March 8, 2008

[安] 處理 Autorun 類型的惡意程式

“......通常會發生這種現象時, 大概是因為 Autorun 類型的病毒已經入侵磁碟了, 然後掃毒軟體或你自己殺掉了病毒程式本身, 但 autorun.inf 檔沒刪掉, 才找不到正確的開啟方法。......”

[by Peter_Lin|PC board|Re: 發現病毒並殺掉之後|Fri.Feb.15.06:22:38.2008]
 
==> zion (隨時隨地再出發) 提到:
> 可能是其他人的電腦有毒
> 我的隨身碟剛剛一插上電腦就被小紅傘掃出有毒
> TR/Crypt.NSPM.Gen
> 因此我把那個檔案給殺了 (0hc8ybw.bat)
> 但是問題是
> 現在我如果從我的電腦裡點那個隨身碟要開啟
> 都會跳出那個要用哪一個程式開啟的選單去
> 沒辦法像過去一樣直接就開啟成檔案匣
> 我該怎麼辦呢?
> 看那一堆選項也不像有什麼能夠像過去一般開啟的
> 每次要讀取就要重新拔下來在插上去
> 上電腦自動開啟也不是辦法
> 請幫幫我吧

 
不知下面的方法有無幫助:
 
在開啟檔案的框中, 選擇 Explorer 程式, 並勾取永遠用這個
程式來開啟的選項。
 
> 謝謝@@
> 另,我這樣的情況應該不會整台電腦都有問題了吧?
> 擔心中

 
這應該下載最新的病毒碼與惡意程式碼規則檔來掃掃看。
 
 
--
 
  ∮ http://blog.sina.com.tw/verklarung               ˍ
  ∮ http://bbs.ntu.edu.tw/cgi-bin/readgem.cgi?board=PC&type=index ▕皮▏
                                    ̄
--
☆ [Origin:椰林風情] [From: 61-30-0-7.dynamic.tfn.net.t] [Login: **] [Post: **]
 
 
[by Peter_Lin|PC board|Re: 發現病毒並殺掉之後|Sat.Feb.16.06:35:31.2008]
 
==> zion (隨時隨地再出發) 提到:
> ==> Peter_Lin (◇ 理性之鬱 ◇) 提到:
> > 不知下面的方法有無幫助:
> > 在開啟檔案的框中, 選擇 Explorer 程式, 並勾取永遠用這個
> > 程式來開啟的選項。
> 問題在於不知道為什麼我沒有辦法勾取永遠用這個程式開啟
> 是什麼地方被鎖住了嗎?

 
因為它已經是預設值了...
 
> 唉,我好笨
> 不過是個隨身碟罷了
> 我把資料拿了出來,格式化了就好了~
> 就是不知道以後碰上類似事情該怎麼辦就是了

 
通常會發生這種現象時, 大概是因為 Autorun 類型的病毒已
經入侵磁碟了, 然後掃毒軟體或你自己殺掉了病毒程式本身,
但 autorun.inf 檔沒刪掉, 才找不到正確的開啟方法。
 
倒不用格式化, 既然病毒本身已被偵測到且刪掉了, 就再檢查
每台磁碟機(或隨身碟)根資料夾下有沒有 autorun.inf (用來
啟動病毒的), 有的話將之刪除或改名掉, 檔案總管就不會再
受干擾了。
 
若要預防 Autorun 病毒, 再用登錄編輯器, 加入以下登錄值:
 
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 名稱:NoDriveTypeAutoRun, 型態:REG_DWORD, 值:0x000000df
 
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 名稱:NoDriveTypeAutoRun, 型態:REG_DWORD, 值:0x000000df
 
 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
 名稱:NoDriveTypeAutoRun, 型態:REG_DWORD, 值:0x000000df
 
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
 清空裏面的值即可, 若不存在, 就建立此機碼。
 
如此可關掉常成為惡意程式傳染途徑的「自動撥放」觸發機制
, 就不會執行 autorun.inf 了。
 
 
※再舉一實例, 展示 Autorun 病毒的具體清除過程:
 
某日, 將記憶卡插入某部電腦後, 發覺根資料夾裏多了兩個檔
案:
 
 autorun.inf
 setup.exe
 
顯然有程式在搞鬼, 但掃毒軟體皆掃不到異狀。於是在檔案總
管裏使用 [搜尋] 功能, 在 C:\WINDOWS\system32\_tdiserv_\
發覺此一 setup.exe 檔的複本, 該資料夾並存在兩檔:
 
 TDI95DEV.VXD
 _tdicli_.exe
 
不論是在檔案總管、系統登錄檔、工作管理員裏皆無法顯示它
們的蹤跡, 心知是 TDI95DEV.VXD 以驅動程式的方式把它們給
隱蔵起來, 這是一種 rootkit 的技術應用。
 
先在搜尋結果裏將兩檔改名, 再重開機, 它們便不會載入了。
再用先前掃不到的 Trend Micro System Cleaner (sysclean.
exe)及 Spybot - S&D 重掃已可正常存取的 _tdiserv_\ 資料
夾, 確認得的是 WORM_TDIROOT.E 蠕蟲, 乃把該資料夾及指向
兩檔的登錄值給砍除, 此 Autorun 惡意程式於是清除完畢。
 
這隻蠕蟲在其資料夾內還發現有按鍵值的紀錄檔, 足見得它是
一隻按鍵側錄程式(keylogger)。所謂的 rootkit 技術, 是泛
指能獲得系統權限, 可以在 kernel space 執行、或者在檔案
系統及系統登錄檔裏把自己給隱匿起來的程式, 一般是以開機
時載入其虛擬驅動程式(.vxd)的方式來做到的。它因而可避過
防毒軟體的掃描, 通常可試著在「安全模式」未載入非基本驅
動程式的情況下來掃掃看。
 
在 Windows NT 系列 OS 之上, 其實只要效法 Linux 的習慣,
在日常操作與上網時只使用非管理員帳號, 就可以在非具系統
漏洞的條件下免於 rootkit 的入侵了。不過大多數 Windows
的使用者, 可能是為了便利、或者是不了解箇中風險, 普遍使
用具有管理員權限的帳戶來上網與執行軟體, 那會被殖入連掃
毒軟體都掃不出來的惡意程式也就難免了。
 
 
--
 
  ∮ http://blog.sina.com.tw/verklarung               ˍ
 
--
☆ [Origin:椰林風情] [From: 61-30-0-5.dynamic.tfn.net.t] [Login: **] [Post: **]

發表於 March 8, 2008 06:17 AM
| 未分類文章◎器物利用[] | 回應 [] | 引用[] | 人氣 [] | 推薦 [] |

[語] Unicode-proprietary API ?←上一篇 │首頁│ 下一篇→[語] Mr. Peter_Lin對中文內碼、Unicode、和CCCII的看法