技術園地 - USB 病毒徹底完封攻略 - 把脈篇

技術園地 - USB 病毒徹底完封攻略 - 把脈篇 2008/07/03

前言：面對「死皮賴臉」的USB病毒，或許沒有徹底根絕的方法，不過，藉由各式各樣縱橫交錯的設定與工具，仍可將這類病毒所帶來的風險，盡可能降至最低程度，其中最重要且必須特別強調的是，由於隨身碟與電腦兩端會相互交叉感染，所以，務必將兩端都清除乾淨才行。

相信經常使用USB隨身碟或記憶卡的人，或多或少都曾與USB病毒打過交道，一旦誤用了中毒的隨身碟，電腦很可能也隨之中毒，即使解決了隨身碟內的病毒，但是中毒的電腦還是會將病毒感染給隨身碟，不斷的惡性循環。

由於一般防毒軟體無法完全偵測USB病毒，亦難將其清除乾淨，就算全都解決了，還是難保隨身碟不會再次染毒、又再度回傳給電腦，更可怕的是，USB病毒本身可透過網路下載自我更新，如果企業或學校內網中任何1台電腦遭到感染，抑或有人使用中毒隨身碟，勢必會進一步釀成大規模的疫情爆發事件。沒完沒了的USB病毒往往讓受害者(尤其是IT管理人員)感到心力交瘁。

「USB病毒徹底完封攻略」將從USB病毒的中毒症狀開始談起，以協助讀者自我判定是否中毒，接著再分別從隨身碟及電腦兩端探討可行的防毒之道，最後則將重點放在一旦中毒之後，有哪些良方妙藥可以起死回生，透過「把脈篇」、「預防篇」與「根除篇」3個單元分別討論，本週先從「把脈篇」開始。

USB病毒的可能中毒症狀

凡走過必留下痕跡，凡中毒也必有症狀可尋，這類USB病毒是以竊取使用者的機密為主要目的，通常都格外低調，但狐狸終會露出尾巴，以下列舉幾種USB病毒中毒後可能產生的狀況：

1、磁碟或隨身碟無法開啟，並出現「插入磁片」或「無法存取指定的裝置」等畫面。


圖說：電腦畫面顯示「插入磁片」。 

圖說：也可能顯示「無法存取指定的裝置」。

2、隨身碟安插之際可用，一旦關閉該磁碟視窗後，再點取「我的電腦」中的「卸除式磁碟」圖示，卻無法開啟；但若拔除隨身碟之後再插入，又立即跳出自動執行畫面，再度可以使用。

圖說：原本無法開啟的隨身碟，拔除之後再插入，又會出現自動執行畫面。

3、在「我的電腦」中無法開啟某磁碟，但是點選滑鼠右鍵中的「開啟」選項，卻可以打開。

4、只能透過「檔案總管」開啟隨身碟或磁碟。

5、無論如何都無法顯示隱藏檔，即使進入「我的電腦＼工具＼資料夾選項＼檢視」中，取消勾選「隱藏已知檔案類型的副檔名」、「隱藏保護的作業系統檔案(建議使用)」，並勾選「顯示所有檔案和資料夾」，待設定完成後再次進入，會發現剛才的設定全都跑掉。


圖說：一旦中了USB病毒，即使勾選「顯示所有檔案和資料夾」，仍然不能解決無法顯示隱藏檔的問題。

6、每次開機時會出現kavo.exe、svchost.exe應用程式錯誤、記憶體不能為read或written、0x000000記憶體不能為Read等視窗。


圖說：中了USB病毒後，每次開機可能出現「svchost.exe應用程式錯誤」。


圖說：也可能出現「kavo.exe應用程式錯誤」。

7、其他可能狀況：即時通訊自動關閉、防毒軟體無法執行開啟、電腦執行變慢、上網變慢、系統自動更新失效…等。

自我檢查是否已中毒

如果電腦出現上述任何1種不尋常的症狀，使用者就有必要懷疑自己的電腦可能中毒，此時可嘗試透過接下來將介紹的幾種方法進一步檢查，以確定中毒與否。

不過在檢查之前，必須先將系統中所有被隱藏起來的檔案顯現出來，使用者可進入「我的電腦＼工具＼資料夾選項＼檢視」中，取消勾選「隱藏已知檔案類型的副檔名」、「隱藏保護的作業系統檔案(建議使用) 」、「不顯示隱藏的檔案和資料夾」，改勾選「顯示所有檔案和資料夾」，接著即可進行檢查。

