HarlemHsu

今天有幸處理了一件電腦中毒的案例，處理程序與說明分享給大家:

當USB 隨身碟、USB硬碟、USB軟碟、USBCD / DVD插入電腦時，Windows自動帶起【AutoRun】並詢問使用者下一操作步驟為何？如下圖所示：

這功能對於Windows系統不熟稔的使用者來說算是滿 User Friendly。

而這機制動作卻被歪腦筋的那群人，當成系統的安全漏洞，加以利用、入侵並在你的電腦自動植入木馬、蠕蟲、病毒，並加以側錄個人隱私。

隨身碟病毒目前已經發展到第五代了，新一代的病毒也會利用 SPYPE/MSN傳播 xxxxx.BAT或是xxxxx.CMD(亂數產生檔案名) 檔案，若不小心執行xxxxxxx.BAT與xxxxxx.CMD 後,，你的電腦會重新組譯為病毒檔並【自動備份】存回你的電腦數個目錄裡，一併也修改了你的HKEY登錄值。

 我將收集到的資訊匯總後，加以改良一下處理程序分享給大家，以下處理步驟，至少都需要Local Administrator權限才可以完整執行：

1.手動停掉『系統還原』，這樣才可以一併移除隱藏於【System Volume Information】目錄裡的病毒，缺點是以後不能使用Windows系統內建的系統還原功能了。

若是要單次停掉【系統還原】，可以下以下指令：

NET  STOP  srservice

2.嘗試砍掉暫存的垃圾目錄後再建立新的目錄檔案。如果目錄系統正在使用中.... 因為無法砍掉目錄，所以改清除暫存的垃圾檔案。

3.開始清除病毒。

4.強烈建議關閉XP或2000的【自動啟動功能】，避免USER回去後插入USB DISK又再次中毒

5.手動建立四個空目錄：【autorun.inf】、【autorun.ini】 、【INFO.exe】、【ntdelete.com】於HDD C:\ 與 D:\ ......所有磁碟機中，這是利用Windows檔案系統中檔案名與目錄名不能重複的特性，來以防止相似的變種病毒自動建立病毒檔案。

6.最後記得檢查與砍掉【根目錄 C:\  D:\......　】所產生的亂數檔案名 XXXXX.bat檔案，因為這是KAVO 變種病毒的新招，執行 xxxxx.BAT 後自動組譯為 TAVO、KAVO 木馬病毒!!!下面附件圖檔是我剛剛抓到的特徵值畫面!

最後附上哈林寫的解 KAVO / TAVO 懶人自動批次檔【Anti-KAVO.BAT】與下載【kavo_killer_v4.1.exe】的官方網站：書維的部落格。

md "%windir%\temp"

RD /S /Q "%systemroot%\Temp"

MD "%systemroot%\Temp"

echo 因為無法砍掉目錄，所以改清除暫存的垃圾檔案

del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files"

del /f /s /q "%systemdrive%\Program Files\Temp"

del /f /s /q "%userprofile%\Local Settings\Temp"

del /f /s /q "%windir%\temp"

del /f /s /q "%systemroot%\Temp"

 echo 開始清除病毒

kavo_killer_v3.3.exe

start /wait regedt32 /s "關閉【自動啟動功能】.REG"

MD c:\autorun.inf

Attrib -a +r +H -s C:\autorun.inf

MD D:\autorun.inf

Attrib -a +r +H -s D:\autorun.inf

MD E:\autorun.inf

Attrib -a +r +H -s E:\autorun.inf

MD c:\autorun.ini

Attrib -a +r +H -s C:\autorun.ini

MD D:\autorun.ini

Attrib -a +r +H -s D:\autorun.ini

MD E:\autorun.ini

Attrib -a +r +H -s F:\autorun.ini

MD C:\INFO.exe

Attrib -a +r +H -s C:\INFO.exe

MD D:\INFO.exe

Attrib -a +r +H -s D:\INFO.exe

MD E:\INFO.exe

Attrib -a +r +H -s E:\INFO.exe

MD c:\ntdelete.com

Attrib -a +r +H -s C:\ntdelete.com

MD D:\ntdelete.com

Attrib -a +r +H -s D:\ntdelete.com

MD E:\ntdelete.com

Attrib -a +r +H -s E:\ntdelete.com

echo 記得檢查與砍掉 C:\ D:\　所產生的亂數檔案名 XXXXX.bat或xxxxx.CMD檔案

PAUSE

注意:以下程式碼會修改您的系統參數值，不懂得人，找高手幫你一把。

●關閉【自動啟動功能】.REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

注意：執行哈林寫的解 KAVO / TAVO 懶人自動批次檔後，AutoRUN 功能會被閹掉，這意味著: 以後 USER 插入 CD/DVD/USB等等媒體，Windows 系統在也不會""自動""跑出這樣的畫面

延伸閱讀:

病毒、蠕蟲及特洛伊木馬程式簡介http://www.microsoft.com/taiwan/athome/security/viruses/virus101.mspx

書維的部落格 用 killer.exe 打造自己的解毒軟體 http://tw.myblog.yahoo.com/shu-wei/article?mid=797&prev=5576&next=520