最近本人處理不少送修的電腦!
部份電腦重灌處理後,仍有問題發生,為此本人花不少時間,終於找到問題點!
部份電腦重灌處理後,仍有問題發生,為此本人花不少時間,終於找到問題點!
除硬體因素外(本人正努力學習中),其實大部份中了隨身碟系列病毒,而這系列病毒不只是讓防毒軟體嗶嗶嗶,更是被他搞到當機!
最可怕的就是造成顯示卡驅動損壞及網路不通!
(最近頻繁發生,甚至於造成公司電腦中毒!故寫此文發表及討論)
而這隻病毒最常傳輸的方式就是透過隨身碟傳輸,所以為了怕病毒快速傳輸,建議大家必須關閉隨身碟自動播放的功能!
關閉隨身碟自動播放的功能方法:
利用群組原則嵌入式管理單元(gpedit.msc) 。
「開始」->「執行」->輸入框裡輸入「gpedit.msc」
「使用者設定」->「系統管理範本」->「系統」->「停用自動播放」(關閉自動播放)
點選「已啟用」
使用自動播放在:選「所有磁碟機」
設定完成後,重新開機。
利用群組原則嵌入式管理單元(gpedit.msc) 。
「開始」->「執行」->輸入框裡輸入「gpedit.msc」
「使用者設定」->「系統管理範本」->「系統」->「停用自動播放」(關閉自動播放)
點選「已啟用」
使用自動播放在:選「所有磁碟機」
設定完成後,重新開機。
言歸正傳
原kavo系列病毒會修改vga.sys造成預設顯示卡驅動損壞,替換掉之後如果你系統內有回復檔案的話系統會自行嘗試回復!
如果沒有的話系統會嘗試要你放入安裝光碟片補回該檔案!
但如果你系統內回復機制關閉的話,該檔案就會被蓋掉!
此檔案會造成如果你系統內如果沒有另外安裝顯示卡驅動程式的話,會沒辦法開機,連安全模式也是!
除此之外目前還會修改tdi.sys和tcpip.sys,會造成網路無法使用!
所以解決方式為到正常的電腦尋找下列檔案
windows\system32\drivers.\tdi.sys
windows\system32\drivers\tcpip.sys
windows\system32\drivers\psched.sys
將其複製到網路受損的電腦上將原檔案覆蓋之後重開機即可 (請注意要將他複製在同樣位置)
原kavo系列病毒會修改vga.sys造成預設顯示卡驅動損壞,替換掉之後如果你系統內有回復檔案的話系統會自行嘗試回復!
如果沒有的話系統會嘗試要你放入安裝光碟片補回該檔案!
但如果你系統內回復機制關閉的話,該檔案就會被蓋掉!
此檔案會造成如果你系統內如果沒有另外安裝顯示卡驅動程式的話,會沒辦法開機,連安全模式也是!
除此之外目前還會修改tdi.sys和tcpip.sys,會造成網路無法使用!
所以解決方式為到正常的電腦尋找下列檔案
windows\system32\drivers.\tdi.sys
windows\system32\drivers\tcpip.sys
windows\system32\drivers\psched.sys
將其複製到網路受損的電腦上將原檔案覆蓋之後重開機即可 (請注意要將他複製在同樣位置)
但我今天有碰到kavo系列有比較不太一樣的變種,由於並沒有在EFix清單內 (目前為4.71版)
所以之前的版本執行基本上沒效!
先說特徵
會在[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
登錄檔中建立一個jvsoft的值,並將檔案對應到
C:\WINDOWS\system32\j3ewro.exe
並且會有以下檔案
C:\WINDOWS\system32\jwedsfdo0.dll
C:\WINDOWS\system32\jwedsfdo1.dll
C:\WINDOWS\system32\jwedsfdo2.dll
以上從do0.dll到do9.dll或更多沒測試,其餘動作和一般kavo一樣
詢問資安論壇的高手後,解決方式:
將底下的文字內容複製起來並存到記事本內
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"jvsoft"=-
File::
C:\WINDOWS\system32\jwedsfdo0.dll
C:\WINDOWS\system32\jwedsfdo1.dll
C:\WINDOWS\system32\j3ewro.exe
然後儲存檔案
檔案名稱取名為EScript.txt
檔案類型選所有檔案
編碼選ANSI
選好後存檔
然後將EScript圖示拖曳到EFix圖示上放開
之後依照指示動作,跑完後基本上即可。
所以之前的版本執行基本上沒效!
先說特徵
會在[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
登錄檔中建立一個jvsoft的值,並將檔案對應到
C:\WINDOWS\system32\j3ewro.exe
並且會有以下檔案
C:\WINDOWS\system32\jwedsfdo0.dll
C:\WINDOWS\system32\jwedsfdo1.dll
C:\WINDOWS\system32\jwedsfdo2.dll
以上從do0.dll到do9.dll或更多沒測試,其餘動作和一般kavo一樣
詢問資安論壇的高手後,解決方式:
將底下的文字內容複製起來並存到記事本內
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"jvsoft"=-
File::
C:\WINDOWS\system32\jwedsfdo0.dll
C:\WINDOWS\system32\jwedsfdo1.dll
C:\WINDOWS\system32\j3ewro.exe
然後儲存檔案
檔案名稱取名為EScript.txt
檔案類型選所有檔案
編碼選ANSI
選好後存檔
然後將EScript圖示拖曳到EFix圖示上放開
之後依照指示動作,跑完後基本上即可。
之前修電腦,一看到中毒(有kavo以及其他種)
就去下載什麼kavo killer,批次刪除軟體EFix
可是這只是治標,不能治本!
