被病毒盯上的闪存盘

久在江湖混哪能不挨刀？特别是病毒和木马，要想永远不沾“身”基本不可能。原来以为这些东东只是喜欢感染电脑中的系统文件或者一些可执行文件，没想到用上闪存盘后，有些不请自来的文件也盯上了它，让人很是烦心。

别以为你的闪存盘很安全，如果有以下症状，就肯定有麻烦找上你了：

这些麻烦都是病毒惹的祸。如果不尽快消灭掉它们，带毒的闪存盘甚至可能让整台电脑都染上病毒，也可能带来数据丢失的严重后果。请注意，我们这里提到的闪存盘病毒是指那些通过闪存盘或其他移动存储设备传播的电脑病，可能是任何电脑病毒、木马程序、后门程序、恶意代码或盗号软件等。目前比较常见的闪存盘病毒有avMonE.exe、sxs.exe、msinfmgr.exe、AdobeR.exe、SVOHOST.exe（不同的杀毒软件对这些病毒命名不同，这里我以电脑运行的进程名来表示）。尽管其中的一小部分病毒对系统并无破坏性，但是大多数病毒都会危害电脑里的信息安全。例如一些木马程序病毒会窃取网游、QQ和网络银行账号等，而有些病毒程序则会删除、破坏或修改你的重要数据，并且这些病毒还会占用你电脑系统资源，使电脑运行速度异常缓慢，有时甚至导致经常性死机现象的发生！

闪存盘病毒如何侵入你的电脑

使用带病毒的闪存盘不仅给自己电脑里的数据带来风险，还可能危及他人电脑的安全，因此我们有必要给自己的闪存盘做个体检。下面我归纳了几条让带毒闪存盘露出蛛丝马迹的方法，好让危险来临时能够预警（以下现象仅供

参考，是否闪存盘真带病毒还需要根据实际情况具体分析）。

相信大家在使用一些光盘时会发现这样的现象，当你将光盘放进光驱以后，它便会自动弹出一个漂亮的窗口，方便你浏览或播放该光盘。其实，很多藏身于闪存盘的病毒都会利用与光盘一样自动弹出窗口的原理来运行病毒程序。

在Windows操作系统中，想让光盘或闪存盘等移动存储设备插入电脑后便能自动运行某程序，肯定要使用

autorun.inf这个文件。该文件是一个隐藏的系统文件，保存着一些简单的执行命令，来“告诉”操作系统这个新插入光盘或硬件应该自启动哪些程序。一些病毒制造者就通过这个autor un.inf 文件，将恶意内容或病毒程序写入。例如RavMonE.exe病毒就是将自己的运行程序写到闪存盘根目录里的autorun.inf 文件（图3），一旦将这个带毒的闪存盘插入电脑就会自动运行。

知己知彼，百战不殆

通过上面我们知道，闪存盘病毒就是一些普通病毒借助autorun.inf文件来侵入电脑，因此使用流行的杀毒软件都能很好地查杀这类病毒。在查杀前，我们应该首先确保杀毒软件的病毒库已经升级至最新版，然后再将待杀毒的闪存盘插上。如果这一招杀毒效果不彻底，还可能需要手动清除。下面就教给大家最常见的recycler蠕虫病毒和RavMonE.exe病毒这两种闪存盘病毒手工清除方法。

1.recycler蠕虫病毒的手工清除

病毒症状：双击闪存盘盘符后出现“拒绝访问”的提示，但是查看闪存盘属性里面的文件并未丢失。

a.打开任何一个文件夹，找到菜单栏的“工具→文件夹选项→查看→高级设置”，将“隐藏受保护的操作系统文件”里面的勾选去掉，并在“ 隐藏文件和文件夹”下选择“显示所有文件和文件夹”，并将“ 隐藏已知文件类型的扩展名”的打勾也去掉（图4）。如果这样还无法显示隐藏文件，就证明病毒已经修改了你电脑的注册表。我们可以在“开始→运行”的栏框里输入“regedit”来打开注册表，找到“HKEY_LOCAL_MACHINE＼Software＼Microsoft＼windows＼CurrentVersion＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL”主键，把名为“CheckedValue”的键删除后新建一个同名的“Dword值”类型的键，设置其值为“1”再重启电脑就应该可以正常保存设置了（图5）。需要特别注意的是，大多数病毒只修改“CheckedValue”值为“0”，但有部分病毒虽然“CheckedValue”值是“1”，可是类型却不是“Dword值”，所以，大家得细心观察和修改。此外还有一个技巧，即在资源管理器不能查看隐藏文件时，使用ACDSee或WinRAR之类的软件还是能看到隐藏文件的。

b.按住键盘上的“Shift”键后插入闪存盘，通过鼠标右键的“打开”方式来读取闪存盘（不能双击鼠标左键来读取闪存盘）。找到根目录下的recycler隐藏文件夹和autorun.inf隐藏文件（或者autorun.exe隐藏文件）将其一一删除（图6）。

c.再查找一下闪存盘里所有的文件夹，看是否在对应文件夹里有以.exe为后缀名的文件，发现之后也将其删除。

d.此时将闪存盘拔出后重新插入电脑，就可以通过鼠标双击闪存盘盘符打开了。

另外，当你的电脑不幸读取了携带蠕虫病毒的闪存盘内容，也可能会导致电脑记事本中蠕虫病毒，其表现症

状为电脑开机时会自动打开记事本程序，并在电脑中生成wincfgs.exe和KB20061222.exe等执行文件。一般这种蠕虫可以用目前绝大多数的主流杀毒软件查杀，当然也可以手动清除，具体步骤如下：

