電腦維修工作室

很多台電腦中毒，感染原因多是插入被病毒感染的隨身碟(或隨身硬碟、MP3、數位相機、記憶卡等卸除式裝置)。
因被病毒感染的隨身碟裏有自動播放檔和病毒程式，當隨身碟插入電腦時，電腦會自動啟動隨身碟裏的自動播放檔，進而執行病毒程式，造成電腦中毒。
不僅如此，別人未中毒的隨身碟插入中毒的電腦，也會被感染。若此隨身碟再插入別台未中毒的電腦，該電腦也會被感染，如此惡性循環。
該病毒會造成電腦執行緩慢、上網速度超慢(因為牠大量傳送封包出去，造成網路大塞車)、XP自動更新失效等症狀，目前掃毒程式並無法有效清除(包含卡巴斯基)，目前只能格式化後重灌才能解決，並且避免再接觸受感染的隨身碟。
為避免成為下一個受害者，資訊組建議各位趕快關閉磁碟機自動播放功能(XP預設是開啟的)，並且開啟隨身碟時請勿使用我的電腦開啟，儘量使用檔案總管
※ 以下提供各位關閉自動播放功能及自我檢測的方法，請趕快自我檢測一下，別讓疫情再擴散出去。
壹、先關閉所有磁碟機自動播放功能，避免被感染
一、按 開始，選 執行
二、輸入 gpedit.msc
三、出現群組原則後選 >電腦設定>系統管理範本>系統
四、在右邊找到 關閉自動播放 (在倒數第6項的位置)，點按兩下進入
五、選 已啟用 並在下面選 所有磁碟機，按 確定 後離開
現在很多病毒都是利用隨身碟和MP3來傳播，除了將自動播放功能關閉外，建議開啟磁碟時，不要利用 我的電腦 來開啟，請使用 檔案總管
問：如何使用檔案總管？
答：在 我的電腦 上面按滑鼠右鍵，在選單上選 檔案總管，進入之後再點選你要讀取的磁碟機
貳、自我檢測隨身碟是否中毒，避免感染別人
一、在 我的電腦 上按滑鼠右鍵，在選單上選 檔案總管
二、進入之後，在功能表上選 工具 / 資料夾選項
三、進入之後，選 檢視 標籤，在下面的進階設定中參考下圖做設定，按確定完成
四、插入隨身碟後，在我的電腦上按滑鼠右鍵，用 檔案總管 開啟，若發現你的隨身碟裏有 autorun.inf 和 setup.exe 兩個隱藏檔，表示隨身碟已經中毒了，請立刻把這兩個檔刪除並拔出。
參、自我檢測電腦是否中毒，避免感染別人的隨身碟
一、在 我的電腦 上按滑鼠右鍵，在選單上選 管理
二、在左邊 電腦管理 裏找到 服務及應用程式 ，按前面的 □+ 展開，選擇 服務
三、在右邊選擇 Automatic Updates，若出現簡體字，表現已中毒，請不要在你的電腦上使用隨身碟，避免再感染
四、簡易擋毒
　＞　資訊百寶箱　＞　防止USB碟中毒的偷吃步 　
回上頁 防止USB碟中毒的偷吃步
文卅 夏偉雄
您是否常常遇到隨身碟插入至 電腦時，卻馬上發現隨身碟有中毒的傾向，或者讓別人的電腦也中毒，而感到困擾而又無奈嗎？此篇防止USB中毒的小撇步將分享給您。 1. USB隨身碟對病毒的傳播要借助『autorun.inf』檔案的輔助說明。病毒首先把自身 複製到USB隨身碟﹐然後建立一個『autorun.inf』﹐在您連續按兩下USB隨身碟時﹐會根據『autorun.inf』中的設定去執行USB隨身碟中的病毒。因此我們只要阻止病毒建立『autorun.inf』檔，就可以阻擋病毒入侵我們的USB隨身碟。
2. 但要怎麼做才能防止病毒修改『autorun.inf』檔呢？我們使用的方法就是在根目錄下建立一個『資料夾』取名為『autorun.inf』，如此一來，因為在同一目錄底下，同名的檔案和檔案夾是不能共存的原理，如此一來，病毒就無能為力，無法建立『autorun.inf』檔。至於未來會不會出現新種病毒，自動刪除檔案夾，然後再建立『autorun.inf』檔，這個我們無法確定，但就現階段而言，這個方法是相當有效的。大家不妨一試。 步驟1：在隨身碟的根目錄下，按滑鼠右錄
　
步驟2：新增一個資料夾
　
步驟3：將資料夾名稱取為"autorun.inf"
　
　資料來源：http://cdtl.nknu.edu.tw/learn_detail.php?dataid=dlearn40g5&np=1&class=clopfilear
五、進階擋毒：
方法一：
. usb中毒解決方法
先將副檔名及隱藏檔案開啟(選取工具=>資料資料夾選項=>檢視)
(記得先下載 UNLOCKER 利用它刪檔或是去安全模式下刪檔!!!)