1、檢查隨身碟或各磁碟區(c:、d:、e:....)下的根目錄中，是否有autorun.inf隱藏檔或其他可疑檔(可疑檔請參考文末之「USB病毒可能名稱及所在位置」)，有的話即表示中毒。


圖說：發現autorun.inf隱藏檔即表示已中毒。

2、檢查c磁碟機下的根目錄、c:\windows、c:\windows\system、c:\windows\system32、c:\windows\debug等目錄，是否有autorun.inf隱藏檔或其他可疑檔。

3、透過檔案總管瀏覽每個磁碟不見得能看到USB病毒檔，而且也不利於快速瀏覽，建議使用者可在「命令提示字元」中瀏覽。

(1) 首先進入開始功能表，點選「執行」並輸入「cmd」指令，即可進入命令提示字元視窗。


圖說：於「執行」視窗中輸入「cmd」指令。

(2) 接著輸入「dir/a X: 」(X為磁碟機代號)，若出現autorun.inf即表示中毒，但也有可能是使用者自行建立的，可進一步確認。

4、若發現autorun.inf，但不確認是否為病毒，可在命令提示字元下輸入「type c:\autorun.inf」以顯示該檔案內容，或乾脆直接雙擊開啟之，若出現下圖所示的內容，抑或內容中含有其他.exe、.com、.bat等執行檔，即表示已中毒。不過，Type指令無法顯示使用者自建autorun.inf資料夾的內容，而只會顯示autorun.inf檔案的內容。


圖說：autorun.inf檔案內容。

5、打開「我的電腦」，將游標指向磁碟機或卸除式磁碟機，並按下滑鼠右鍵，如果清單中出現「自動播放」且為粗體形式，即表示已經中毒。

◎USB病毒可能名稱及所在位置

•隨身碟及磁碟根目錄：autorun.inf、recycler、autorun.exe、Usbmons.dll、kb2006a、RavMon.exe、ntdelect.com、ntdeIect.com、tel.xls.exe、desktop.exe、desktop2.exe、folder.exe、recycledINFO.exe、recycledDriveinfo.exe

•c:\windows\system32目錄：Usbmons.dll、Usbmons.exe、inetsrv.exe、kavo.exe、kavo1.dll、kavo0.dll、kavoX.dll

•c:\windows目錄：svchost.exe、svchost.ini、taso.exe、ubs.exe

•c:\windows\system目錄：svchost.exe

•c:\windows\debug目錄：*.exe、*.dll(*表任何亂數)

•登錄檔機碼：mdm.exe或其他

• 評分
• 轉寄
• 收藏
• 關鍵字
• 列印
• 檔案說明

0.00 0 votes

1

3

5

7

9

請按數字進行評分

請以１～９的評分代表由負面到正面的感受，統計數據將決定資訊的參考價值。謝謝！

寄件者：	為避免成為廣告信跳板，本功能限會員使用！加入會員
收件者：
留言：
	處理中...

未分類，請於上列欄位中新增分類名稱！

1 票 USB 1 票 病毒

關鍵字建檔說明 關鍵字是您認定內容相關性或方便記憶、搜尋的用詞。 以名詞為主，避免用詞習慣的差異。 設定欄位上方為目前的關鍵字詞及得票數。 被勾選的關鍵字代表您所投的認同票。 您可勾選這些選項，或由設定欄中新增更多關鍵字。 新增關鍵字時，請以空白或斷行來區隔關鍵字。 為了更容易取得相關資訊，請大家協助建檔，謝謝！

顯示／隱藏 列印 列印提示

1. 您可以點擊右方的「顯示／隱藏」鏈結來隱藏不相關的內容。
2. 內容確認後，點擊右方的「列印」鏈結或瀏覽器之列印鍵即可。
3. 完成後，顯示被隱藏的內容即可繼續瀏覽。

◎附加檔案 中的附件有三種不同的呈現方式，均限會員使用：

1. 圖檔類型 以縮圖方式呈現，點縮圖後會浮現原尺寸圖檔！
2. 檔案類型 以檔名方式呈現，建議先另存新檔，再開啟瀏覽！
3. FLV類型 支援線上瀏覽模式，請按檔名前方的圓型箭頭；按檔名則是另存新檔。
4. 檔案開不了怎麼辦？請參考「Office 檔案開不了怎麼辦？」
5. 郵件容量超出 50MB 時，為了節省網站營運成本，僅提供下列會員使用：
   • 贊助會員 ─── 贊助網站營運基金之會員（一天一元）詳細內容
   • 分享會員 ─── 長期且持續分享，半年內超過 100 篇以上者 詳細內容