很多台電腦中毒,感染原因多是插入被病毒感染的隨身碟(或隨身硬碟、MP3、數位相機、記憶卡等卸除式裝置)。
因被病毒感染的隨身碟裏有自動播放檔和病毒程式,當隨身碟插入電腦時,電腦會自動啟動隨身碟裏的自動播放檔,進而執行病毒程式,造成電腦中毒。
不僅如此,別人未中毒的隨身碟插入中毒的電腦,也會被感染。若此隨身碟再插入別台未中毒的電腦,該電腦也會被感染,如此惡性循環。
該病毒會造成電腦執行緩慢、上網速度超慢(因為牠大量傳送封包出去,造成網路大塞車)、XP自動更新失效等症狀,目前掃毒程式並無法有效清除(包含卡巴斯基),目前只能格式化後重灌才能解決,並且避免再接觸受感染的隨身碟。
為避免成為下一個受害者,資訊組建議各位趕快關閉磁碟機自動播放功能(XP預設是開啟的),並且開啟隨身碟時請勿使用我的電腦開啟,儘量使用檔案總管
※ 以下提供各位關閉自動播放功能及自我檢測的方法,請趕快自我檢測一下,別讓疫情再擴散出去。
壹、先關閉所有磁碟機自動播放功能,避免被感染
一、按 開始,選 執行
二、輸入 gpedit.msc
三、出現群組原則後選 >電腦設定>系統管理範本>系統
四、在右邊找到 關閉自動播放 (在倒數第6項的位置),點按兩下進入
五、選 已啟用 並在下面選 所有磁碟機,按 確定 後離開
現在很多病毒都是利用隨身碟和MP3來傳播,除了將自動播放功能關閉外,建議開啟磁碟時,不要利用 我的電腦 來開啟,請使用 檔案總管
問:如何使用檔案總管?
答:在 我的電腦 上面按滑鼠右鍵,在選單上選 檔案總管,進入之後再點選你要讀取的磁碟機
貳、自我檢測隨身碟是否中毒,避免感染別人
一、在 我的電腦 上按滑鼠右鍵,在選單上選 檔案總管
二、進入之後,在功能表上選 工具 / 資料夾選項
三、進入之後,選 檢視 標籤,在下面的進階設定中參考下圖做設定,按確定完成
四、插入隨身碟後,在我的電腦上按滑鼠右鍵,用 檔案總管 開啟,若發現你的隨身碟裏有 autorun.inf 和 setup.exe 兩個隱藏檔,表示隨身碟已經中毒了,請立刻把這兩個檔刪除並拔出。
參、自我檢測電腦是否中毒,避免感染別人的隨身碟
一、在 我的電腦 上按滑鼠右鍵,在選單上選 管理
二、在左邊 電腦管理 裏找到 服務及應用程式 ,按前面的 □+ 展開,選擇 服務
三、在右邊選擇 Automatic Updates,若出現簡體字,表現已中毒,請不要在你的電腦上使用隨身碟,避免再感染
四、簡易擋毒
> 資訊百寶箱 > 防止USB碟中毒的偷吃步
回上頁 防止USB碟中毒的偷吃步
文卅 夏偉雄
您是否常常遇到隨身碟插入至 電腦時,卻馬上發現隨身碟有中毒的傾向,或者讓別人的電腦也中毒,而感到困擾而又無奈嗎?此篇防止USB中毒的小撇步將分享給您。 1. USB隨身碟對病毒的傳播要借助『autorun.inf』檔案的輔助說明。病毒首先把自身 複製到USB隨身碟﹐然後建立一個『autorun.inf』﹐在您連續按兩下USB隨身碟時﹐會根據『autorun.inf』中的設定去執行USB隨身碟中的病毒。因此我們只要阻止病毒建立『autorun.inf』檔,就可以阻擋病毒入侵我們的USB隨身碟。
2. 但要怎麼做才能防止病毒修改『autorun.inf』檔呢?我們使用的方法就是在根目錄下建立一個『資料夾』取名為『autorun.inf』,如此一來,因為在同一目錄底下,同名的檔案和檔案夾是不能共存的原理,如此一來,病毒就無能為力,無法建立『autorun.inf』檔。至於未來會不會出現新種病毒,自動刪除檔案夾,然後再建立『autorun.inf』檔,這個我們無法確定,但就現階段而言,這個方法是相當有效的。大家不妨一試。 步驟1:在隨身碟的根目錄下,按滑鼠右錄
步驟2:新增一個資料夾
步驟3:將資料夾名稱取為"autorun.inf"
資料來源:http://cdtl.nknu.edu.tw/learn_detail.php?dataid=dlearn40g5&np=1&class=clopfilear
五、進階擋毒:
方法一:
. usb中毒解決方法
先將副檔名及隱藏檔案開啟(選取工具=>資料資料夾選項=>檢視)
(記得先下載 UNLOCKER 利用它刪檔或是去安全模式下刪檔!!!)
