吳老師教學部落格

2007年6月9日 星期六

校園到處是隨身碟病毒與解毒步驟分享

校園到處是隨身碟病毒
內容於2007/04/02日發現此隨身碟病毒與svchost病毒作結合,
<病毒檔案包括;recycled資料夾底下之 INFO.exe及U.exe還有C:\WINDOWS\system資料夾底下的svchost.exe>
此病毒將造成隨身碟無法正常移除和開啟,並使硬碟讀取
資料時錯誤,出現藍色當機畫面!!!

解毒步驟分享:
1.先呼叫工作管理員(Ctrl+Alt+Delete)
2.在處理程序項目中,結束svchost.exe(但使用者名稱不
為system;network service以及local sevice)
3.此時請勿再使用右鍵兩下進入磁碟,需點擊右鍵再按開
啟進入(否則將再次運行病毒),接著刪除每個磁碟裡的
autorun.inf;Info.exe以及U.exe(隨身碟裡之檔案最好
先備份至硬碟)
4.再到C:\WINDOWS\system裡將偽裝的svchost刪除,記得
順便清空桌面資源回收筒裡的垃圾
5.最後在"開始"-->"執行"中輸入regedit,移動至
HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在右方欄位名稱為"資料"尋找有C:\WINDOWS \system\svchost.exe之字串值,找到後按右鍵"修改",將C:\WINDOWS\system\svchost.exe以及前面的逗號刪除,修改完按確定,最後關閉登錄編輯程式
PS:目前許多隨身碟病毒透過鎖定或自動刷新特定登錄檔,
導致電腦無法完全顯示隱藏檔,雖然可以至登錄檔修改強制顯示隱藏檔,但建議先利用搜尋之進階選項,將搜尋系統資料夾;收尋隱藏的檔案及資料夾;收尋子資料夾這三個選項打勾,這樣便可以看到病毒(有些病毒甚至會干擾搜尋過程,會自動點選搜尋按鈕,個人認為是要讓你不好輸入)


Re: 我是剛加入yahoo信箱被盜用受害者...

Re: 我是剛加入yahoo信箱被盜用受害者...
也是因為隨身碟病毒內容作怪的結果,
勞大的同學很多隨身碟中都有毒,來勞大使用後又傳給勞大的電腦。
結果又傳給別人,
別人回家就會用OUTLOOK EXPRESS寄信給所有人,
收到信的人執行附加檔,也中毒了。
這樣一直傳播下去。
目前防毒程式大多掃不到,卡巴可以。
症狀:
在隨身碟上建立 autorun.inf 的目錄,( 關於隨身碟上 autorun.inf 的自動執行問題,根據微軟官方說法預設是沒有作用的,網路上找了很多資料,包括我自己測試的結果,都試不出隨身碟上 autorun.inf 的自動執行的功能,但對於隨身碟上的病毒為何在使用者一插入的狀況下就會感染給電腦的情形也找不到答案,為了安全起見,我還是做了一些我自己也不搞不清楚的預防病毒措施!)

解毒方法1:
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-101715-5901-99

解毒方法2:
1 建立一批次檔檔名為 USB.bat 的自動執行檔,其檔案內容在下面.
2 將此 USB.bat 加入網域電腦的開機啟動執行指令碼的執行項目,
沒有加入網域的電腦則需個別執行此一檔案!

USB.bat 檔案內容:

代碼:

if exist c:\windows\ImmunizeUSB.bat goto yammy1

echo attrib /s /d I:\RECYCLED -h -r -s > c:\windows\ImmunizeUSB.bat
echo rd /q /s I:\RECYCLED >> c:\windows\ImmunizeUSB.bat
echo echo immunize virus use only ! ^> I:\RECYCLED >> c:\windows\ImmunizeUSB.bat
echo attrib I:\RECYCLED +h +r +s >> c:\windows\ImmunizeUSB.bat
echo attrib /s /d I:\RECYCLER -h -r -s >> c:\windows\ImmunizeUSB.bat
echo rd /q /s I:\RECYCLER >> c:\windows\ImmunizeUSB.bat
echo echo immunize virus use only ! ^> I:\RECYCLER >> c:\windows\ImmunizeUSB.bat
echo attrib I:\RECYCLER +h +r +s >> c:\windows\ImmunizeUSB.bat
echo attrib I:\autorun.inf -h -r -s >> c:\windows\ImmunizeUSB.bat
echo del /q I:\autorun.inf >> c:\windows\ImmunizeUSB.bat
echo mkdir I:\autorun.inf >> c:\windows\ImmunizeUSB.bat
echo attrib I:\autorun.inf +h +r +s >> c:\windows\ImmunizeUSB.bat

REM 隨身碟磁碟機代號這裡為 I: ,請視實際環境調整
REM 以小弟服務的單位,我總共對 E: ,F: ,G: ,H: ,I: ,J: 共6個磁碟機進行此一動作
REM 反正即使磁碟機不存在或不是隨身碟,執行此一動作並不會對系統有不好的影響!!
REM 請注意選定的磁碟機不可以有網路磁碟機!!(有什麼結果可以想看看!!)