a.在手动清除recycler蠕虫病毒以前，还是要将“隐藏受保护的系统文件”、“显示所有文件和文件夹”和“隐藏已知文件类型的扩展名”都打开。

b.通过“Ctrl+Alt+Del”来打开任务管理器，在“进程”窗口中查找并关闭“wincfgs.exe”的运行进程。

c . 在“ 开始→ 运行”的“ 打开”栏里输入“msconfig”，并点击“确定”按钮。在出现的“系统配置实用程序”窗口中找到“启动”栏，将含有“wincfgs.exe”文件的启动项前面的勾去掉，并选择“应用”按钮，同时暂时不要重启电脑。

e.通过在“开始→运行”的“打开”栏后面输入“regedit”来打开注册表，在注册表窗口里的“编辑→查找”栏内输入wincfgs.exe来查找注册表，一旦找到含有该项相关键值都可以删除，直到整个注册表不再查找到wincfgs.exe为止。

f.最后通过“开始→搜索→文件或文件夹”来搜索电脑里的“KB20061222.exe”文件和“wincfgs.exe”文件，发现后将其全部删除（通常在c:／windows／KB20061222.exe和c:／windows／system32／wincfgs.exe）。这里请注意，KB20061222.exe病毒名字与日期有关，因此每台电脑都可能不同，请大家在查找该病毒文件时要特别小心。

2.RavMonE.exe病毒的手工清除

病毒症状：闪存盘不能正常退出，读取闪存盘内容时速度变慢，查看闪存盘内文件时，发现多了RavMonE.exe、RavMonLog和msvcr71.dll等几个文件。另外，用鼠标选择闪存盘盘符后（暂不要双击鼠标左键来打开），点击鼠标右键时，发现右键选项中出现“Auto”一项。当你的闪存盘出现以上症状时，就说明该闪存盘已经中了avMonE.exe病毒。

a.同样按照上面的方法将“隐藏受保护的系统文件”、“显示所有文件和文件夹”和“隐藏已知文件类型的扩展名”都打开。

b.通过鼠标右键的“打开”方式来读取闪存盘，此时暂时不能用双击鼠标左键的方式来读取闪存盘。删除闪存盘根目录下的RavMonE.exe、RavMonLog.exe、msvcr71.dll和autorun.inf文件。

c.最后再检查一下闪存盘里所有的文件，是否存在可疑的以.exe为后缀名的文件，如有也要将其删除。

按照前面手工清除本机电脑蠕虫病毒的步骤方法，只是将“wincfgs.exe”文件换成“RavmonE.exe”文件来处理，就可以将RavMonE.exe 病毒手工清除干净了。另外，在本刊的驱动加油站（.cn）有

RavMonE Killer专杀工具，大家可以去下载。

由于病毒的种类繁多，因此上面两种手工清除病毒的方法仅是起到抛砖引玉的作用，以后再遇到类似病毒，大家可以用类似的方式来简单查杀病毒。此外，如果遭遇一些顽固的病毒与木马，由于这些“坏家伙”会做一些防删除和自我修复的处理，有些甚至使用了线程注入等技术将自己的进程完全隐藏起来（如灰鸽子木马），这时除了利用好的杀毒软件来查杀外，还可以在网上寻找专杀工具。

防患于未然，好的使用习惯不可缺少

既然我们都知道了闪存盘病毒的传播途径和方法，那么就可以有针对性地堵住漏洞，让这些害群之马无处容身。这就需要我们在平时就养成良好的使用闪存盘习惯，来最大限度地保证闪存盘的安全。

微型计算机2007年1月上

1.在自己的电脑上做安全措施，包括安装并启动杀毒软件的实时防护，并经常更新病毒库，这样可以使电脑几乎不受病毒的侵害。

2.如果你的硬盘分区均为NTFS格式，可以通过管理员身份登录后，在所有分区的根目录下手动建立一个utorun.inf文件，并设置其隐藏。把所有用户的读写权限均设为拒绝，从而避免病毒对该文件的修改，达到防止硬盘被设置为“自动运行”的可能（图7）。另外，在一般情况下，闪存盘和硬盘等设备不应该有autorun.inf这个文件，如果它不是你自己或者你指定的程序创建的，就应该马上将其删除并进行彻底杀毒。

3.如果想彻底避免病毒被自动执行，你还可以关闭系统的自动运行功能。跟之前一样打开“注册表”，在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer”主键中，找到“NoDriveTypeAutoRun”项并将其数值改为“ff”（禁用所有设备的AutoRun）或者“f b”（ 禁用除光驱外其他设备的AutoRun），修改后重启电脑即可生效（图8），这里需要注意的是Windows XPSP2专业版的默认值为“bd”。

4.在良好的使用闪存盘习惯中，我们可以先按住键盘的Shift键后再插入闪存盘，并使用右键菜单的“打开”命令进入闪存盘，这样可以避免病毒被“自动运行”。当你需要使用不明“安全”情况的闪存盘时，一定要启动病毒

防火墙。此外将“隐藏受保护的系统文件”、“显示所有文件和文件夹”和“隐藏已知文件类型的扩展名”都打开，这样可以让自己摸清这个闪存盘的“底”。

5.通过闪存盘传送文件时，可以使用WinRAR等压缩软件将重要文件压缩，这样可以避免文件在来回复制的过程中被病毒修改或植入恶意内容。

编后语

通过以上的方法，相信你的闪存盘应该安全多了，而且不会再把闪存盘的“病毒”四处传播了。本刊编辑部就曾经遇到类似“闪存盘病毒”事件，所以提醒大家一定要警惕。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。

推荐访问:闪存盘 盯上 病毒