JSY的拾掇ㄉㄨㄛˊ

 USB病毒防治要點

一、 何謂USB病毒
病毒透過USB可攜式裝置散播，受感染的電腦在各磁碟機會產生autorun.inf檔案，當使用者在磁碟機的圖示上點兩下，便會執行autorun.inf與病毒檔案，倘若在受感染的電腦上使用USB可攜裝置，便會將病毒檔案與autorun.inf複製到USB裝置內，當該裝置插入其他電腦使用時，因為自動播放功能會自動執行autorun.inf，病毒便可再次感染其他電腦

二、 USB病毒特性
常見的病毒檔案為kavo.exe、ntdelect.com、kavo1.dll（1可能為其他數字）、ubs.exe，並在各磁碟機下產生autorun.inf檔案，而autorun.inf通常為隱藏檔。感染病毒後系統無法勾選顯示隱藏檔的選項，藉以避免使用者發現病毒檔案。

三、 如何恢復系統設定
當防毒軟體刪除病毒檔案後，因為autorun.inf依舊存在在電腦，使用者會無法使用點兩下的方式瀏覽各磁碟機，會出現以下圖示：

要解決上述狀況，必須刪除autorun.inf。

四、 解決方案

1. 少數用戶端處理方式－KAVOREMOVE.zip：
   將kavoremove.zip檔案解壓縮至暫存資料夾，解壓縮密碼為novirus，解壓縮後請進入安全模式後依序執行下列檔案
   
   
   
   • kavoremove.exe
     此檔案會刪除下列病毒檔案：
     
     
     
     • 所有磁區的autorun.inf、ntdelete.com、ntdelect.com
       
     • %windir%\system32\下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe、kavo0~9.dll、taso0~9.dll
       
     • %windir%\system\ 下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe、kavo0~9.dll、taso0~9.dll
       
     • Documents and Settings\Administrator\Local Settings\Temp\*.*
       
     • %windir%\temp\下的 kavo.exe、ubs.exe、poor.exe、shareb.exe、goods.exe、taso.exe、winpows.exe、fly.exe
       
       
     
     
   • Fixreg.exe
     此檔案會刪除病毒產生的機碼，執行之前請先備份機碼
     
     
     
   • 恢復隱藏檔機碼.exe
     執行該檔案可修正系統無法選取顯示隱藏檔的功能