由于最近接手的机器都是由于感染“磁盘自动运行”类病毒而送修的，所以在这里将对此类问题提供一个相对完善的解决方案。

一、“磁盘自动运行”类病毒

所谓“磁盘自动运行”类病毒指的是在感染初始阶段在每个磁盘（包括U盘、内存卡和移动磁盘在内的相关存储介质）目录下生成名称为“Autorun.inf”（不含引号）以及一个可执行的病毒文件；当电脑使用者在Windows的资源管理器中双击被感染的磁盘后，根目录下的可执行病毒文件就会在Autorun.inf文件的引导下执行一系列操作，包括感染其他未中毒的磁盘、结束杀毒软件进程、破坏已知文件、感染磁盘中其他可执行文件作为其宿主文件、窃取电脑用户的个人资料、QQ帐号、网游密码及相关虚拟财产等。

二、传播方式

此类病毒的传播途径主要有二类：一是通过网络下载的安装文件或者其他被感染的文件进行感染，此种方式为病毒刚刚出现、尚未形成规模时感染电脑的主要方式；二是通过U盘、可移动磁盘、光盘等移动存储介质进行传播，此种方式为这类病毒传播的主要方式。

三、预防方法

鉴于此类病毒的感染及传播方式，预防方法如下：

针对第一类感染方式，电脑使用者应及时升级电脑中安装的杀毒软件的版本，并在下载文件后第一时间进行查毒、杀毒，对于一些可疑文件不要双击执行或者解压，直接进行删除；最好在相关下载软件，如快车、BT下载软件中打开下载完成后查毒的选项；

针对第二类感染方式，电脑使用者在使用可移动存储装置时也应该第一时间用杀毒软件查毒。同时关闭电脑的自动运行功能，即使不关闭自动运行功能，当系统弹出自动运行对话框后也应将其关闭。然后打开“我的电脑”在显示的磁盘图标上单击鼠标右键，选择用杀毒软件查毒、杀毒。

还有一个预防方法就是在每个磁盘下建立免疫文件夹。这个操作需要在命令行下完成，具体操作步骤如下：

打开“开始”菜单，单击“运行”，在其中输入“cmd”，回车；

进入相应磁盘的根目录，以Ｃ盘为例，并输入下列命令：

cd c:

md Autorun.inf

cd autorun.inf

md 防毒勿删..\

cd..

cd..

attrib +h autorun.inf

这样就建立了一个隐藏的免疫文件夹。

为了同时免疫“威金”病毒我编写了一个批处理文件，里面包括了上述代码。其可以快速的在多个磁盘和目录下生成免疫文件夹。将下列代码粘贴到记事本上，并保存为后缀名为“.bat”的文件，复制到Ｃ盘根目录下，双击执行即可。

echo off
cd c:\windows
md Logo1_.exe
cd Logo1_.exe
md AntiVirus..\
cd..
attrib +h Logo1_.exe
md Rundl132.dll
cd Rundl132.dll
md AntiVirus..\
cd..
attrib +h Rundl132.dll
cd..
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
d:
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
e:
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
f:
md autorun.inf
cd autorun.inf
md AntiVirus..\
cd..
attrib +h autorun.inf
echo on

四、感染后的状态

由于此类病毒种类繁多，在这里无法将所有症状一一列出，只能列出一些最为常见的症状：

1、在每个磁盘根目录下至少生成二个文件：一个为“Autorun.inf”（不含引号）；另一个为“*.exe”（其中“*”可以替换为任何系统可以接受的文件名，同样不含引号）。有些种类的病毒文件会生产三个文件，但所生成的第三个文件就会因病毒不同而有所不同了；

2、在每个用户浏览过的文件夹下生成一个名为“_desktop.ini”的文件。这个文件中记录着病毒最近一次执行的日期及时间。由于其与系统自动生成的文件夹配置文件“desktop.ini”文件很相似，所以极容易被用户忽略；

3、由于其使用了Autorun.inf这个系统文件作为病毒引导器，因此在用户在“我的电脑”中右键单击磁盘时会出现二个“打开”或者一个“Open”、一个打开，而作为病毒引导器的“打开”或者“Open”选项却总是默认打开选项，即用黑色粗体显示。但最近一些病毒只会生成一个“打开”选项，给识别是否感染造成了一些困难。

