U盘病毒的预防:U盘病毒的感染,一部分是用户去点击运行U盘上的可执行文件感染的,另一部分是由于移动存储设备插入时启用了自动播放而感染的。所以,要防止U盘病毒的再感染,有必要限制移动存储设备的自动播放功能。方法(1)开始→运行→gpedit.msc→本地计算机策略→计算机配置→管理模版→系统关闭自动播放属性设成已启动,可根据需要,决定是只作用于光驱或所有驱动器。方法(2)在插入光盘时长按Shift键。Auto病毒:症状:双击盘符无法打开,只能通过右键打开,几天之后删除系统NTDETECT.COM文件,系统无法启动。传播途径:U盘、MP3、移动硬盘防范办法:(1)在你的可移动磁盘里创建一个文本文档,命名为:“autorun.inf”。因为在windows操作系统中,同一目录下不允许有相同名字的文件和文件夹共存,而大多木马和病毒都是通过“autorun.inf”文件来自动运行病毒,达到侵入计算机的目的的。(2)这个病毒靠U盘传播速度超快,大家以后插了U盘都右键打开,双击有毒盘就中了,切记,防范才是关键!在插U盘时候按住shift键以防止病毒随U盘自动运行(大概5秒),等盘符出现后,右键打开,在任务管理器中结束rose.exe进程。rose.exe专杀症状:右键单击各个盘符的时候,第一项由原来的“打开”变成了“自动播放”,然后在你的系统进程里面会出现若干个“rose”的进程,占用电脑的CPU资源。防范办法:1、将U盘插入电脑,当出现操作提示框时,不要选择任何操作,关掉。2、进入我的电脑,从地址下拉列表中选择U盘并进入,或者右键单击可移动磁盘,在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去,否则会立刻激活病毒!杀毒方法有很多,可以在网上搜索。具体看你喜欢哪种了,也可用专杀工具。在任务管理器中结束rose.exe进程。doc.exe专杀症状:U盘插入后,即被写入win32.exe、win33.exe以及很多的.exe病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为doc.exe的进程,此病毒名为:Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体。中毒后可用专杀工具查杀,在任务管理器中结束doc.exe进程。RavMonE.exe、RavMonLog病毒RavMonE.exe病毒,是通过U盘、移动硬盘传播,目前各杀毒软件尚未将它列为病毒。(只能手工杀毒)症状:虽然这个东西没有什么危害,只是另到你打开移动硬盘的速度变得很慢,双击U盘等好几秒就弹出任务管理器模式的文件夹,而不是直接打开,中毒后,①优盘不能正常退出;②读取优盘内容速度变慢;③查看所有文件,发现多了RavMonE.exe,RavMonLog,msvcr71.dll等几个文件。该病毒由如下文件组成:autorun.inf、msvcr71.dll、RavMonE.exe、RavMonLog,当用户双击U盘盘符,会激活autorun.inf自动加载RavMonE.exe,中毒之后,计算机识别U盘时会极为缓慢,病毒又会传染给新的U盘单看文件名就可判定这是病毒,RavMonE.exe企图冒充瑞星杀毒软件的正常文件RavMon.exe和RavMonD.exe。计算机初级用户会误以为RavMonE.exe也是正常文件。解决方法:1、开机时按F8键,进入“安全模式”,我的电脑——工具——文件夹选项——“查看”分页,勾选“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”2、用任务管理器(Ctrl+Alt+Del)终止RavMonE.exe进程(1)在开始菜单搜索所有文件和文件夹(记得在【更多高级选项】中勾选“搜索隐藏的文件和文件夹”),检索以下文件:RavMonE.exe、RavMonLog,删除它们;(2)对于msvcr71.dll和autorun.inf这两个文件,只删除与RavMonE.exe在同一文件夹内的,其余的则保留;(3)不要错过闪存、移动硬盘内的病毒,以免交叉感染,再次中毒。3、在开始菜单运行输入regedit,删除注册表的键值[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]C:WINDOWSRavMonE.exe,一切做完后,就发现双击又回到了以前的样子。在任务管理器中结束RavMonE.exe进程。U盘破坏者(Worm.vb.hy)病毒介绍:它是一个能在WIN9X\NT\2000\XP\2003系统上运行的蠕虫病毒。它会将自身复制到优盘、移动硬盘等移动存储设备上,试图通过它们传播。该病毒运行后会在后台破坏硬盘数据,致使中毒电脑重新启动时完全崩溃,无法进入系统。症状:如果点击U盘中的“我的电脑”图标后,硬盘灯频频闪动,则很有可能是受到该病毒的攻击,应该立刻关闭计算机,阻止病毒对硬盘数据的进一步破坏。tel.xls.exe(Kaspersky--Trojan.Win32.VB.atg)病毒介绍:盗取QQ帐号密码的木马病毒,特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码,盗取方式为键盘记录,包括软件盘,将盗取的号码和密码通过邮件发送到指定邮箱。症状:每次双击盘符出现一个新窗口,windows任务管理器出现了一个Excel的程序,鼠标右键点盘符出现Auto字样,无发显示隐藏文件,系统变慢,CPU经常100%。SXS.EXE(Trojan.PSW.QQPass.pqb)病毒介绍:可以通过可移动磁盘传播,主要危害是盗取QQ帐户和密码,并且会终止大量反病毒软件的进程,降低系统的安全等级。而且经常是感染电脑上每个磁盘,重装系统如果没有及时清除其他磁盘的病毒,很快就会复发。AdobeR.exe(Troj_Spy.IeSpy.t)病毒介绍:Troj_Spy.IeSpy.t木马。