破解USB病毒 （轉載）

轉載 阿Ben 

http://www.wretch.cc/blog/iversonyatw/9926684

破解USB病毒

本校最近發現有老師的隨身碟無法使用，經查係感染病毒，
此病毒感染目標為所有儲存媒體，不只感染USB隨身碟
參考資訊：http://vil.nai.com/vil/content/v_139985.htm
清除工具：http://tinyurl.com/ycloqc
安全模式跑一次，正常模式再跑一次
清除時請先拔除網路線


----------------------------------------------------------
補充說明
病毒動作:
在接上隨身碟後會在其中建立並複製以下檔案進去
desktop.exe
desktop2.exe
folder.exe
autorun.inf
recycled\INFO.exe
recycled\Driveinfo.exe

建立資料夾:
recycled

以上文件屬性:隱藏

autorun.inf內有desktop.exe的自動執行函式
要取消自動執行功能才能避免在接上電腦後受到感染

關閉自動啟動功能

1. 執行 → 輸入 gpedit.msc
2. 出現 "群組原則" 視窗, 依序選左邊 電腦設定 → 系統管理範本 → 系統
3. 找到右邊視窗的 → 關閉自動播放 點兩下左鍵
4. 出現 "關閉自動播放內容" 對話窗, 點選 "已啟用"
5. 再下來在 "停用自動播放在" 的下拉選單, 選擇 "所有裝置"
6. 完成,插上隨身碟就不會再自動執行了~

註:這項設定會連光碟機自動執行也一併取消,要打開隨身碟時要記得不要按兩下打開(這項動作等同自動執行該槽區根目錄下的autorun功能),請在該隨身碟點右鍵,按"瀏覽"

解決方法:
進入之後把上述的程式刪除即可(記得到資料夾選項->顯示->打開"顯示所有檔案(隱藏的資料夾和檔案)"才能看到上述程式)

目前已知KIS6.0可以偵測到這個病毒,就算在接上隨身碟時被自動執行也能及時攔下

另:這支病毒似乎能鎖定資料夾選項的"顯示隱藏的資料夾和檔案"等等功能...
引一篇他校的公告內容:

========================================
USB隨身碟病毒補充說明
1.此病毒會感染電腦硬碟及所有隨身碟及隨身硬碟
2.如何辨認是否中毒之步驟及緊急解決辦法:
a.找一台有安裝還原系統的電腦重新開機.(確認之前無其他人使用,重新開機後可保證乾淨無病毒)
b.插入隨身碟
c.自動開啟的對話框關閉
d.開始-->程式集-->附屬應用程式-->檔案總管
e.工具-->資料夾選項-->檢視-->顯示所有檔案和資料夾-->確定
f.檔案總管-->卸除式磁碟(隨身碟)
d.檢查是否有 RECYCLER、autorun.inf 等隱藏檔(顏色較淡)
f.而用記事本開啟autorun.inf 後出現
[autorun]
open=

shellopenCommand=RECYCLER\INFO.exe
shellopenDefault=1
shellexploreCommand=RECYCLER\INFO.exe
g.若出現內容如上,則可以確認中毒
h.將所有隱藏檔案刪除,如此可以暫時清除隨身碟的毒
3.並不是清了隨身碟的毒就沒事,要記得,最大的病原體在電腦.
4.想一想,你曾經用過哪些電腦?(尤其是沒安裝還原系統以及家裡的電腦)
5.利用上一篇解毒法解毒.
6.如何進安全模式?(開機時嗶聲按F8,會跳出安全模式選單,重開機後回一般模式)


USB病毒較有效之解毒法
檢查方法
把隨身碟插上
打開命令提示字元
鍵入x: (enter)(x為你的隨身碟的磁碟代號)
用dir /a (enter)檢查是否有一個叫autorun.inf的檔案
鍵入attrib -r -h -s autorun.inf (enter)
del autorun.inf (enter)
等待個5秒
再鍵入dir /a (enter)檢查autorun.inf是否又出現
又出現就是中了

解決方法
在工作列點右鍵啟動工作管理員
點處理程序
點檢視-欄位把pid打勾,確定
點pid欄位再點名稱,使列表以名稱和pid排序
把pid較大的使用者為local machine的svchost.exe強制結束
如果沒出現重開機就是有關掉蠕蟲
回到命令提示字元
鍵入attrib -r -h -s autorun.inf
del autorun.inf
cd recycled
attrib -r -h -s *
del *
c:
cd windows\system\
attrib -r -h -s svchost.exe
del svchost.exe
cd _sv_CMD_
attrib -r -h -s *
del *
regedit
在登錄編輯程式中
切換到“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon”
把Userinit值後面添加的“C:\WINDOWS\SYSTEM\svchost.exe”除
再用編輯的尋找把有關recycler的值都刪掉

就可以了