沒有中毒
•在隨身碟建立 AUTORUN.INF 資料夾,使病毒無法建立AUTORUN.INF檔案。
如何知道您的隨身碟有沒有中毒?
•請按(開始)→(執行)→輸入(cmd) 鍵入隨身碟磁碟機代號,如:(F:),輸入(dir /a),若看到 autorun.inf 和奇怪的****.exe 檔,則表示可能已中毒。
示範步驟1
開始 → 執行 → cmd
示範1
步驟2
清除隨身碟autorun.inf等病毒檔
步驟9
結束隨身碟防毒設定,也可比照設定C、D等槽,加入〈autorun.inf〉資料夾,避免autorun.inf侵入C、D等槽。
•autorun.inf 目錄(資料夾)的屬性必需記得設定為【唯讀】與【隱藏】,在autorun.inf資料夾按右鍵,選(內容),再設定即可。
補充:wincab.sys木馬程式、 「W32.Gammima.AG」病毒
•這些木馬為USB專門病毒,舉凡隨身碟、硬碟、記憶卡等都會感染!!!
只要感染的隨身碟,插到哪裡就感染到哪裡,很可怕!
•身邊的所有的USB儲存裝置,都要清查裡頭是否有兩個隱藏檔
•Autorun.inf
ntdelect.com
如有快把它殺了,千萬別執行它,因為就是這兩檔會自動執行而感染的。
•清除方法見前面說明。
•千萬別小看這些木馬程式,有很多的掃毒軟體是掃不出來的,其實他有相關的程式隱身在系統裡如下
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo.dll
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
C:\ntdelect.com
(系統裡有ntdetect.com千萬別刪除看清楚!!病毒是 l,系統檔是t)
但您也別太高興!因為它把系統全部隱藏起來了
無論您麼改顯示統檔案,一跳出設定他又隱藏了起來了!
這就是此病毒的特色。
清除方法
•開完機後要去修改註冊機碼(regedit)
在開始→執行中,輸入【regedit】,會出現如下視窗,打開〈尋找〉,輸入要清除的檔案如:
autorun.inf、kavo.exe、ntdelect.com等,
不管找到多少個統統殺掉即可。
示範1
示範2
示範3
示範4
如何殺掉c槽、d槽等的Autorun.inf、ntdelect.com檔
• 除以上方法,也可以用命令提示字元來確認、刪除。方法就是:
• 「開始」、「執行」輸入「cmd」按確定可以叫出命令提示字元
• 輸入「dir c:\ /a」可以列出 c:\ 下所有的檔案,包含隱藏檔。
• 要刪除的話,可以透過
「del 檔案名稱/A:RH」
如:「del ntdelect.com/A:RH」
來刪除唯讀隱藏的檔案。
•wincab.sys補充
這一隻是新的隨身碟類型 ( autorun.inf 引導 ) 的病毒,中毒的症狀:
1.出現 wincab.sys 訊息。
2.無法將檔案總管的顯示隱藏檔功能開啟,病毒會將其改回去。
解毒方式 :
將所有磁碟中的 autorun.inf & ntdelect.com刪除。
•注意 ntdelect.com 跟 C:\ 系統檔案 的ntdetect.com 有一字之差。
主要參考來源:
• http://www.cses.chc.edu.tw/teach_doc/how_to_avoid_usbdisk_get_virus.htm
• http://www.yaes.tnc.edu.tw/school/menu/index.php
• http://heresy.spaces.live.com/blog/
留言列表