1.刪除C:\WINDOWS\system32\usbmons.dll及kb2006a.dll
2.執行regedit,搜尋usbmons.dll後修改DLLName的值為C:\WINDOWS\system32\usbmon.dll
3.刪除usb隨身碟的autorun.exe及recyle的檔案與資料夾
4.重新開機
方法二：
這個病毒有下面的行為：
[Added process]
c:\windows\mdm.exe
[DLL injection]
不知有沒有，因為當時沒有工具，所以，無法得知，但這隻病毒具有看門狗 (Watchdog) 的功能，當砍掉病毒檔案和註冊碼後，會再產生原本的病毒檔案和註冊碼。
[Addded file]
c:\windows\svchost.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\svchost.ini (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system\svchost.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\mdm.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system32\usbmons.dll (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system32\usbmons.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system32\inetsrv.exe
[Added registry]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run||Value=SVCHOST||Data=c:\windows\mdm.exe
[隨身碟]
當隨身碟插入 USB 插槽之後，系統就會立刻自動執行 (Autorun 或 Autoplay) 隨身碟的某些檔案，就在這個時後，病毒就會感染隨身碟，寫入一個惡意檔案和或一個自動執行檔案：
g:\autorun.inf (病毒會修改這個黨案)
g:\RavMon.exe (隱藏檔系統唯讀檔，屬性為 HSR，Symantec 偵測為 W32.Rajump)
如果你的隨身碟已經被病毒感染，當你將隨身碟插入你的電腦時，你的系統將會被這隻病毒所感染。
如何清除這隻病毒：
1. 將電腦切換至安全模式 (並不是所有的狀況皆適用)
2. 進入命令列模式，利用命令 attrib，使惡意檔案 (隱藏檔系統唯讀檔) 一一現形
3. 將惡意檔案刪除或更名 (比較保險的做法)
4. 打開註冊碼編輯器，將惡意的註冊碼刪除
5. 重新開機，然後，系統應該恢復正常狀態。
6. 清除隨身碟上的病毒。注意，如果你不想在插入隨身碟時中毒，當隨身碟插入系統時，記得一直按著「Shift」鍵。
方法三：
微軟視窗作業系統提供一個自動執行 (Autorun 或 Autoplay) 的功能，系統會自動尋找 autorun.inf 的檔案，而且，自動執行其內容，可想而知，如果其內容是執行一個惡意程式，你可能就變成受害者，但要如何預防呢？以下分成幾點說明：
一、避免已感染的隨身碟感染電腦：可以利用下面其中一種方法，關閉動執行 (Autorun 或 Autoplay) 的功能。
1. 當隨身碟插入電腦時，一直按著「Shift」鍵，直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。
2. 修改登錄機碼，找到 HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer，將 NoDriveTypeAutoRun 的值設為 0x00000095 以及
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer，將 NoDriveTypeAutoRun 的值設為 0x00000095，然後，重新開機，
這樣就可以停用 Autorun 了。
3. 利用群組原則嵌入式管理單元 (gpedit.msc) 。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc]，然後，參考下圖，設定完成後，重新開機。
二、避免已感染的電腦感染隨身碟：其實，就像以前的磁片 (Floppy)，因為會被病毒感染，最後，磁片都具有唯讀 (Read-Only) 的開關，所以，各位可以購買具有唯讀開關功能的隨身碟，但現在好像比較少隨身碟有此功能，製作隨身碟的廠商可能要考慮把此項功能納入規格中，否則，很難避免中毒。(另外，各位可以常常檢查是否 autorun.inf 被更改過了)
至於，為什麼要將 NoDriveTypeAutoRun 的值要設為 0x00000095 呢？如果各位有興趣的話，我會再說明。最後，如果此篇文章有錯誤的地方，請告知。
P.S. 如果要關閉 CD-ROM 的自動執行功能，可以將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\autorun 的值設為 0，然後，重新開機。
到目前為止，下面的防毒軟體可以偵測到這些惡意檔案：
inetsrv.exe:
[ Trend ], "WORM_SMALL.FAY"
usbmons.exe:
[ Trend ], "TROJ_DELF.BUQ"
svchost.exe:
[ Trend ], "WORM_AGENT.FYS"
usbmons.dll:
[ McAfee ], "New DLL-b !!"
MDM.EXE:
[ Symantec ], "Trojan Horse"
[ Kaspersky ], "PAK:NPack, Trojan.Win32.Agent.aei"
[ Fortinet ], "suspicious"
[ Rising ], "Trojan.Agent.ajm"
SVCHOST.EXE:
[ Symantec ], "W32.Rajump"
[ Kaspersky ], "PAK:NPack, Trojan.Win32.Agent.abt"
[ Panda ], "Trj/Agent.DQZ"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "W32/Agent.ABT!tr"
[ HBEDV ], "TR/Agent.abt.3"
[ Norman ], "Trojan W32/Agent.AXAF"
[ Rising ], "Trojan.Agent.afz"
[ Ewido ], "Trojan.Agent.abt"
[ Ahnlab ], "infected by Win-Trojan/Agent.49242"
[ Grisoft ], "Trojan horse Generic2.UTK"
請各位檢查一下自己的隨身碟或電腦是不是有這隻病毒，如果是中其他的病毒，請分享一下囉。