AUTO（U盘）病毒的查杀方法以及查杀工具、免疫器

相信各位使用U盘的朋友都遇到过双击U盘盘符打不开U盘而且出现了一个打开方式（或者是打开了我的文档）的现象。（如果没有那说明你是火星人，呵呵~)

AUTO 病毒简介：这种病毒在每个驱动器（硬盘、 MP3/MP4 ……）下都有一个卷标 AutoRun.inf 文件，只要你双击驱动器（如 D: ），就会激活病毒。感染后双击盘符打不开驱动器，而且会导致病毒复制，再次感染！

首先 : 运行 gpedit.msc ，打开组策略 -> 计算机配置 --> 管理模板 -- > 系统 -- 》右侧的关闭自动播放 , 可以避免重复感染 .

手动查杀方法 :

方法一：
一般是最近流行的 rose 病毒的问题 , 此病毒可手动清除 , 具体方法为 :

1. 打开我的电脑 , 点 " 工具 "-->" 文件夹选项 "-->" 查看 ", 在 " 高级选项 " 里 , 把 " 隐藏受保护的系统文件 ( 推荐 )" 一项前面的勾号去掉 , 并将 " 隐藏文件和文件夹 " 下属栏中选中 " 显示所有文件和文件夹 ". -------- 作为了打开隐藏文件显示 , 方便以下 .

2. 点击 " 开始 "--->" 运行 ", 输入 "regedit", 进入注册表编辑 , 点 " 编辑 "--->" 查找 ", 在 " 查找目标栏 " 输入 "ROSE.EXE" 按回车搜索相关键值 , 查到后 , 直接删除该键值 , 然后继续按 F3, 继续查找剩下相关键值 , 只要查出即删 , 一般中毒的系统会产生 2 个键值 , 你删除后只管按 F3, 直到完成注册表搜索 , 确保你的注册表里没有相关键值为止，以切断 ROSE.EXE 文件的复制源 .

3. 进入你电脑的所有驱动器盘 ( 千万注意 : 千万不要双击打开盘符 , 采用右键点取 " 打开 " 进入 !), 在每个磁盘的根目录你会看到 2 个文件 :"rose.exe" 及 "autorun.inf", 将你电脑所有盘中的 "rose.exe" 文件全部删除 , 切勿遗漏 .( 每个盘中该病毒仅存在与根目录下 , 且每个盘切莫双击直接点开 !)------- 作彻底断掉该病毒的可执行文件 .

4. 在完成第三步之后，你会发现 "rose.exe" 文件已经不复存在 , 但是 "autorun.inf" 仍在 , 且无法删除 , 刷新后仍然出现 , 不要紧 , 重新启动电脑 , 进入系统 , 依旧按右键 " 打开 " 进入电脑各盘，再删除所有的 "autorun.inf" 文件 , 你会发现此次删除成功 ,-------- 作扔需注意切莫双击进入电脑各盘 , 否则前功尽弃 !

5. 重启电脑 ( 务必 ) 重复第 2 步搜索删除即可 !


方法二：

故障现象：双击不能打开磁盘，右键点磁盘第一个选项是 auto ，磁盘格式化好了能双击 , 但是重启了后又不行。
解决方法如下，请按步骤执行：


一、先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，去掉“隐藏受保护的系统文件”的选中，让所有的文件都显示出来 .
( 若仍无法显示全部文件 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL ，将 CheckedValue 键值修改为 1 。若还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的 DWORD 值 CheckedValue 删除掉，新建了一个无效的字符串CheckedValue ，并且把键值改为 0 （如图）！这样你以为把 0 改为 1 就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。正确的方法是：先检查 CheckedValue 的类型是否为 REG_DWORD ，如果不是则删掉“李鬼” CheckedValue （例如在本“案例”中，应该把类型为 REG_SZ 的 CheckedValue 删除）。然后单击右键“新建” -- 〉“ Dword 值”，并命名为 CheckedValue ，然后修改它的键值为 1 ，这样就可以选择“显示所有隐藏文件”。经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden 的数据丢失或损坏，遇到这种情况，请在 Windows XP 安装光盘中找到 Hidden.reg ，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：我手头上的 XP 安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden 这个分支导出（假如命名为 1.reg ）；然后备份有问题的电脑的该注册表分支；最后把 1.reg 导入看能否解决问题）


二、然后右击硬盘→打开的方法打开硬盘，你会看到 auotrun.inf 文件，先不要删除它，双击它 , 会自动用记事本打开这个文件，里面有 open=" 一个有 exe 文件 " ，到这里你要记住这个 open 后的这个 exe 文件，然后关闭记事本。
接下来，右击任务栏→任务管理器→进程→找到你刚才看到的 open 后的那个 exe 文件的进程→右击→结束进程树。再到该硬盘下面，你应该可以顺序删除里面的 autorun.inf 和 open 指向的 exe 文件了。
一般它还会感染其他盘，并且会在注册表里面有启动项，只要你重启就会重新发作，所以你还要把其它的盘检查一次。然后删掉注册表里的启动项，方法如下：
开始→运行→ regedit ，进入注册表，打下如下的子键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边找 open ＝指定的那个 exe 文件的启动项。一般会是 c:\windiws\*****.exe 之类！！
如果有，右击→删除即可！！这样就不会再发作了！
原因二： rose 病毒：
症状：双击盘符无法打开，只能通过右键打开；几天之后删除系统 NTDETECT.COM 文件，系统无法启动。
传播途径： U 盘、 MP3 、移动硬盘
检查方法：将文件夹选项 -- 查看中的 " 隐藏受保护的操作系统文件（推荐） " 前的勾去掉，并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符，如果发现有“ rose.exe ”和“ AUTORUN.INF ”文件，则已中毒。
解决方法：
手动：
结束 rose.exe 进程，然后删掉以下文件：各个盘符下的 autorun.inf 和 rose.exe 文件（包括自己的 U 盘等）， c:\windows\system32\run.reg ， c:\windows\system32\systemdate.ini( 里面记录着删掉 NTDETECT.COM 文件的时间 ) ， d:\systemfile.com 文件；最后将注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的 dll 键值删掉，然后重启即可。

其实文章的方法都很教条如果你懒得使用可以用下面我推荐的工具 U盘防火墙 和 U盘病毒免疫器。