因為有用kavo killer 做磁碟免疫
每次進根目錄,訊息都會跳出來(第十版的字變的好小,都要看不清楚了)
可以手動把他關掉,如下圖
Block autostart function 的選項不要打勾
相機出現記憶卡無法寫入,當下覺得怪怪的,想說那放到電腦上format一下看看好了,結果不插還好,一插就不得了,這時symantec突然出現病毒訊息,險示某個檔案被block,本想說symantec抓到了就不理它,可是後來每次開機都會出現該視窗的時後我就知到大事不妙,因為symantec只抓的到它,但是清不掉它,這下惡夢開始了
後來又下載小紅傘來,結果更慘,每幾分鐘就開始嗶嗶嗶叫,一直在各個硬碟槽抓到一個叫6tkoyhx.cmd的檔案說有病毒,然後上網找資訊,結果google沒有這個檔的資訊,唯一找到的一則資訊是在yahoo知識裡,也是在發問的,後來回想看看為什麼會中毒,在上網查了資料,應該是最近流行的USB病毒,所以開始往kavo,kxvo,jvvo這個病毒方面找,然後花了整個下午最後好像才把電腦搞定,以下是我解毒的步驟
1.先去下載一個叫PREVX CSI的軟體,這軟體是用來scan惡意軟體的,因為它清除檔案要錢,所以我只是用來確認有幾個惡意檔案,下面就是在我電腦裡找到的惡意軟體,清完病毒後就可以去新增/移除裡移掉這個軟體了
2.然後到這裡去下載ELfix和EFix這兩個檔案
3.到安全模式,然後到regedit裡去找上面幾個檔案登錄的位置,當然啦,都是在Run裡找到的,難怪一開機就自動執行起來,找到後就砍砍光吧,我被植入kxvo跟jvvo兩隻
4.在安全模式,執行這兩個檔,ELfix會殺掉每個槽下的6tkoyhx.cmd檔跟autorun.ini檔,EFix會殺掉上面那些exe跟dll檔
5.在安全模式再用小紅傘作一次full scan後再開機到正常模式後,我的小紅傘就沒有再哀嚎了
另外可以的話把Spybot - Search & Destroy這套裝一裝,它在我還沒移除病毒時有檔到jvvo和kxvo要寫我的regedit,可以防登錄檔被修改
小紅傘 v10----AutoStart防護
至少我印象中好像在v8跟v9沒看到過
AutoStart,照翻是自動開始
但,我原本以為跟autoplay跟autorun一樣,是不同的東西…
但,昨天幫人掃毒,我發現我的認知錯了…
AutoStart就是autoplay+autorun
怎麼開啟?
進入V10的組態設定,開啟專家模式(Expert mode),拉開「Guard」的「Scan」,點「Further actions(附加/額外行為)」
進入後會看到它分上下二部份,上面是EventLog的enable
下面就是我說的AutoStart防護…
「Block autostart function」----阻擋自動開始(play and run)
上面打勾之後,就會多跑出一個可以勾選的
「Exclude CDs and DVDs」----把CD/DVD裝置排除在防護之外
我的建議是…只勾Block autostart function就好
而他的阻擋方式也挺有意思的…至少我發現他的方式跟一般的方式不太一樣
一般來說,比較多的防kavo或usb病毒偵測,是先找裝置有沒有autorun.inf或autorun.ini
效率比較勤快的,是抓到有這二個檔就會告訴你「疑似」有問題
那比較進一步的,找到這個檔之後,就把這二個檔做分析,如果裡面有會去「執行執行檔」的,那就告讓你「疑似」有問題
為什麼我上面會用「疑似」?
因為,autorun不一定只有病毒會用,一般人也可以自己寫…所以autorun會去執行的檔案不一定是virus…
而防毒軟體(Anti-virus)所做的是
它一樣先做上面的找autorun.inf/ini的動作,然後接著就做分析檔案看會不會去「執行執行檔」…接著就向比較高階(或貴)的防軟一樣,會把這一些會被執行的檔案做病毒掃描…有病毒就跳出訊息…問你要不要刪(或有的直接就先幫你刪掉…像卡巴)
但小紅傘就不一樣在最後的地方
它偵測會隨autorun執行的檔案是有毒的時候,它跳出資訊先告知你連接上電腦的裝置是帶有惡意軟體的…然後,它就會馬上把autorun.inf/ini的檔案屬性在你要去開啟之前都鎖定,讓電腦會因為此檔案權限不足而不會去執行…
接著,你就要自己做裝置的掃描,把帶有病毒或惡意的軟體給清除掉…
這就是為什麼要開專家模式才會有這個選項,因為,他還是把處理的權力交給使用者。
(不過,我覺得應該勾選了Block autostart function之後,只要是插入的裝置會自動啟用的,小紅傘就會先把特定的檔案給block掉…不一定是只有autorun.inf/ini…不過它用權限的方式來鎖定也蠻特別的)
留言列表
{{ article.title }}
