺，這種方式更有的放矢而且效率更高。

以臭名昭著的“AV終結(jié)者”(又名“閃盤(pán)寄生蟲(chóng)”)病毒為例，截至目前，其變種數(shù)已達(dá)數(shù)百種之多，感染用戶電腦數(shù)達(dá)到十幾萬(wàn)，而專(zhuān)殺工具也不斷推陳出新，保證能夠查殺最新的“AV終結(jié)者”變種。下面我們以《金山毒霸》推出的“AV終結(jié)者”專(zhuān)殺工具為例，講解如何使用專(zhuān)殺工具清除閃盤(pán)病毒。

Step 1在能正常上網(wǎng)的電腦上登錄金山毒霸網(wǎng)站，下載“AV終結(jié)者”專(zhuān)殺工具(htt0：／／zhuansha.duba.net／259.shtml)。

Step 2在正常的電腦上禁止自動(dòng)播放功能，避免插入閃盤(pán)或移動(dòng)硬盤(pán)而被病毒感染(后文詳述)。

把“AV終結(jié)者”專(zhuān)殺工具從正常的電腦復(fù)制到閃盤(pán)或移動(dòng)硬盤(pán)上，然后再?gòu)?fù)制到中毒的電腦上。

Step 3執(zhí)行“AV終結(jié)者”專(zhuān)殺工具，清除已知的病毒，修復(fù)被破壞的系統(tǒng)配置。

Step 4不要立即重啟電腦，先啟動(dòng)殺毒軟件，升級(jí)病毒庫(kù)，進(jìn)行全盤(pán)掃描，以清除木馬下載器下載的其他病毒。

廣譜抗菌，閃盤(pán)病毒查殺工具

使用專(zhuān)殺工具需要大致了解自己的電腦所中的閃盤(pán)病毒種類(lèi)，而使用殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控有時(shí)又比較占用系統(tǒng)資源，對(duì)于一般的電腦用戶來(lái)說(shuō)，不妨試試閃盤(pán)病毒查殺工具，這類(lèi)工具一般查殺閃盤(pán)病毒種類(lèi)多，兼具系統(tǒng)修復(fù)功能。下面我們就來(lái)看看幾款閃盤(pán)病毒查殺工具的大比拼，如上表所示。

以上列舉的這幾款閃盤(pán)病毒查殺工具都是綠色軟件，解壓即可使用，用法差別不大，我們以USBKill為例。啟動(dòng)USBKill，會(huì)彈出一個(gè)警告窗口，提示用戶下載安裝閃盤(pán)病毒經(jīng)常利用的MS07－017漏洞的修復(fù)補(bǔ)丁(如果用戶的WinXP沒(méi)有開(kāi)啟自動(dòng)更新功能)，單擊“自動(dòng)下載安裝”按鈕。

在USBKill主界面，單擊“快速掃描病毒”按鈕，即可啟用閃電殺毒模式，用最快的速度對(duì)系統(tǒng)的敏感區(qū)域進(jìn)行掃描，檢測(cè)是否有閃盤(pán)病毒。為了安全起見(jiàn)，還可以單擊“全面掃描”按鈕，對(duì)硬盤(pán)和USB移動(dòng)設(shè)備進(jìn)行全面深入的掃描檢測(cè)。

為避免USB移動(dòng)設(shè)備和硬盤(pán)分區(qū)中被寫(xiě)入自動(dòng)運(yùn)行文件并自動(dòng)執(zhí)行，我們可以勾選“禁止所有存儲(chǔ)設(shè)備自動(dòng)播放”項(xiàng)；為了保護(hù)隱私和保護(hù)數(shù)據(jù)安全，我們還可以勾選“記錄USB設(shè)備插拔安全日志”。如果懷疑閃盤(pán)已經(jīng)中了病毒，就需要單擊“安全打開(kāi)”按鈕繞過(guò)自動(dòng)運(yùn)行功能打開(kāi)閃盤(pán)，避免觸發(fā)病毒。

單擊USBKill主界面右下角的“高級(jí)模式”按鈕，可以格式化USB設(shè)備，還可以查看Autorun.inf文件的內(nèi)容。

中了閃盤(pán)病毒并不可怕，可怕的是沒(méi)有使用正確方法去處理它。相信大家看過(guò)本文之后，應(yīng)該對(duì)閃盤(pán)病毒不再心存畏懼，而是能夠從容應(yīng)對(duì)了。