Autorun.inf惹的祸
前一阵笔者接到朋友的求援,说自己的电脑除C盘以外的其他盘双击后都不能顺利打开,会跳出一个确定选哪个应用程序打开的打开方式对话框(重装过系统后也一样)。
故障现象
笔者亲自操作了一下,的确如朋友所述,但是在打开方式对话框中选择打开Explorep.exe和单击鼠标右键选择“打开”都是能正常打开的。凭以往的经验判断,认为是磁盘的打开方式被更改了。因此在朋友的电脑上首先查看了一下磁盘的打开方式(打开“我的电脑”,选择“工具→文件夹→文件类型→驱动器文件类型→高级”,如图1所示),没发现问题。进入注册表(单击“开始→运行”,输入“regedit”,单击“确定”按钮,选择“HKEY_CLASSES_ ROOT\Driver\ Shell”)查看磁盘的打开方式也没有发现问题(如图2所示)。无计可施之下,笔者在驱动器的打开方式中加入了一条“Open”参数,调用Explorer.exe程序(在图1所示对话框中单击“新建”或者在注册表中如图2所示的Shell上单击鼠标右键选“新建项”都可以),结果还是以失败告终。
 |
| 图1 查看驱动器文件类型 |
 |
| 图2 查看文件打开方式 |
故障排除
过了两天,笔者突然想到只要不禁用磁盘的Autorun功能,就可以在磁盘的根目录下面创建一个Autorun.inf文件,使双击磁盘盘符时运行Autorun.inf文件来调用执行Explorer.exe并打开浏览磁盘。马上来到朋友电脑上先建立了一个文本文件,编辑内容如下。
[autorun]
OPEN=EXPLORER.EXE
改名字保存,结果弹出当前目录下存在同名文件提示框。取消后进入文件夹选项查看窗口(在磁盘浏览窗口上面的菜单中,选择“工具→文件夹→查看”),选择“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件(推荐)”前面的钩,单击“确定”按钮。这时可以看到在除C盘以外的其他盘根目录下都存在一个Autorun.inf文件,打开这个文件可以看到,里面“Open”后面的执行文件是指向“IExplores.exe”文件的。
这下笔者明白了,原来罪魁祸首是这个Autorun.inf文件。C盘不存在这个文件,所以能正常打开,而除C盘以外的其他盘根目录下面都存在这个文件。笔者朋友的电脑没有禁用磁盘的Autorun功能,所以当用户双击盘符的时候,首先运行这个Autorun.inf文件,然后去执行IExplores.exe,而系统又无法定位这个程序,所以弹出选择应用程序的打开方式对话框。重装系统只影响C盘,所以现象还是一样。删除这个文件,清理注册表后(如果您操作的是D盘,则将注册表中HKEY_CURRENT_USER\Software\ Microsoft\Windows\ CurrentVersion\Explorer\ MountPoints\E\Shell项删除,其他类同),磁盘打开都正常了,彻底解决问题。
经验总结
回想以前,也碰到过这种现象,那是在移动硬盘上面,也是在根目录下多了个Autorun.inf文件,所以双击打开不正常,删除以后恢复正常。因此笔者猜测这种情况可能跟病毒有关系,随后查阅了一些资料,得到了一些信息。
后门病毒:IExplores.exe。这个可以使后门种植者通过该后门秘密控制受感染机器,这个病毒工作于Windows 32平台。 病毒会在硬盘的根目录生成IExplores.exe文件。这个文件的作用是,当用户双击硬盘的盘符时,系统会调用IExplores.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。
前面笔者碰到的情况跟这个后门病毒相似,应该就是这种后门病毒在作怪,而且发生这种情况是杀毒软件杀毒不彻底的后遗症,没有清理干净注册表中相关选项,并且还遗留了Autorun.inf文件。
近来在网上比较流行通过Autorun.inf文件使对方所有的硬盘完全共享或中木马的方法(只需要更改Autorun.inf文件中的Open的参数就行了),这是因为Autorun.inf文件在以往黑客技术中的应用还是很少见的,相应的资料也不多,有很多人对此还不很清楚,很容易中招。因此上网的朋友要特别提防这一点,做好预防措施。
去除硬盘的默认共享,最好关闭网络共享。
去除磁盘的Autorun功能:在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_ USER\Software\Microsoft\ Windo ws\CurrentVersion\ Policies\Explorer主键下,在右侧窗格中找到“NoDriveType AutoRun”,双击在十六进制下把值改成9D,单击“确定”按钮退出,重启电脑。
更换一个强健的管理员密码;经常更新系统补丁;安装病毒防火墙,并及时升级病毒库;经常使用反黑软件;上网时打开防病毒软件、网络防火墙;注意电脑异常现象。
| 回书目 上一节 下一节 |
|
· 第六章 你能帮我吗?.. · Linux笔试面试题选摘测.. · 08年5月软考网管上午真.. · 性能测试从零开始 目录 · 08年5月软考网工上午真.. · 上周拒绝服务攻击(DDo.. |
· 08年5月各大网上书店及.. · 2008年5月24日软考试题.. · 软件设计师专家临考模.. · 上周网络管理员专家自.. · 网络工程师自测获奖名.. · 08年4月各大网上书店及.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
