{ By MySelf } .Peter Lam

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://easyremember.blogbus.com/logs/11103123.html

    最近由于U盘蠕虫病毒泛滥，导致区政府和我局网络严重受阻。因此正在写一个查杀U盘病毒和修改机器可自动运行权限的小程序。

    在网上查资料的时候，发现很多文章对NoDriveTypeAutoRun这个键值的说明有些不妥，所以在这里想补充一下，省的有需要的朋友犯错误。

    微软的support有很多文章对NoDriveTypeAutoRun进行了说明。但是微软中文翻译的太烂，语句不通顺不说，很多地方也没说清楚。所以建议大家参看英文原文：How to Test Autorun.inf Files

http://support.microsoft.com/kb/136214/en-us

    下面这个表，说明了默认情况下（0x95)对各个驱动器的设置情况。但是那些中文文章中没有说清楚的是，16进制的0x95转为2进制的10010101后，对各驱动器的设置信息，不是正向的，而是反向的。也就是说，第一个1设置的是7位的未用驱动器，第二位的0设置的是第6位的RAMDISK驱动器。而1代表该驱动器不可自动运行，0代表该驱动器可自动运行。

Type	UNKNOWN	NO_ROOT_DIR	REMOVABLE	FIXED	REMOTE	CDROM	RAMDISK	FUTURE
Bit	0	1	2	3	4	5	6	7
95	1	0	1	0	1	0	0	1

    同时，很多文章给出的推荐配置91、bd等，我认为不是非常适用。因为CDROM也被禁止，有点没意义。很少有光盘传播病毒的。所以我自己的配置是DD，也就是CDROM可以自动运行，不管是音乐CD还是多媒体光盘，而剩下的所有驱动器都禁止。当然，这个还看个人需要了。参看以下表：

Type	UNKNOWN	NO_ROOT_DIR	REMOVABLE	FIXED	REMOTE	CDROM	RAMDISK	FUTURE
Bit	0	1	2	3	4	5	6	7
95	1	0	1	0	1	0	0	1
BD	1	0	1	1	1	1	0	1
DD	1	0	1	1	1	0	1	1

 

    至于我对这个小程序的思路，首先就是找到各个驱动器下的autorun.inf文件中Open键值的程序文件，然后删除autorun.inf。第二步，kill掉系统进程中的这个程序（因为很多机器已经中毒，开机病毒程序就已经运行），接着，删除程序文件，U盘下的，系统路径下的。第三步，删除注册表的启动项，第四步，修改注册表NoDriveTypeAutoRun 的键值。第五步，删掉MountPoints2下所有的键值。

    初步考虑，这样的话，应该可以杀掉绝大部分U盘病毒了。开工。