有一次我的朋友将U盘插入我的电脑,然后双击打开了盘符,莫名其妙的窗口以最大化的形式打开了,一个可怕的念头闪入我的脑海中:电脑中毒了,没办法,只好暂停下载歌曲,先着手解决U盘病毒了,我按下Ctrl+Alt+Del,打开了任务管理器,果然发现了一个陌生进程Algsrvs.exe。

我到网上查了一下,这个进程中确实存在着猫腻。一般通过U盘传播的病毒会创建一个AutoRun.inf文件,从字面上看可以看出这个文件为自动运行文件,实际上也确实如此,它属于系统文件,在一些自动播放的光盘中就能够发现这个文件,但通常都是隐藏属性,我们可以打开我的电脑,选择工具下的文件夹选项,然后选择查看,从高级设置中去掉隐藏受保护的操作系统文件和显示所有文件和文件夹前面的“√”,点击确定后,就能够看到隐藏在这个文件了。AutoRun.inf文件的功能是打开光盘后自动运行某个程序,这样就会实现光盘的自动播放,但可恶的是一些别有用心的家伙将这一特点应用在了木马的自动执行上。

我们打开中毒的U盘,果然病毒创建了一个AutoRun.inf文件。

我们来查看一下这个AutoRun.inf文件的内容,其中的Open=fun.xls.exe这句代码代表着在打开U盘的同时运行fun.xls.exe这个文件,也就是那个伪装成电子表格的程序。

那么我们就来动手干掉它吧,首先在任务管理器中结束Algsrvs.exe的进程,然后选择开始——搜索——文件或文件夹,查找以下文件:

将找到的这几个文件彻底删除掉,然后在开始——运行栏中输入regedit打开注册表编辑器,点击编辑——查找,在查找目标类输入fun.xls.exe,将所有查找出来的fun.xls.exe键值全部删掉。最后我们找到HKEY_LOCAL_MACHINE\SOFTWARE\Miscrosoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,删除原来的[CheckedValue]项,并新建同名dword项,并更改键值为1(也就是显示隐藏文件)。

我们将鼠标移动到盘符上单击右键,选择打开来进入每个盘符,一次删除每个盘符里的AutoRun.inf和fun.xls.exe文件(记住,千万不要直接双击打开),最后重新启动一下电脑病毒就被我们彻底给绞杀了。