以上三个是所有这类病毒的共同特征。除此之外的一些症状就属于专属于特定病毒的症状了：

4、在系统进程中加入监视程序，防止用户删除根目录下的病毒文件，即使删除了也会再次自动生成；

5、在一瞬间杀死杀毒软件及相关进程。最近出现了针对所以杀毒软件进行秒杀的病毒；

6、感染可执行文件为其病毒宿主，有些病毒甚至会更改可执行文件图标。如最近的熊猫烧香等；

7、对系统属性进行修改，关闭注册表编辑器，使文件夹选项中的显示隐藏文件功能失效等；

8、从网络上检查并下载最新版本的病毒等等；

五、修复方案

对于感染此类病毒后的修复方案，网络上有许多相对专业的方法，但我觉得除非有极特殊需要，否则那些方法并不比先备份重要文件然后重装系统来得方便。

对于感染的电脑主要的解决方案首先是备份系统盘（一般是Ｃ盘）的重要文件，然后将系统盘格式化重装系统。有些用户事先使用Ghost或者以其为基础的一键Ghost、一键还原等备份过系统，这时只需还原备份过的分区文件即可。这里强调的是格式化重装系统的原因是因为就目前电脑的处理速度、网络传输的速度以及病毒发展的趋势，当使用者已经察觉系统中毒时，系统中已经存在多种病毒共同感染的状况了。这时在回过头来清理病毒修复系统设置为时已晚。除非有极特殊需要，否则这将一个十分艰巨的任务。

对于没有WindowsPE光盘系统的用户，当重新进入系统中后不要打开除系统盘之外的任何磁盘，然后安装杀毒软件，并联网升级，然后进行杀毒。如果知道是什么各类的病毒后，到瑞星或者金山下载专杀工具进行查杀。然后用鼠标右键选择非默认“打开”选项的方式进入每个磁盘清除根目录下的病毒文件。之后在清除所以磁盘内在可执行EXE文件和“_deskptop.ini”文件以及其他可疑文件。这样基本上就可以排除本地保留文件再次感染系统的可能性了。

对于有WindowsPE光盘系统的用户，还原备份过的Ghost文件，以及清除病毒文件完全可以在PE系统中一次性完成，或者先在PE系统中清除除系统盘之外的磁盘分区，然后格式化C盘重装系统，这样也能达到与上面提到的方法同样的效果。只不过是在PE系统下工作不会有系统过慢、进程中有病毒监视程序，以及有些被感染文件不允许被删除的情况出现。

对于PE系统这里我推荐大家使用“深山红叶”v2.7或者v2.8。因为这二个版本完全使用Windows自带的资源管理器作为文件管理器，同时支持在启动后加载Ｕ盘等可移动磁盘。

这里需要特殊提出一点的就是如果有可能在清理病毒文件时不要使用Windows的资源管理器，即IE窗口，转而使用TotalCommander作为文件管理器。在“深山红叶”PE盘中是系统自带的；而在未使用PE系统的情况下最好从太平洋、天空、华军等安全性较好的网站上下载。使用这个软件就不存在使用鼠标右键的问题了。要打开磁盘只需单击磁盘选择按钮即可，不存在打开磁盘时Autorun.inf引导病毒文件执行的问题。而且其文件搜索功能十分强大，能快速准确的查找出要删除的病毒文件和可执行文件。提出这一点的原因是因为今天同事的一台机器中了此类病毒，而在用鼠标右键单击磁盘后却只有一个“打开”的选项，但是双击后根目录下的Autorun.inf就引导病毒文件进入系统进程，删除病毒文件后，又会重要自动生成，就是在PE系统下也存在这个问题。如果单单使用资源管理器根本无法解决这个问题，连磁盘都进入不了，删除病毒文件，杀毒就更不可能了。后来就是通过用TotalCommander来解决这个问题的，效果还是很不错的。

以上是我在最近工作中的一些心得和总结，希望会对遇到同样问题的朋友们有所帮助。