相信公司中很多同事都會經常使用U盤、移動硬盤(或者MP3、MP4等影音設備)轉存資料，往往這些設備中攜帶著各式各樣的病毒，導致公司網絡遭受病毒攻擊，無法正常上網。如何從根本上斬除移動存儲設備的病毒，保衛企業網絡安全呢?

    揪出禍害根源

    目前幾乎所有移動存儲類的病毒都是利用“autorun.inf”這個文件來侵入的，當攜帶病毒的移動存儲設備與計算機連接后，我們用鼠標雙擊磁盤分區圖標時，往往會出現無法打開對應分區窗口的現象，當你用的電腦出現這種故障時候，幾乎就可以斷定是本地工作站感染閃盤病毒了。

    這類病毒的最大特征都是利用“autorun.inf”這個文件來侵入的，“autorun.inf”相當于一個傳染途徑，經過這個途徑入侵的病毒，理論上可以是“任何”病毒。你在網上可以搜索到很多autorun.inf的病毒，雖然他們具有不同的名稱，但他們都是利用這個文件來入侵計算機的。

    我們來看看病毒是如何通過這個文件傳播的。當你雙擊可移動磁盤的分區圖標時，病毒就會通過autorun.inf文件中的設置自動激活病毒，然后將autorun.inf病毒文件同時拷貝到其他分區，導致其他分區都無法用雙擊鼠標的方法打開?！癮utorun.inf”這個文件保存在驅動器根目錄下，是一個隱藏的系統文件，它保存著一些簡單的命令，會告訴系統新插入的光盤或硬件應該自動啟動什么程序，也可以告訴系統讓系統將它的盤符圖標改成某個路徑下的icon。比如我們經常使用的各種演示光盤，一插入電腦就自動演示，通過這個“autorun.inf”文件，我們可以放置正常的啟動程序，這本來是系統的正常命令，但卻被病毒作者所利用，讓移動存儲設備在用戶的操作系統完全不知情的情況下，“自動”執行任何命令或應用程序，很多惡意病毒也就是這樣自動運行的。

    但是病毒的作者不會堂而皇之的把病毒放進你的U盤或者其他可移動磁盤，而是通過一些方法來偽裝，讓你把病毒文件誤認為是系統的文件，比如，在U盤中建立一個“RECYCLER”的文件夾，把病毒放在其中，但很多人稍不留意就會認為是系統的回收站“Recycled”，有的病毒還會偽裝成殺毒軟件“RavMonE.exe”，讓人誤以為是瑞星的殺毒程序。

    赤手空拳戰敗病毒

    當發現公司的計算機感染病毒時，會在本地硬盤的所有分區根目錄下面創建一個“Autorun.inf”文件，但這個文件在默認狀態下是隱藏的，我們可以通過下列方法讓病毒顯現：

    用鼠標雙擊桌面上的“我的電腦”圖標，在彈出的窗口中依次單擊“工具→文件夾選項”命令，打開文件夾選項設置窗口，打開窗口中的“查看”標簽，在高級設置里選中“顯示所有文件和文件夾”，同時將“隱藏受保護的操作系統文件”的選中狀態取消掉，如圖1所示，最后單擊“確定”按鈕。這樣“Autorun.inf”病毒文件在各個分區目錄中“現出原形”。

    打開磁盤分區圖標，在右鍵菜單中執行“打開”命令，進入到該分區的根目錄窗口，這里不采用雙擊打開并進入根目錄的原因是為了防止病毒自動運行。找到“Autorun.inf”病毒文件后，還是用鼠標右鍵單擊“Autorun.inf”文件，并執行“打開”命令，打開文件后，我們可以看到里面的會有“open=xxx.exe”類似的內容，這里的“xxx.exe”就是具體的病毒名稱。如果這類病毒沒有設置進程保護，將“xxx.exe”文件以及各個“Autorun.inf”文件直接刪除掉，就可以把病毒從系統中清除掉了。

    上面這種方法雖然可以將病毒清除，但是系統還有可能再次感染此類病毒，我們還需要把遭受病毒破壞的磁盤關聯修改過來，方法如下：打開注冊表編輯器，在窗口的左側顯示區域，用鼠標打開“HKEY_CLASSES_ROOT”注冊表分支，然后在該分支下面依次選擇“Drive\shell”項目，在對應“shell”項目的右側列表區域，雙擊“默認”鍵值，在彈出的數值設置窗口中將“默認”鍵值數值修改為“none”。

    然后展開“HKEY_CURRENT_USER”注冊表分支，然后在該分支下面依次選擇“Software\Microsoft\Windows\CurrentVersion\Explorer”項目，在“Explorer”項目的右側列表區域，檢查一下是否存在“ountPoints2”鍵值，若存在，我們必須及時將它刪除掉，最后按F5功能鍵刷新系統注冊表的設置。這樣病毒就被我們手工清除掉了，現在打開各個磁盤分區，你會發現已經可以正常打開了。

    病毒也怕“軟”

    上面介紹了手工清除病毒的方法，如果不想使用上面介紹的煩瑣方法，或者用上面的方法無法刪除“Autorun.inf”文件，重裝系統后也不奏效時，我們可以借助殺毒軟件來對付病毒。

    這款軟件名為“費爾木馬強力清除助手”，可以讓系統擺脫病毒困擾，并可有效抑制該類病毒的繼續發作。網上提供下載的地址很多，下載軟件并安裝好以后，運行該程序，在主界面中選中“抑制文件再次生成”項目，同時在“文件名”文本框中輸入“Autorun.inf”文件的具體路徑信息，比如“H:\Autorun.inf”，如圖3所示，單擊“清除”按鈕，這樣H分區下面的“Autorun.inf”文件就被清除干凈了，按照相同的方法，再將其他分區中的“Autorun.inf”文件刪除干凈。

    一個絕招讓病毒無法再次侵襲

    通過上面介紹的方法，我們可以徹底清除病毒，但是即便這樣，我們也不可能時刻防范系統遭受到病毒的侵襲，有沒有辦法讓系統徹底擺脫這類病毒呢?方法當然是有的。預防這類移動存儲類病毒再次襲擊的方法非常簡單，只需要在移動磁盤的根目錄下自己手工創建一個“Autorun.inf”文件即可，因為在相同的目錄下是不允許創建同名文件或同名文件夾的，這樣的話，病毒日后就無法向可移動磁盤的根目錄下面自動生成“Autorun.inf”病毒文件了，也就無法通過移動存儲類設備(移動硬盤、U盤、MP3、MP4等)進行非法傳播了。

    其實，上面介紹的這些方法只是針對比較流行的移動存儲類病毒的處理方法，更多的時候，要徹底防范病毒，還是要養成良好的習慣，在計算機接入移動設備時，養成及時查殺病毒的好習慣，尤其是公司中存有重要數據的計算機來說更要如此，事前預防比事后處理更重要。