1.刪除C:\WINDOWS\system32\usbmons.dll及kb2006a.dll
2.執行regedit,搜尋usbmons.dll後修改DLLName的值為C:\WINDOWS\system32\usbmon.dll
3.刪除usb隨身碟的autorun.exe及recyle的檔案與資料夾
4.重新開機
方法二:
這個病毒有下面的行為:
[Added process]
c:\windows\mdm.exe
[DLL injection]
不知有沒有,因為當時沒有工具,所以,無法得知,但這隻病毒具有看門狗 (Watchdog) 的功能,當砍掉病毒檔案和註冊碼後,會再產生原本的病毒檔案和註冊碼。
[Addded file]
c:\windows\svchost.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\svchost.ini (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system\svchost.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\mdm.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system32\usbmons.dll (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system32\usbmons.exe (隱藏檔系統唯讀檔,屬性為 HSR)
c:\windows\system32\inetsrv.exe
[Added registry]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run||Value=SVCHOST||Data=c:\windows\mdm.exe
[隨身碟]
當隨身碟插入 USB 插槽之後,系統就會立刻自動執行 (Autorun 或 Autoplay) 隨身碟的某些檔案,就在這個時後,病毒就會感染隨身碟,寫入一個惡意檔案和或一個自動執行檔案:
g:\autorun.inf (病毒會修改這個黨案)
g:\RavMon.exe (隱藏檔系統唯讀檔,屬性為 HSR,Symantec 偵測為 W32.Rajump)
如果你的隨身碟已經被病毒感染,當你將隨身碟插入你的電腦時,你的系統將會被這隻病毒所感染。
如何清除這隻病毒:
1. 將電腦切換至安全模式 (並不是所有的狀況皆適用)
2. 進入命令列模式,利用命令 attrib,使惡意檔案 (隱藏檔系統唯讀檔) 一一現形
3. 將惡意檔案刪除或更名 (比較保險的做法)
4. 打開註冊碼編輯器,將惡意的註冊碼刪除
5. 重新開機,然後,系統應該恢復正常狀態。
6. 清除隨身碟上的病毒。注意,如果你不想在插入隨身碟時中毒,當隨身碟插入系統時,記得一直按著「Shift」鍵。
方法三:
微軟視窗作業系統提供一個自動執行 (Autorun 或 Autoplay) 的功能,系統會自動尋找 autorun.inf 的檔案,而且,自動執行其內容,可想而知,如果其內容是執行一個惡意程式,你可能就變成受害者,但要如何預防呢?以下分成幾點說明:
一、避免已感染的隨身碟感染電腦:可以利用下面其中一種方法,關閉動執行 (Autorun 或 Autoplay) 的功能。
1. 當隨身碟插入電腦時,一直按著「Shift」鍵,直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。
2. 修改登錄機碼,找到 HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer,將 NoDriveTypeAutoRun 的值設為 0x00000095 以及
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer,將 NoDriveTypeAutoRun 的值設為 0x00000095,然後,重新開機,
這樣就可以停用 Autorun 了。
3. 利用群組原則嵌入式管理單元 (gpedit.msc) 。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc],然後,參考下圖,設定完成後,重新開機。
二、避免已感染的電腦感染隨身碟:其實,就像以前的磁片 (Floppy),因為會被病毒感染,最後,磁片都具有唯讀 (Read-Only) 的開關,所以,各位可以購買具有唯讀開關功能的隨身碟,但現在好像比較少隨身碟有此功能,製作隨身碟的廠商可能要考慮把此項功能納入規格中,否則,很難避免中毒。(另外,各位可以常常檢查是否 autorun.inf 被更改過了)
至於,為什麼要將 NoDriveTypeAutoRun 的值要設為 0x00000095 呢?如果各位有興趣的話,我會再說明。最後,如果此篇文章有錯誤的地方,請告知。
P.S. 如果要關閉 CD-ROM 的自動執行功能,可以將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\autorun 的值設為 0,然後,重新開機。
到目前為止,下面的防毒軟體可以偵測到這些惡意檔案:
inetsrv.exe:
[ Trend ], "WORM_SMALL.FAY"
usbmons.exe:
[ Trend ], "TROJ_DELF.BUQ"
svchost.exe:
[ Trend ], "WORM_AGENT.FYS"
usbmons.dll:
[ McAfee ], "New DLL-b !!"
MDM.EXE:
[ Symantec ], "Trojan Horse"
[ Kaspersky ], "PAK:NPack, Trojan.Win32.Agent.aei"
[ Fortinet ], "suspicious"
[ Rising ], "Trojan.Agent.ajm"
SVCHOST.EXE:
[ Symantec ], "W32.Rajump"
[ Kaspersky ], "PAK:NPack, Trojan.Win32.Agent.abt"
[ Panda ], "Trj/Agent.DQZ"
[ Nod32 ], "probably unknown NewHeur_PE virus [7]"
[ Fortinet ], "W32/Agent.ABT!tr"
[ HBEDV ], "TR/Agent.abt.3"
[ Norman ], "Trojan W32/Agent.AXAF"
[ Rising ], "Trojan.Agent.afz"
[ Ewido ], "Trojan.Agent.abt"
[ Ahnlab ], "infected by Win-Trojan/Agent.49242"
[ Grisoft ], "Trojan horse Generic2.UTK"
請各位檢查一下自己的隨身碟或電腦是不是有這隻病毒,如果是中其他的病毒,請分享一下囉。
- Dec 15 Wed 2010 14:11
自我檢測USB是否中毒
close
全站熱搜
留言列表