它主要通过移动存储器携带传播,中毒之后,计算机识别移动存储器时会极为缓慢,病毒又会传染给新的移动存储器。该病毒在移动存储器中存在一个autorun.inf文件,autorun.inf自动加载RavMonE.exe中毒。在机器上,病毒修改注册表创建启动项实现自启动,运行后窃取用户信息,并造成移动存储器无法正常退出,只能硬插拔。该病毒在机器内清除后,一定要手动将processlib.net、bbs.processlib.net等病毒文件全部删除。症状:双击U盘、移动硬盘,没反映。等一会后弹出对话框:Adober.exeerror,请察看AdobeR.exe.log,并且U盘里多了一个AdobeR.exe文件和AdobeR.exe.log文件,并且右键点击可移动磁盘在菜单最上面是Auto这一选项,进程中出现adober.exe,电脑速度缓慢。systemnt.exetoy.exe病毒症状:开机就会在进程中出现一个mslogon.exe的进程,还扬言要毁掉电脑上所有的word,在U盘里有两个病毒文件:toy.exe和AutoRun.idf。在网上查询到有关病毒的资料为:“在感染后U盘里就会多出两个文件Autorun.inf和Toy.exe,还有许多,不一一介绍,名称列表如下:AdobeR.exebittorrent.execopy.exedesktop.exedesktop2.exefolder.exehost.exemsinfmgr.exemsvcr71.dllRavMonE.exeRavMonLogRECYCLER/*.*RECYCLERSHE.exesxs.exeSYSTEM.VERtoy.exesetup.pif我认为最基本的U盘病毒防范方法:不要双击可移动硬盘。U盘病毒之Desktop.exe详细介绍真不知道你具体中的是啥Desktop.exeU盘病毒详细介绍一、发现进程当中有wuauserv.exe这个进程有这个进程的话,说明你的电脑中毒了,表现的方式就是无法显示计算机中隐藏的文件和文件夹。即使在文件夹选项中选择了“显示所有文件和文件夹”,确定后它又自动改回去了。并且感染病毒后,U盘里会带一个desktop.exe的病毒文件,有一个folder.exe文件,有可能还有desktop2.exe,都是隐藏的,有一些还伪装成受系统保护的文件。感染到电脑后会生成SVCHOST.EXE病毒母本。手工删除它的方法如下:1.打开任务管理器,把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。2.打开注册表编辑器(在开始-运行中输入regedit),找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL],把CheckedValue的健值改为1,类型为dword。修改注册表,解除“不显示系统文件和隐藏文件”的问题。再找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon],把Userinit这个键的键值改为userinit.exe,(带逗号的)。3.然后打开“文件夹选项”-“查看”,把“隐藏受保护的操作系统文件”的勾去掉,把“显示所有文件和文件夹”选上,确定。4.进入c:\windows\system32\目录,按照文件类型排序,找到wuauserv.exe文件,删除。在目录最底下会发现有两个注册表文件,分别是boothide.reg和bootrun.reg,删除它们(不要管弹出的警告)。5.最后的一步需要删除一个svchost.exe文件。先打开任务管理器,可以看到里面有多个SVCHOST.EXE进程,大部分都是全部大写的字母,其中有一个是写成小写的svchost.exe,这个就是病毒的进程。如果你使用的是XP的SP2系统,在进程上点右键,选择打开所在目录,就可以打开这个进程所在的目录,是在c:\windows\system32\svchost\目录里。先把这个小写的svchost.exe进程停止掉,再把这个目录整个删除掉,就OK了。(如果是在system32文件夹下,就是正常文件,如果是在上述文件夹下,就是病毒。)6.重启后进入系统,打开任务管理器发现病毒进程没了。文件夹选项也没被改,查看病毒文件也没了。至此终于可以正常随意地显示隐藏文件了。7.中毒的U盘里会带有desktop.exe这个病毒文件,有folder.exe文件,有的还有desktop2.exe文件,只有在显示受保护的系统文件的情况下才能看到,删除时会有警告,不用管他。还有其他一些隐藏文件如autorun.inf,不管他,都删了。在删除电脑里的病毒时别忘了把自己U盘插上,把病毒也清了,觉得麻烦就格式化好了。在别人的电脑里使用U盘时先确定该电脑里的进程里有没有wuauserv.exe,免得再次中招。二、病毒感染保护机制分析1.用IceSworld尝试删除c:\windows\system32\svchost\svchost.exe文件,发现删除后过一会儿该文件能重新生成。2.用processMonitor1.0监视path内容包含svchost.exe的注册表/文件/进程活动发现在svchost.exe被删时,系统会自动添加U盘下的desktop.exe进程,desktop.exe活动后会重新创建生成svchost.exe病毒文件。可见desktop.exe是保护svchost.exe病毒的幕后黑手!更为狡猾的是desktop.exe在生成svchost.exe病毒文件后就会自动关闭,很难察觉。3.用IceSworld查看U盘下的隐藏文件,发现U盘下不仅有desktop.exe,还有folder.exe,desktop2.exe,autorun.inf文件删除U盘下这几个文件。再删除c:\windows\system32\svchost\svchost.exe文件,svchost.e