u盘取消了自动播放会感染病毒吗 史上最牛的自动播放病毒

　　大家都懂得发展才是硬道理，病毒当然也会与时俱进，以下所描述的病毒就是一例最难缠的自动播放病毒，它不但把自动播放病毒的传统优势保存了下来，并且使用了一系列新诡计，让以往所用的几乎战无不胜的杀毒绝招几乎全部失灵，跟这种病毒过招，让好事者（包括我）大呼过瘾！
　　
　　1.中毒后的表现
　　
　　(1) IE浏览器自动启动并打开一些广告网页，主要有网游广告，还有一些少儿不宜的广告；
　　(2) 组策略不能正常使用，提示“不能在标记为删除的注册表项上操作”；或者直接提示不能保存注册表；“软件限制规则”没有了，或者全部项目都没有了；先前设置的组策略通通失效；
　　(3) 注册表不能保存，修改后的参数在系统重启后自动还原；
　　(4) 安全模式不能进入，启动安全模式时系统会自动重启；
　　(5) 系统的自动播放功能被病毒启动，而且无法禁用，把注册表中explorer键项的NoDriveTypeAutoRun的数值数据全部改为255（这是十进制，十六进制是FF），也不能禁用自动播放，重启后自动启用自动播放；
　　(6) 杀毒软件不能使用，打开杀毒软件后能在任务管理器中发现杀毒软件的进程，但是不出现杀毒软件的窗口；网上在线杀毒也不能启用。
　　
　　2.病毒特征
　　
　　中毒时，病毒首先进入WINDOWS\system32\Com目录，在这个目录下增加以下程序：
　　lsass.exe（大小：93716 字节 ，文件日期：2002-12-10，具有隐藏、系统、只读属性）
　　smss.exe（大小：40960 字节， 文件日期为当前日期，具有隐藏、系统、只读属性）
　　netcfg.dll（当前日期）
　　netcfg.000（当前日期）
　　有时还会在这个COM目录下发现有explorer病毒，如果这个病毒得手，系统资源管理器就不正常了。
　　同时在分区根目录下增加两个文件：autorun.inf和pagefile.pif（或pagefile.exe），如果分区已经设置安全权限为禁止写入，则不会写入病毒。
　　系统重启后，可能会在以下目录写入病毒文件：
　　C:\Documents and Settings\All Users\「开始」\菜单\程序\启动 （程序文件名较长，一般含有两个exe后缀）；
　　C:\WINDOWS\system32（写入一个LOG文件，文件名大概为5位数的数字；写入一个antiTool.exe文件，日期为2004年左右，具有隐藏属性）；
　　C:\WINDOWS\system32\drivers（写入一个alg.exe文件，这个目录下所有的exe可执行文件都可以删除）；
　　C:\WINDOWS\Fonts（这里面所有的exe可执行文件都可以删除）；
　　IE浏览器程序目录C:\Program Files\Internet Explorer\PLUGINS会被写入病毒文件（日期为最近两天内的文件一般是病毒，可以删除；几个月之前的文件是正常文件，不要动）。
　　
　　3.处理方法
　　
　　在中毒后的windows界面处理这个病毒，困难重重，主要表现在以下方面：
　　用于对付病毒的传统方式如软件散列规则等全部失效；
　　病毒文件Lsass和smss以及autorun和pagefile很难清除；
　　用任务管理器不能终止Lsass和smss病毒的进程，提示是系统关键进程（进程中同时有正常的Lsass、Smss进程和病毒进程，名称一样，但是用户名不一样，病毒的用户名是登录系统的用户名，如administrator等；正常的进程使用的是system用户名）；
　　在CMD界面中使用tasklist和taskkill命令也不能终止病毒进程；或者CMD窗口被禁用；
　　很难在CMD界面中用attrib命令取消病毒的系统属性，它会自动恢复；
　　注册表几乎没用，不能保存修改后的参数；
　　用自动播放病毒专杀工具，提示autorun.inf是正常文件，不需处理；杀掉Lsass和Smss等病毒，并修复被篡改的注册表后，重启系统，再次查杀，发现刚才的杀毒和修复注册表根本没起作用！
　　
　　4.最有效的办法
　　
　　用WinPE启动光盘启动系统，或者启动到DOS模式下：
　　特别注意删除smss.exe、Lsass.exe两个病毒；同时删除autorun.inf文件和pagefile.pif（或pagefile.exe）文件；
　　删除“Documents and Settings\All Users\「开始」\菜单\程序\启动”目录下的可执行exe文件；
　　删除上述其他目录下的几个病毒文件，如fonts目录和drivers目录下的病毒，如果弄不清楚，这两个目录下的全部exe可执行文件都可以删除，注意不要漏掉隐藏文件；
　　重启系统后，系统基本上没有问题了，可能还有少数exe程序和Dll文件感染病毒，使用杀毒软件查杀就可以了（这时可以正常启动杀毒软件了，组策略和注册表都可以正常使用了）。
　　
　　注意：
　　
　　经试验，即使系统禁用了所有驱动器的自动播放功能，把带有autorun.inf和pagefile.pif病毒的存储设备接入系统后，系统照样会立即感染病毒，smss.exe和lsass病毒立即激活。
　　如果重装操作系统，一定要格式化系统盘分区，安装成功后先不要进D盘E盘等分区，也不要使用带毒的存储设备，先安装杀毒软件，升级病毒库，再全盘杀毒。
　　中这种病毒后，系统并无其他异常迹象，日常使用中无明显异常感觉，容易使用户麻痹大意，然而，种种迹象表明，这种病毒是带有一定目的的，比如QQ密码就是它觊觎的对象！