今天有幸處理了一件電腦中毒的案例,處理程序與說明分享給大家:

當USB 隨身碟、USB硬碟、USB軟碟、USBCD / DVD插入電腦時,Windows自動帶起【AutoRun】並詢問使用者下一操作步驟為何?如下圖所示:

 

這功能對於Windows系統不熟稔的使用者來說算是滿 User Friendly。

而這機制動作卻被歪腦筋的那群人,當成系統的安全漏洞,加以利用、入侵並在你的電腦自動植入木馬、蠕蟲、病毒,並加以側錄個人隱私。

隨身碟病毒目前已經發展到第五代了,新一代的病毒也會利用 SPYPE/MSN傳播 xxxxx.BAT或是xxxxx.CMD(亂數產生檔案名) 檔案,若不小心執行xxxxxxx.BAT與xxxxxx.CMD 後,,你的電腦會重新組譯為病毒檔並【自動備份】存回你的電腦數個目錄裡,一併也修改了你的HKEY登錄值。

 我將收集到的資訊匯總後,加以改良一下處理程序分享給大家,以下處理步驟,至少都需要Local Administrator權限才可以完整執行:

1.手動停掉『系統還原』,這樣才可以一併移除隱藏於【System Volume Information】目錄裡的病毒,缺點是以後不能使用Windows系統內建的系統還原功能了。

 

若是要單次停掉【系統還原】,可以下以下指令:

NET  STOP  srservice

2.嘗試砍掉暫存的垃圾目錄後再建立新的目錄檔案。如果目錄系統正在使用中.... 因為無法砍掉目錄,所以改清除暫存的垃圾檔案。

3.開始清除病毒。

4.強烈建議關閉XP或2000的【自動啟動功能】,避免USER回去後插入USB DISK又再次中毒

5.手動建立四個空目錄:【autorun.inf】、【autorun.ini】 、【INFO.exe】、【ntdelete.com】於HDD C:\ 與 D:\ ......所有磁碟機中,這是利用Windows檔案系統中檔案名與目錄名不能重複的特性,來以防止相似的變種病毒自動建立病毒檔案。

 

6.最後記得檢查與砍掉【根目錄 C:\  D:\...... 】所產生的亂數檔案名 XXXXX.bat檔案,因為這是KAVO 變種病毒的新招,執行 xxxxx.BAT 後自動組譯為 TAVO、KAVO 木馬病毒!!!下面附件圖檔是我剛剛抓到的特徵值畫面!

 

 

最後附上哈林寫的解 KAVO / TAVO 懶人自動批次檔【Anti-KAVO.BAT】與下載【kavo_killer_v4.1.exe】的官方網站:書維的部落格

md "%windir%\temp"

RD /S /Q "%systemroot%\Temp"

MD "%systemroot%\Temp"

echo 因為無法砍掉目錄,所以改清除暫存的垃圾檔案

del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files"

del /f /s /q "%systemdrive%\Program Files\Temp"

del /f /s /q "%userprofile%\Local Settings\Temp"

del /f /s /q "%windir%\temp"

del /f /s /q "%systemroot%\Temp"

 echo 開始清除病毒

kavo_killer_v3.3.exe

start /wait regedt32 /s "關閉【自動啟動功能】.REG"

MD c:\autorun.inf

Attrib -a +r +H -s C:\autorun.inf

MD D:\autorun.inf

Attrib -a +r +H -s D:\autorun.inf

MD E:\autorun.inf

Attrib -a +r +H -s E:\autorun.inf

MD c:\autorun.ini

Attrib -a +r +H -s C:\autorun.ini

MD D:\autorun.ini

Attrib -a +r +H -s D:\autorun.ini

MD E:\autorun.ini

Attrib -a +r +H -s F:\autorun.ini

MD C:\INFO.exe

Attrib -a +r +H -s C:\INFO.exe

MD D:\INFO.exe

Attrib -a +r +H -s D:\INFO.exe

MD E:\INFO.exe

Attrib -a +r +H -s E:\INFO.exe

MD c:\ntdelete.com

Attrib -a +r +H -s C:\ntdelete.com

MD D:\ntdelete.com

Attrib -a +r +H -s D:\ntdelete.com

MD E:\ntdelete.com

Attrib -a +r +H -s E:\ntdelete.com

echo 記得檢查與砍掉 C:\ D:\ 所產生的亂數檔案名 XXXXX.bat或xxxxx.CMD檔案

PAUSE

注意:以下程式碼會修改您的系統參數值,不懂得人,找高手幫你一把。

●關閉【自動啟動功能】.REG

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

注意:執行哈林寫的解 KAVO / TAVO 懶人自動批次檔後,AutoRUN 功能會被閹掉,這意味著: 以後 USER 插入 CD/DVD/USB等等媒體,Windows 系統在也不會""自動""跑出這樣的畫面

 

延伸閱讀:

病毒、蠕蟲及特洛伊木馬程式簡介http://www.microsoft.com/taiwan/athome/security/viruses/virus101.mspx

書維的部落格 用 killer.exe 打造自己的解毒軟體 http://tw.myblog.yahoo.com/shu-wei/article?mid=797&prev=5576&next=520

 

 

創作者介紹

HarlemHsu

HarlemHsu 發表在 痞客邦 PIXNET 留言(2) 人氣()


留言列表 (2)

發表留言
  • Petrus
  • 哇塞...原來那個親切的autorun就表示"你中毒了"的意思哦...> <
    A嗨...我還笨笨的用它來開檔案咧...囧
  • 是喔~~那趕緊檢查自己nb是否中毒了吧!

    HarlemHsu 於 2008/11/10 19:48 回覆

找更多相關文章與討論