自动播放惹祸上身：让你双击打不开磁盘分区

我们知道Windows有个自动播放功能，放入光盘或插上闪盘可以自动执行某项操作，给用户带来方便同时也给某些木马病毒创造了自动传播的有利条件。不经意的一次双击可能执行的就是移动设备中的木马程序，由此导致双击打不开分区，而只能右键打开。其实很简单，包括最著名的“落雪”，都是利用Autorun.inf自动播放来入侵和运行的。
1.自动播放搞的鬼

Autorun.inf一般位于磁盘分区根目录，用记事本打开，常见如:
[Autorun]
icon=flower.ico
open=setup.exe
这是自动播放使用的安装信息，如图，其中“Icon=*.ico”可以为磁盘添加图标，等号后面可以是图标或应用程序；“Open=*.exe”是自动运行的程序，这很容易被木马“嫁接”，双击该磁盘就等于运行木马。
当然，聪明的木马会把Autorun.inf和程序文件设置成隐藏的系统文件，甚至会把主程序放在RECYCLER或System Volume Information目录下。所以，我们要多一个心眼，在第一次打开来源未知的光盘或闪盘，最好按住Shift，然后右键该盘符看有没有“自动播放”(Auto等等)的项，选择“打开”命令比较安全。
2.当木马无处藏身
既然木马是隐藏的，首先就要让所有文件都显示出来。文件夹选项如图设置，不要认为微软推荐就一定是好的！要杀木马就放心设置了，不放心完了改回来就。当然，更聪明的木马会修改注册表，让文件夹选项中隐藏或显示系统文件的设置无效，这是为什么有时设置“显示所有文件和文件夹”，确定后再打开文件夹选项仍是不显示；或干脆两个选项都选不中；或无法显示系统文件夹的内容……

如上图设置，对应注册表中的项有:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"SuperHidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"CheckedValue"=dword:00000000
有时木马并不修改当前用户[HKCU]的注册表项，而是修改了所有用户的，这时要检查[HKLM]下的设置，地址在
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]。
设置完成以所有隐藏文件显露无疑。

3.木马束手就擒
最后，我们可以清除自动播放的木马，放心把分区下的Autorun.inf和木马文件统统删除！当然也可以用Autorun.inf个性化分区图标，也可以指定运行想要的程序。(唉，偶买的第一个闪盘是爱国者迷你王，在电脑上识别为硬盘而不是可移动磁盘，我的移动QQ就放里面，设置好QQ自动登录，利用自动播放插上闪盘就等于上QQ。可惜现在爱国者越来越垃圾，再没买到可识别为硬盘的闪盘……)再搜索一下有没有复制到其他目录的木马程序，容易复活的话可以到命令行安全模式删除。这里不再赘述。
落雪也是这样清除，当然我没中过，可能改的注册表项多一些而已，想来也不难。

(2007年5月3日更新，5.19修正)
添一个附件(我自己写的批处理)，用来清除所有盘符下的autorun.inf，还会将所有隐藏文件暴露出来(绝对，1000%保证，一定会，请相信)！
其实只要从地址栏打开磁盘分区就不会感染其中的病毒，我就是这样，所以不装杀毒软件

附件请下载：http://bbs.cfan.com.cn/attachment.php?aid=108627
(5月28日再更新)
知道这样的右键怎么出来的吗？U盘里面的autorun.inf是这样写的:
[code][autorun]
icon=Tools\Dream\Dream.exe,0
shell\1=运行  梦幻程序
shell\1\command=Setup.exe
shell\2=打开  工具目录
shell\2\command=explorer /n,tools[/code]开机前插U盘的右键——

重新插拨U盘，右键菜单又变成这样:

前面那个菜单是在U盘开机启动时就插上，进系统再右键就是那样子，因为Autorun.inf就是U盘的安装信息。假如U盘里autorun运行的就是病毒，那双击同样直接中毒。而重新插拨后，识别为可移动磁盘的U盘不会执行autorun.inf来安装，识别为硬盘的U盘就可以直接open程序。

(6月23日更新)
给出批处理代码：
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
if exist %%a: del/q/f/a:h %%a:\autorun.*  >nul 2>nul
)
del/q/f/a:h %Windir%\system32\autorun.*  >nul 2>nul
另外，修改此键值可以禁止硬盘、U盘自动播放(但允许光盘自动播放)，这样以后autorun.inf的ICON=仍然有效。
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t reg_dword /d "000000df" /f
PS: 此批只杀病毒制造的autorun.inf人为的不杀～

(20071217更新)
前天我也中毒了，以为U盘自动播放已经关闭，双击打开朋友的U盘就中招，系统文件自动隐藏了，改的还是CheckValue值，Autorun.inf是这样写的
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"
相当劫持右键打开和资源管理器，所以右键也会中毒，只有地址栏下拉不会。中招后%Windir%生成MDM.exe和SVCHOST.EXE两个病毒程序，后者会加入启动项自动运行。正常模式下比较难杀绝，删除硬盘各个分区下的autorun.inf和RavRon.exe还会再生，杀得烦了后来在PE下轻松解决了。