:yammy1

if exist c:\windows\tasks\ImmunizeUSB.job goto yammy2

Schtasks /create /sc minute /mo 15 /ru system /st 08:23:00 /tn ImmunizeUSB /tr "c:\windows\ImmunizeUSB.bat"

REM 每15分鐘執行一次,並使用系統帳號執行,以確保排[禾呈]工作可以被執行!
REM 此一工作執行得很快,占用系統資源極低,
REM [禾呈]式執行時不會有任何畫面出[王見]( schedule task )
REM 給它5分鐘執行一次沒關係(我們單位就是排定每5分鐘執行一次!),
REM 而且病毒很討厭,所以頻率上可以密集一些!!
REM 如果您的排定工作無法執行,請檢查
REM HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
REM 裡的 limitblankpassworduse 值需為 " 0 " 方可執行!

:yammy2

更多影音教學與討論,請上[溫馨論壇]

如何檢查隨身碟是否中毒

如何檢查隨身碟是否中毒
隨身碟病毒肆虐,大家小心使用,並檢查是否中毒
因為,最近身邊很多人都中毒了,而且工程師來處理卻說只能夠重灌。
這隻病毒非常狠,它是靠隨身碟來散播的,請大家一定要注意!!
(確定 PC-Cillin 最新的病毒碼:2006/11/30最新病毒碼是 3.971.00是無法預防和解除的!)

病毒散播路徑:
已經中毒電腦 ==> 隨身碟 ==> 下一台無辜的電腦 ==> 隨身碟....

因為,目前該病毒似乎無解,只要隨身碟一插到已經中毒的電腦,
那就會立即感染隨身碟,而這隻隨身碟在插入下一台乾淨的電腦時,
就會立即再產生感染,換句話說,當你還沒有發現它,它就已經感染了你的乾淨的電腦!!
換句話說,一旦感染了,就會繼續感染下去......
現在,比較安全的話,就是暫時不要使用隨身碟來和其他人交換檔案。
另外,也請教其他的高手,看看有沒有更好的預防和解決方式!!
各位可以檢查自己的隨身碟裡面是否有出現以下檔案,如果有的話,
你的電腦和拇指碟已經中毒了。

因為該病毒會把自己給藏起來,所以使用檔案總管是看不到的,可以參考以下
的檢查步驟來確認:
1. 開始 => 執行
2. 輸入 "cmd"
3, 這個時候 Windows 會開啟"命令提示字元"
4. 請切換到隨身碟的目錄 (例如:拇指碟在 E 槽的話就輸入 E:)
5. 接下來輸入 dir /a:h

如果有看到 autorun.inf (檔案) 而且你根本不認識它,
而且也無法將之刪除,那就非常可能是已經中毒!
伴隨著 autorun.inf 的出現,dir /a:h 也可能會有看到 Recycler 這個目錄...

要將隨身碟上的病毒刪除,可以參考下面這篇....

http://blog.hhjh.chc.edu.tw/index.php?op=ViewArticle&articleId=2802&blogId=410

切記,因為該病毒非常強大,在沒有把病毒清除乾淨之前,
一定/絕對不要把該隨身碟插到其他的電腦上使用,否則會繼續的散播到其它的電腦。
另外,這段時期裡,只要隨身碟有在其他的電腦使用過,都要記得按照以上的步驟檢查過再拔除,否則一旦中毒,拿回到自己的電腦使用時,就會讓自己的電腦受到感染。

硬體裝修丙級免費線上影音教學
http://terry55wu.blogspot.tw/2009/05/blog-post.html

丙級硬體裝修通過經驗影音分享
http://terry55wu.blogspot.tw/2012/02/httpterry55wu.html

賀喜學員有為一個月快速取得丙級硬體裝修證照
http://terry55wu.blogspot.com/2010/08/blog-post.html

如何更換CPU?我的CPU換囉!!
http://terry55wu.blogspot.tw/2009/09/cpucpu.html

虛擬電腦 VITUAL PC 2007 使用說明
http://terry55wu.blogspot.tw/2009/06/vitual-pc-2007.html

資料夾.EXE病毒解毒流程(有線上影音教學)
http://terry55wu.blogspot.tw/2009/06/blog-post_14.html

如何檢查隨身碟是否中毒
http://terry55wu.blogspot.tw/2007/06/blog-post_09.html

個人電腦的防毒防駭
http://terry55wu.blogspot.tw/2007/06/blog-post_7990.html

隨身碟在「我的電腦」中打開,無法存取

隨身碟在「我的電腦」中打開,無法存取

硬體裝修丙級免費線上影音教學
http://terry55wu.blogspot.tw/2009/05/blog-post.html

丙級硬體裝修通過經驗影音分享
http://terry55wu.blogspot.tw/2012/02/httpterry55wu.html

賀喜學員有為一個月快速取得丙級硬體裝修證照
http://terry55wu.blogspot.com/2010/08/blog-post.html

如何更換CPU?我的CPU換囉!!
http://terry55wu.blogspot.tw/2009/09/cpucpu.html

虛擬電腦 VITUAL PC 2007 使用說明
http://terry55wu.blogspot.tw/2009/06/vitual-pc-2007.html

