在客户这里做项目，发现客户给我的计算机上面在打开分区的时候，会另开一个窗口打开，查看了系统的文件夹选项，并将其还原为默认设置。发现情况依然，很明显，这台机器中毒了，磁盘下有autorun.inf这个东西！

    现在大部分病毒和木马都通过在磁盘分区根目录下生成Autorun.inf。修改磁盘分区右键菜单的“打开”，“自动播放”等菜单项的点击操作，实现病毒自动运行。
一些典型的症状：
1、双击磁盘分区无法打开分区，提示找不到某某程序
2、双击响应速度变慢。
3、在新窗口打开

    谨慎的通过在地址栏输入c:\等方式进入分区根目录。不要双击或右键哦！尝试显示隐藏文件和系统文件，诶，这个病毒居然没有修改文件夹的hidden的注册表项，可以显示系统文件和隐藏文件。果然，在每个分区根目录下面有两个隐藏的文件：autorun.inf和system.dll，但是没有.exe的可执行文件，有点奇怪。查看autorun.inf的内容：
    [autorun]
    shell\open\command=rundll32 system.dll,explore
    shell\explore\command=rundll32 system.dll,explore

    我不太了解这些语法，从字面意义上看，时调用rundll32 来调用这个syste.dll病毒控件。以前见过的其他autorun.inf的写法还有自定义右键菜单的，反正一句话，如果不是自定义的autorun.inf都是不正常的。

   Autorun.inf本来是用在光驱上实现光盘自动播放的工具。本身无害，难而很容易被病毒利用以传播病毒。可以通过修改系统组策略禁止驱动器不自动播放，防范病毒通过自动播放达到自动运行。

    尝试删除这两个文件，马上，3秒钟，这两个文件又生成了，说明有进程在监控这两个文件，删除了就补回来。尝试先建一个同名的文件抑制再生，就是建立一个同名的文件夹，根据windows文件建立规则，同一个目录下不能有同名的文件或文件夹。结果病毒自行先删除那个文件，重新建立。囧，看了那些抑制病毒再生的工具也可以退伍咯。

 常见的抑制U盘病毒的工具，就是在U盘下面生成一个autorun.inf文件夹来实现抑制的。这也容易被病毒破解。要加强这种方式，可以通过修改autorun.inf文件夹的NTFS权限，禁止所有人删除！

    打开任务管理器，发现有一些莫名进程，是一些数字和.txt，比如说3***.txt，进程不是都是.exe的么？不解，不管他了。结束掉，结束掉发现该进程并未再次生成。再次尝试删除那两个文件，依然如此，看来，我得知道是谁在生成那两个文件了。下载Filemon，这个软件微软的网站有下，我从skycn下的，别人修改过的filemon居然绑了流氓软件，什么上网助手啊，幸好是可以选择不安装。运行后，在过滤器里面添上过滤标志autorun.inf。发现居然是svchost在读写这个文件。右键选择进程，查看进程位置，c:\windows\system32。找到那个文件后，查看文件属性，Microsoft出品...，强行结束掉一个svchost，弹出提示要关机，赶忙输入shutdown -a停止自动关机。我预计这个文件被感染了，或者被利用了。这可如何是好。 　　  打开IE，以autorun.inf svchost system.dll搜索下相关信息，发现还是有一些的有人中了的，一打开那个网页，糟糕，网页给杀掉了，这病毒作者，学了很多东西嘛。这里我有一个想法啊，能不能让标题栏不显示网页的title啊。这样网页就不会给杀掉了。

     很多病毒都通过钩子检查当前窗口的标题，如果符合一些特征，则将该窗口关闭。

9 7 3 1 2 4 8 :