close
 

若您有以下情形,那麼有可能中了近來氾濫的隨身碟病毒;
隨身碟病毒目前很多為混合型,例如木馬+蠕蟲..
新變種的隨身碟病毒..很多本身的防護軟體偵測不到..
就算偵測到了..很有可能也已經遭受感染,
防護軟體卻無法整個清除乾淨..

1.原本設定為顯示所有隱藏檔案,卻莫名其妙不能顯示了..
再設定一次顯示..卻一樣又被隱藏了。

2.突然無法直接從【我的電腦裡】點兩下進入其它磁碟區。

3.系統日期莫名其妙被更改。(先排除主機板上電池沒電的可能)

4.使用attrib指令來檢查各硬碟磁碟區是否有autorun.inf檔案..
開始→執行..輸入CMD後按確定...進入命令執行視窗模式..
我們先檢查C:槽(大都為系統槽)
CD【enter】
再輸入ATTRIB【enter】


若您有其它硬碟磁區..如E槽
E:(按ENTER)
再輸入ATTRIB【enter】
查看是否有autorun.inf(且屬性為ASHR或SHR)

若第4點是確定的話..請先儘速找部乾淨的電腦,更改遊戲密碼。
在受感染的電腦未清除乾淨前,請勿使用該電腦登入線上遊戲;
由於隨身碟病毒有很多種...因此我們得檢查一下autorun.inf的引導文件內的內容..


註:autorun.inf為引導文件,它並非就一定是病毒..例如很多安裝光碟一插入時就會自動出現安裝畫面,就是此文件作為安裝畫面的引導文件,這是正常的,但是硬碟及隨身碟根目錄出現此引導文件就十分可疑了,也就是說它引導執行某些不明的程式檔案。


一樣在剛剛的命令執行視窗裡的各磁碟機根目錄或是隨身碟根目錄執行以下指令..


attrib autorun.inf -a -s -h -r  【enter】
↑解除保存、系統、隱藏、唯讀狀態
然後再打..
type autorun.inf  【enter】

查看autorun.inf檔的內容,這樣就算找其資訊找也好找多了..

以OSO的隨身碟病毒為例,TYPE其內容如下...

[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shellAutocommand=OSO.exe

這樣在GOOGLE資料時..就可以把OSO.EXE一併鍵入找尋其清除本體方法...


若是清除過後,或無以上症狀..貓也呼籲請依以下來預防...


【預防方法】


隨身碟病毒都幾乎是利用autorun自動執行的預設功能...
讓電腦一插入隨身碟就執行散佈病毒的動作..
因此貓建議所有電腦將autorun自動執行的預設功能關閉
將可以有效預防隨身碟病毒的散佈與本身電腦的中毒
我們可以利用修改登錄檔來禁止自動執行的功能...

我們可以進入登錄檔中的..(開始→執行..輸入REGEDIT後按確定)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
位置並選擇NoDriveTypeAutoRun來修改..又或者利用以下方法..來達到修改的目的..

1.先顯示副檔名..
開啟檔案總管..按一下上方的[工具]→[資料夾選項]→[檢視]
將[隱藏已知檔案類型的副檔名] 的核選方塊取消..並套用後確定.

2.在桌面上按右鍵..新增→新增文字文件..
這時檔名會是..新增文字文件.txt(看得到TXT副檔名了..)
然後點兩下開啟桌面上的..新增文字文件.txt..
內容複製===線符號以內的綠色字體內容(不包括==符號)...


============================================
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff


============================================


再來是存檔.. 並關閉此記事本..
然後在...新增文字文件.txt..的檔案按右鍵..更改檔名為***.REG
***是指主檔名自定..如A.REG...但副檔名一定得是REG

3.點兩下就會安裝這個我們剛作好的REG檔案..並重開機..這樣就可以了...

註:
1.內容中的..000000ff是指關閉所有包含CD、DVD、隨身碟..
請先思考是否符合您個人需求..
相關的數值機碼說明..請參考以下微軟說明..(英文)
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx?mfr=true
文中的1:未知類型,4:可卸除式磁碟,8:硬碟,10:網路磁碟,20:光碟機,
40:DVD-RAM光碟機,80:未知類型,FF:所有類型。
我們用的就是FF所有類型...若只要關閉某種類型請自行將以下內容中的..
000000ff的ff修改一下即可...例如也可以改為95
95=1+4+10+80..也就是可以禁止未知類型、可卸除式磁碟、網路磁碟、未知類型
若您不想禁止所有的類型...也可以使用95..將000000ff改為00000095即可..

2.禁止自動執行後..若有需要開啟隨身碟..請特別注意..開啟隨身碟請用 [滑鼠右鍵]→ 選內容 或以檔案總管瀏覽
切勿用滑鼠左鍵點兩下隨身碟的磁碟圖示..否則仍視同執行..然後..開始→執行..輸入CMD後按確定...
再看您隨身碟在哪一個磁碟代號..以E槽為例..輸入
E:(按ENTER)
再輸入ATTRIB(按ENTER)
查看是否有autorun.inf(且屬性為SHR)..若有..請注意..該隨身碟有可能也已受感染

arrow
arrow
    全站熱搜

    chungweis 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