##CONTINUE##
該文章標題:
天啊!我的隨身碟又中毒了
不易分析來源與感染途徑的USB病毒
從蛛絲馬跡得知感染USB病毒
學會2招,立即解除中毒危機
防護12式,讓電腦遠離USB病毒
7項進階防禦法,阻撓病毒感染不手軟
第1招:建立自動檢查及解毒程式
第1種解法是臺北市政府捷運工程局技術發展處簡維德提供。
該公司也被USB病毒感染過,雖然網路上有許多解法,但步驟太多,只能單臺處理。以捷運局的規模,根本來不及應付,於是他收集網路上各種處理方法後,提出以下解決方法。
如果你的電腦也中USB病毒,可以將附件中的程式碼複製並貼上到記事本,然後轉存成.exe檔案,即可執行。
此外,如果在Windows AD環境下,也可以將此程式載入成登入程式(Logon Script),只要用戶端登入,就自動檢查。
自動檢查/解毒程式
這一段程式碼可複製到記事本上,然後轉存成.exe即可執行。想了解此程式內容,須具備基本DOS或命令列執行概念。如果發現病毒存在其他資料夾中,你也可以在此程式中,寫入處理程序。
:begin
for %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul&&attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul
del %%x:\autorun.inf /q /f >nul 2>nul&&del %%x:\ntdelect.com /q /f >nul 2>nul )
for %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
del %%x:\autorun.inf /q /f >nul 2>nul&del %%x:\ntdelect.com /q /f >nul 2>nul
md %%x:\autorun.inf >nul 2>nul&&attrib +r +s +h %%x:\autorun.inf >nul 2>nul )
for %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
echo 這是用來防止再被病毒寫入的資料夾,請勿刪除! > %%x:\autorun.inf\README.TXT &cls)
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "DefaultValue" /t REG_DWORD /d 00000002 /f
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CHKeyRoot" /t REG_DWORD /d 80000001 /f
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "ValueName" /t REG_SZ /d Hidden /f
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "Text" /t REG_SZ /d "@shell32.dll,-30500" /f
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "Type" /t REG_SZ /d radio /f
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "RegPath" /t REG_SZ /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f
attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul
del "%windir%\system32\kav*.*" >nul 2>nul
attrib -s -h -r "C:\ntdelect.com" >nul 2>nul
del "C:\ntdelect.com" >nul 2>nul
attrib -s -h -r "%windir%\fly32.*" >nul 2>nul
del "%windir%\fly32.*" >nul 2>nul
attrib -r -s -h -a "c:\found.*" /S /D >nul 2>nul
del "c:\found.???\*.*" /s /q /f >nul 2>nul
attrib -r -s -h -a "c:\%windir%\help\*.*" /S /D >nul 2>nul
del "c:\%windir%\help\*.*" /s /q /f >nul 2>nul
rd "c:\%windir%\help" /s /q >nul 2>nul
md "%windir%\system32\kav0.dll" >nul 2>nul
:end 第一段:檢查各磁碟的根目錄
搜尋各磁區目錄中檔案,並刪除所有autorun.inf及ntdeIect.com檔名,並寫入autorun.inf資料夾,最後設定唯讀、系統及隱藏屬性,防止再次殖入病毒
第二段:刪除及還原被隱藏的相關機碼
USB病毒會改變登入機碼的資料,造成無法顯示隱藏檔案的問題,因此要先刪除此機碼,然後再寫入正確機碼值。
第三段:刪除系統磁區中,相關病毒檔案
此段使用Windows命令列的基本指令,主要利用attrib解除可能存在病毒資料夾的屬性,包括C磁碟區、Windows、System32和Help等資料夾中,最後刪除病毒相關檔名。
第2招:Kavo Killer及USBCleaner 等清除工具
Kavo Killer
USBCleaner
VBUSTER VCleanser
del_kavo.rar
DelAutorun-Virus.bat
相關文章:
KAVO 的病毒奕瑞科技對於提供此病毒的說明與解決方案
USB病毒的演化(Evolution of USB-Virus)
快報「kavo變種」(ntdeIect.com、autorun.inf)
趨勢科技2008技術通報 - USB病毒防治要點
USB隨身碟病毒刪除法
USB大作戰