資料夾.EXE病毒解毒流程(有線上影音教學)
http://terry55wu.blogspot.tw/2009/06/blog-post_14.html

如何檢查隨身碟是否中毒
http://terry55wu.blogspot.tw/2007/06/blog-post_09.html

個人電腦的防毒防駭
http://terry55wu.blogspot.tw/2007/06/blog-post_7990.html

若不是硬體的問題(隨身碟也是會壞的)
且使用檔案總管又可以看到的的話,那就是中毒了。
我找到了解決的方式了,如下:
你中的病毒我也中了,這支病毒很頑強,通常會使隨身碟或是外接式隨身硬碟無法使用"我的電腦"打開.以下是我的抗戰經驗,我的作業系統是Win XP:
[趨勢病毒名稱]:
WORM_VB.YQ
需使用最新病毒碼才能發現,目前為止只能手動完全清除.
[病毒特性]
高度傳染性,具高度潛在破壞性,由於隨身碟風行,所以是難以抵擋再次被感染.
[病毒運作模式]
似乎是利用inetsrv.exe掩護位於隨身碟的driveinfo.exe driveinfo.sdc voinfo.dll autorun.inf,這些檔案被系統保護住,需要將「工具」裡的「資料夾選項」的「檢視」,將裡面的「隱藏保護的作業系統檔案」打勾去除才能看到這些 檔。
inetsrv.exe 位於XP的System32下,有時候沒有,有時候是資料夾形式,按Ctrl+Shift+Esc可以看到正在運行。
driveinfo.exe driveinfo.sdc voinfo.dll 位於隨身碟的Recycled目錄
autorun.inf 隨身碟的根目錄。
[病毒發作]
這些病毒互相掩護,所以砍掉任一邊都有可能再度傳染,會讓你無法直接利用「我的電腦」打開這個硬碟代號(出現存取被拒或拒絕存取等字樣),但是使用檔案總 管還是可以打開,Format該磁碟後就可以恢復.(Format可能也無法順利進行,可以利用DOS模式Format該磁碟,會提示移除控制碼,然後可 以Format,但是這並非正規做法)
[我的解法]
1.根據趨勢的解法需要解除系統還原,這也會將之前所有還原點給刪除,這是令人討厭的第一個步驟,目前我還在考慮要不要放棄多年的備份還原點.(在我的電腦上按右鍵點內容及可看到系統還原項目)
2.重開機按F8進去安全模式
3.按Ctrl+Shift+Esc打開工作管理員,將inetsrv.exe程序關掉
4.搜尋硬碟裡的inetsrv.*並且刪除
5. 這一項是解除感感染的外接磁碟,插上可能感染的隨身碟與隨身硬碟,利用「檔案總管」來找到以下檔案並刪除driveinfo.exe driveinfo.sdc voinfo.dll (位於隨身碟的Recycled目錄)與autorun.inf(此檔案並非都是病毒,打開內容有
[AutoRun]
Open=.RecycledDriveinfo.exe
ShellOpenCommand=.RecycledDriveinfo.exe就是感染的狀況 )
6.打開regedit,
尋找有關"inetsrv" "driveinfo" "voinfo"的機碼/值/資料並且刪掉.
7.重開機,看看inetsrv是否有被真正刪除(叫出工作管理員看看並且使用趨勢掃描)
[參考資料]
http://forum.icst.org.tw/phpBB2/viewtopic.php?t=10273
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FVB%2EYQ&VSect=Sn
http://tw.knowledge.yahoo.com/question/?qid=1206060908898#answers
2006-06-22 15:09 補充
會不會發作要看你清的乾淨不乾淨,如果你在Recycled目錄下看不到相關程式,那這個磁碟就是乾淨了,另外SD/CF卡與其他種DSC的記憶卡都會中這個毒,你可以一個一個刪掉。
或是你沒有將「工具」裡的「資料夾選項」的「檢視」,將裡面的「隱藏保護的作業系統檔案」打勾去除才能看到這些檔。
資料來源:
http://tw.knowledge.yahoo.com/question/?qid=1306061813021


2007年5月11日 星期五

070512 VB2005教學補充

4-3 介面與實作




4-2能力的繼承





4-1 建構物件的第一次





Function(函數)敘述





Sub(副程式)敘述





For Each ... In ... Next敘述





For ... To ... Next敘述





VB6轉VB.Net VB內建函數的使用





如何自動寄出電子郵件 (使用 Microsoft MAPI Co




如何使用 Microsoft MAPI Control 控制元件