隨身碟病毒感染途徑主要是利用autorun.inf,一般插入隨身碟會去執行
autorun.inf,病毒把自己的執行指令加到autorun.inf裡面,這樣把病毒傳播到其他電腦
病毒第一件事是把檔案隱藏選項打開並鎖住,然後令自己為隱藏
自然會在自己電腦裡看不到,要解決這樣的問題有以下幾個步驟
1.重開電腦並選擇安全模式(會略過開機載入檔,有些病毒會把自己的指令加在這裡)
2.利用regedit開啟檔案隱藏選項(HKEY_LOCAL_MACHINE/Software/Microsoft Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL/CheckedValue,修改它的值為1)
3.再次利用檔案總管開啟檔案隱藏選項
4.刪除各磁碟機中所有autorun.inf(一般情況下不會用到)、ntde"l"ect.com(不是ntde"t"ect.com,刪錯了會沒法開機)
5.檢視開機執行命令中可疑指令:開始/執行/輸入 「msconfig」,然後檢查最後一個頁簽(啟動)裡是否有可疑指令,老實講,這部份需要一點經驗。
6.在上述步驟中找到的指令,搜尋regedit把登錄的機碼刪除掉。
以上六個步驟我在第一次檢查時做過,發現還是會有病毒,一直找不到藏在哪裡?
如果你對登錄檔有點概念的話,啟動區是在 HKEY_LOCAL_MACHINE/Software/Microsoft Windows/CurrentVersion/run 或runonce,都檢查過還是會有,後來我才發現還有一個地方會在開啟時啟動。
HKEY_LOCAL_MACHINE/Software/Windows NT/CurrentVersion/winlogon/Shell,原本只會有explorer.exe但是病毒在後面偷偷加了自己的執行檔,真的很難找。當然這些病毒還有許多變化,例如病毒檔會以亂數產生,所以每支病毒的檔案名稱都不一樣,真的防不勝防。
不過還是有方法,現在大部分都會建議在所有磁碟機(包含隨身碟)的根目錄中,預先建立一個資料夾名稱為「autorun.inf」,如此病毒便無法寫入autorun.inf,當然無法透過ini執行自己的指令,真是好方法。
全站熱搜
留言列表
