先在隨身碟建立 AUTORUN.INF 資料夾(folder),使病毒無法建立 AUTORUN.INF檔案。

如何檢查隨身碟是否中毒?
1.請按(開始) → (執行) →輸入(cmd)按確定或Enter,鍵入隨身碟磁碟機代號,如:(F:),輸入(dir /a),若看到 autorun.inf 和奇怪的****.exe 檔,則表示可能已中毒。

setup1 

2.

setup2 

3.

setup3 

4.清除隨身碟autorun.inf等病毒檔
setup4 

5.

setup5 

6.結束隨身碟防毒設定,也可比照設定 C、D等槽,加入〈autorun.inf〉資料夾 避免autorun.inf侵入C、D等槽。

autorun.inf 目錄(資料夾)的屬性必需記得設定為【唯讀】與【隱藏】,在autorun.inf資料夾按右鍵,選(內容),再設定即可。

補充:wincab.sys木馬程式、 「W32.Gammima.AG」病毒
這些木馬為USB專門病毒,舉凡隨身碟、硬碟、記憶卡等都會感染!
只要感染的隨身碟,插到哪裡就感染到哪裡,很可怕!

身邊的所有的USB儲存裝置,都要清查裡頭是否有兩個隱藏檔Autorun.inf、ntdelect.com,如有快把它殺了,千萬別執行它,因為就是這兩檔會自動執行而感染的。
清除方法見前面說明。

千萬別小看這些木馬程式,有很多的掃毒軟體是掃不出來的,其實他有相關的程式隱身在系統裡如下:
C:WINDOWSsystem32kavo.exe
C:WINDOWSsystem32kavo.dll
C:WINDOWSsystem32kav0.dll
C:WINDOWSsystem32kav1.dll
C:ntdelect.com

(系統裡有ntdetect.com千萬別刪除看清楚!!病毒是 l,系統檔是t)
但您也別太高興!因為它把系統全部隱藏起來了 無論您麼改顯示統檔案,一跳出設定他又隱藏了起來了! 這就是此病毒的特色。

清除方法:
開完機後要去修改註冊機碼(regedit)在開始→執行中,輸入【regedit】,會出現如下視窗,打開<尋找>,輸入要清除的檔案如: autorun.inf、 kavo.exe、ntdelect.com等,不管找到多少個 統統殺掉即可。

如何殺掉c槽、d槽等的Autorun.inf、 ntdelect.com檔?
除以上方法,也可以用命令提示字元來確認、刪除。
方法就是:
「開始」、「執行」輸入「cmd」按確定可以叫出命令提示字元
輸入「dir c: /a」可以列出 c: 下所有的檔案,包含隱藏檔。
要刪除的話,可以透過 「del 檔案名稱/A:RH」
如:「del ntdelect.com/A:RH」 來刪除唯讀隱藏的檔案。

wincab.sys補充:

這一隻隨身碟類型 ( autorun.inf 引導 ) 的病毒,中毒的症狀:
1.出現 wincab.sys 訊息。
2.無法將檔案總管的顯示隱藏檔功能開 啟,病毒會將其改回去。
解毒方式 :
將所有磁碟中的 autorun.inf & ntdelect.com刪除。
注意 ntdelect.com 跟 C: 系統檔案 的ntdetect.com 有一字之差。

全站熱搜

mitblog 發表在 痞客邦 留言(0) 人氣()