Home / Questions / 1448
Accepted
Goerman
Asked: 2020-12-22 05:02:38 +0800 CST 2020-12-22 05:02:38 +0800 CST

如何从 USB 中删除“AUTORUN.INF”文件?

  • 772

设备

  • 我正在使用 Windows 7 专业版。
  • 我有管理员角色。
  • USB 设备具有 FAT32 文件系统。

情况:在USB的根文件夹中有一个名为“AUTORUN.INF”的文件,我想删除它,当尝试通过Windows资源管理器进行删除时,出现消息:“需要设备管理员权限才能进行更改这个文件”。我尝试了以下替代方案但没有成功。

经验证的替代方案:

  1. 通过 Windows 命令控制台删除所有文件属性(只读文件、存档文件、系统文件、隐藏文件)。
属性 –r –a –s –h I:/AUTHORUN.INF

得到以下否定结果:

Acceso denegado: I:/AUTORUN.INF
  1. 使用 Process Explorer 程序检查哪个进程正在使用该文件,然后按照此解决方案的建议使用“Handle V4.0”程序终止该进程

快捷键 Ctrl + F,访问“句柄或 DLL 子字符串”功能,然后搜索“ I:/AUTORUN.INF”,它给了我答案“0 行进项目”

  1. 试试解锁程序。

我忽略了警告“站点涉嫌提供不需要的软件”,我下载并安装了它,当我右键单击文件然后选择解锁器时,它显示该文件没有被任何进程锁定,但它不允许它被删除,它要求在下次重新启动后执行,但最终也不会删除它。

未经测试的替代品

  1. 使用迷你 Linux、迷你 Windows 或 BootCD

延迟替代,我没有那些工具。

  1. 格式化 USB。

这意味着相当延迟的数据移动。

  1. 使用 Windows 安全模式将其删除。

是否有不涉及重新启动计算机的解决方案?

archivo

6 Answers

  1. Unlocker是可靠的,但我将向您展示如何使用 Windows 来做到这一点。

    对于我向您展示的所有选项,以管理员模式打开控制台,右键单击图标并选择“以管理员身份运行”

    在此处输入图像描述

    在做任何事情之前检查文件系统的完整性

    sfc /SCANFILE=I:\autorun.inf

    如果它不适合您,请进行完整的系统检查。

    sfc /SCANNOW

    选项1

    执行这些命令,可能需要“kill”explorer.exe才能删除文件(explorer可能已经屏蔽了它),习惯/F了就算是只读也能删除。

    TASKKILL /F /IM explorer.exe
del "I:\AUTORUN.INF" /F /Q /A
explorer

    选项 2

    如果可执行文件已锁定文件,则情况可能会更加不利,在这种情况下,请从 Microsoft 下载此工具并以管理员身份运行以下命令。

    处理

    handle "I:\AUTORUN.INF"
Algo.exe             pid: 4      type: File          3BE8: I:\AUTORUN.INF
Otro.exe             pid: 5      type: File          40C0: I:\AUTORUN.INF

    现在,如果您使用 pid 和taskkill

    TASKKILL /PID 4 /PID 5 /T
del "I:\AUTORUN.INF" /F /Q /A

    选项 3

    您可能完全没有权限,这似乎是您的情况,所以取得文件的所有权:

    takeown /F "I:\AUTORUN.INF"

    然后分配删除权限。

    icacls "I:\AUTORUN.INF" /grant MyUser:(D,W)

    现在如果删除

    del "I:\AUTORUN.INF" /F /Q
    • 8

  2. Panda USB 疫苗似乎已应用于驱动器。

    这个工具,为了防止病毒能够使用 aautorun.inf从软盘或 USB 运行,允许您创建(或为所有插入的驱动器自动创建)一个 autorun.inf erróneo(如果我没记错的话,它包括属性system、hidden、volume...),这样虽然显示文件存在,但无法读取、删除或修改文件。

    如果即使重新启动后您也无法访问该文件,我倾向于使用此选项。您还可以查看attrib autorun.inf它是否提供任何线索。

    该工具本身(它是一个免费程序)允许对一个单位进行疫苗接种

    • 3
  3. Best Answer

    注意:我把这个答案放在另一个上面,因为它以一种非常不同的方式清楚地解决了这个问题,并且涵盖了一个非常具体的案例。

    选项 4:熊猫 USB 疫苗

    事实证明,熊猫 USB 疫苗利用文件属性,但未记录的属性,将值设置为 1,根据 Microsoft 文档,该值应始终为 0。

    在文件格式中,名称后面的最后一个字节代表这样的权限

    XYADVSHR

X, Y: reservados por Windows (Y en 1 indica que el archivo apunta a un dispositivo , por ejemplo los archivos reservados CON, LPT etc)
R: ATTR_READ_ONLY   0x01
H: ATTR_HIDDEN      0x02
S: ATTR_SYSTEM      0x04
V: ATTR_VOLUME_ID   0x08
D: ATTR_DIRECTORY   0x10
A: ATTR_ARCHIVE     0x20

    如果在 RAW 磁盘编辑器中检查AUTORUN.INF42的 BYTE 设置,则会发现与这些字节等效的十六进制值

    01000010
XYADVSHR

    如果仔细观察,设置Y1,该属性是保留的,它的作用是告诉 Windows 这个文件确实是一个 device,因此对于 Windows,这个文件不应该被删除。

    因此,您必须在文件系统级别重写文件属性,按照以下步骤进行操作:

    1. 获得一个二进制磁盘编辑器,有几个,但我推荐iBored

    2. 安装后,以管理员身份运行并从该工具打开 USB 驱动器 iBored 开盘

    3. 一旦“打开”按CTRL + F搜索AUTORUN INF <<---没有点的眼睛,有空间。注意细节,例如使用区分大小写以加快搜索速度,因为这可能需要很长时间。

      查看原始内容

    4. 找到后,在文本编辑器中选择文件名,看后面的十六进制字符,相当于文件属性(本例中为0x42)。 查找权限字节 1.按Ctrl + Shift + M使磁盘可写,您可能会收到错误,尤其是在 Windows 10 中。单击取消忽略错误。

      在此处输入图像描述

    5. 现在选择42并将其替换20为基本上将文件标记为准备归档并将其他属性保留为0的内容,按Save
    6. 关闭iBored 并瞧,您现在可以删除该文件。
    • 3

  4. 在我的情况下, iBored工作,一旦文件被解锁,我打开它,里面只有几个字母,没有恶意代码。我认为这个由先前删除的病毒放置的文件的作用是阻止 USB 自动运行,以防止其他任何东西运行并控制 USB。

    • 1

  5. 你试过PsExec吗?

    如果问题是权限之一,也许文件只能由 SYSTEM 帐户操作,这就是 PsExec 的用武之地。

    例如,将可执行文件复制到 System32,然后从命令提示符运行:

    PsExec -SID cmd.exe

    这将打开另一个具有 SYSTEM 权限的 CMD;接下来是您导航到该文件并使用一些已知命令,例如:

    DEL autorun.inf
    • 0

  6. 我有同样的问题,不是病毒,我只是无法从 USB 的根目录中删除 autorun.inf。

    我的解决方案是禁用 Panda Antivirus USB 疫苗,但是,这不会删除 autorun.inf,它不会用新的记忆重新创建它。已经拥有它的人必须对其进行格式化。似乎 autorun.inf 已损坏(由熊猫故意)并且无法触摸。

    熊猫USB疫苗

    • 0