故障現象:
在U盤中發現多出"autorun.inf、bittorrent.exe、msvcr71.dll"這些文件,文件的屬性都是系統隱藏文件。當雙擊打開U盤時速度很慢,而且打開後是彈出資源管理器的頁面,右擊彈出的菜單的默認項是“Auto”,U盤使用後刪除不了。(有些殺毒軟件在發現該病毒以後,會報警,如此時用戶選擇的是刪除病毒文件則會造成在“我的電腦”中無法用“雙擊”的方式打開U盤,只能用資源管理器或是右鍵菜單打開。)
在電腦的進程中發現“bittorrent.exe”,C:/Windows目錄下發現“bittorrent.exe”文件,系統自啓動項有加載此文件。
故障分析:
U盤中的“autorun.inf”文件是一個配置文件,我們使用雙擊打開U盤的方式時,系統會按照這個配置文件的配置運行,在此文件中我們可以設置雙擊時運行的程序,也可以更改U盤的圖標等等。以下是中了bittorrent.exe病毒後,該文件的內容:
[AutoRun]
open=bittorrent.exe e
shellexecute=bittorrent.exe e
shell/Auto/command=bittorrent.exe e
shell=Auto
從這些內容我們可以看出,在你雙擊了U盤後,將會運行U盤中的“bittorrent.exe”文件,而不是打開U盤。
現在我們再來看看“msvcr71.dll”這個文件,它是VC7的運行庫,也就是說“bittorrent.exe”文件是用.NET編寫的,運行時要經過二次編譯,因此在啓動時會感到慢。由於雙擊了U盤後,系統按照配置文件的配置,自動運行了“bittorrent.exe”這個程序,相當於U盤正在發生讀寫操作,所以U盤無法安全刪除。
後果:
如果電腦被感染了,就會對所有連接到此電腦上的移動存儲器拷入這些文件,使每一個移動存儲器成爲另一個傳播源。如果U盤、MP3等移動存儲器被感染了,就可以通過雙擊盤符,進行傳播。
但是如果你用右鍵單擊盤符再選打開,就不會被感染(系統默認的open爲雙擊,也就是說只有雙擊的方式纔會使配置文件中的open=bittorrent.exe e這句語句發生作用)。
解決方法:
首先打開任務管理器,在裏面找找有沒有“bittorrent.exe”這個進程,可能不止一個,找到後就把他們全都關閉
然後查看註冊表,看看啓動項是否有加載“bittorrent.exe”,如果有把它刪除
接着打開C:/Windows/,查看系統目錄下有無“bittorrent.exe”文件,如果有刪除它
到此我們已經完成系統部分的清除工作了,接下來清除U盤。
首先我們用右鍵單擊在菜單中選“打開”,打開U盤
在文件夾選項中設置以顯示所有文件,具體做法:
文件夾選項 ->查看 -> 去掉“隱藏受保護的操作系統文件(推薦)”選項
-> 選擇“顯示所有文件和文件夾”
此時我們就可以看到病毒文件了,接着我們直接刪除U盤中的“autorun.inf、bittorrent.exe、msvcr71.dll”這三個文件;最後重啓一下電腦系統就恢復正常了。
--------------------------------------------------------------------------------
相關知識
到目前爲止不知道此文件是否爲病毒,因爲不懂得它的危害性,只是知道它能非法重播,或許只是個惡作劇的程序,或許是木馬。
感染後文件名可能不同,但U盤中肯定會有“autorun.inf”文件
似乎和以前在U盤中發現的“meetingnote.exe”有異曲同工之處