而且隨時有新版隨身碟系列病毒,重灌c槽根本沒什麼意義,因為病毒可能在其他槽(包含隨身碟)
就去下載什麼kavo killer,批次刪除軟體EFix
可是這只是治標,不能治本!
而且隨時有新版隨身碟系列病毒,重灌c槽根本沒什麼意義,因為病毒可能在其他槽(包含隨身碟)
一定有人問
「為什麼安裝了防毒軟體還是會中隨身碟病毒?」
「網路上有很多避免隨身碟病毒的方法,真的有效嗎?」
「網友推薦多套防隨身碟病毒的軟體,哪一套最好用?」
在討論上述疑問之前,有必要先說明隨身碟常見的誤解。
「為什麼安裝了防毒軟體還是會中隨身碟病毒?」
「網路上有很多避免隨身碟病毒的方法,真的有效嗎?」
「網友推薦多套防隨身碟病毒的軟體,哪一套最好用?」
在討論上述疑問之前,有必要先說明隨身碟常見的誤解。
隨身碟正式的全名為「可攜式儲存設備」(Removable storage device),包含姆指碟、行動硬碟、記憶卡 (如 SD、CF 卡)、數位相機、數位 MP3 播放器、數位行動電話等設備。
所以並不是只有姆指碟是隨身碟,以上這些設備也都有感染隨身碟病毒的風險。
所以並不是只有姆指碟是隨身碟,以上這些設備也都有感染隨身碟病毒的風險。
網路流傳防隨身碟病毒方法實測結果:
方式一:建立 Autorun.inf 的唯讀資料夾
這招對較舊的隨身碟病毒有效,但拿新的USB病毒一點用也沒有!
這招對較舊的隨身碟病毒有效,但拿新的USB病毒一點用也沒有!
方式二:使用機碼 (Registry) 啟動隨身碟的唯讀功能
1. 在作業系統上設定 WriteProtect 且值為 1 的機碼。
2. 重新啟動電腦,使第一步驟生效。
3. 將病毒解壓縮至隨身碟第一層路徑內。
4. 重新插入隨身碟。
5. 開啟桌面「我的電腦」,並直接開啟隨身碟磁區。
6. 測試結果:測試病毒正常觸發,證明此方法無效。
1. 在作業系統上設定 WriteProtect 且值為 1 的機碼。
2. 重新啟動電腦,使第一步驟生效。
3. 將病毒解壓縮至隨身碟第一層路徑內。
4. 重新插入隨身碟。
5. 開啟桌面「我的電腦」,並直接開啟隨身碟磁區。
6. 測試結果:測試病毒正常觸發,證明此方法無效。
實際測試過這個方法,但步驟五本身就是一個不恰當的操作,所以證明此方法無效!
方式三:按住 Shift 鍵開啟隨身碟
1. 將病毒解壓縮至隨身碟第一層路徑內。
2. 重新插入隨身碟,同時按住 shift 鍵,停止自動播放(autoplay)。
3. 開啟桌面「我的電腦」,並直接開啟隨身碟磁區。
4. 測試結果:測試病毒正常觸發,證明此方法無效。
1. 將病毒解壓縮至隨身碟第一層路徑內。
2. 重新插入隨身碟,同時按住 shift 鍵,停止自動播放(autoplay)。
3. 開啟桌面「我的電腦」,並直接開啟隨身碟磁區。
4. 測試結果:測試病毒正常觸發,證明此方法無效。
按住 shift鍵僅是關閉自動播放 (autoplay),並不會停止自動運行 (autorun)功能,兩者是不一樣的。
測試結果:測試病毒正常觸發,證明此方法無效。
因為步驟三的操作不妥當,會中獎是理所當然的,但這個方法確實非人人適用!
有些隨身碟如果按住Shift,隨身碟圖示會跑不出來,一放開Shift就又得獎了!
測試結果:測試病毒正常觸發,證明此方法無效。
因為步驟三的操作不妥當,會中獎是理所當然的,但這個方法確實非人人適用!
有些隨身碟如果按住Shift,隨身碟圖示會跑不出來,一放開Shift就又得獎了!
但是一些使用習慣改善,至少能夠降低問題發生!
把隨身碟掛載到電腦之前,先確定該電腦是否沒有中毒?
儘可能不要在自己的電腦使用別人的隨身碟,或者是別人的電腦使用自己的隨身碟
如果真的有必要的話,記得千萬不要雙擊該隨身碟圖示來開啟。
如果只是要把資料 copy 到別的電腦,而不是要 copy 資料回來,最好把隨身碟設為唯讀狀態。設定方法請自行參考隨身碟的說明書。
使用電腦就一定要養成多做備份的習慣,這樣才不致於在資料損毀時而求助無門。
不過,把雞蛋放在不同的籃子,但放在同一張桌子上,似乎也一樣有點危險,所以,最好是採取異地備份的策略會好一點。
(資料備份在其他硬碟、隨身碟、光碟)
(資料備份在其他硬碟、隨身碟、光碟)
最後再次提醒大家,不要忘了資料的備份!備份!備份!備份!
建議此資訊可以分享給週遭朋友,降低類似問題的發生!
kavo killer,批次刪除軟體EFix 使用上注意事項:
目前只支援Windows XP 其他作業系統不支援或相容,未來有時間會加上去
此程式在一些防毒軟體上面可能會被誤判為病毒,因為程式內有打包Nirsoft的Nircmd ,此程式有強力的系統控制能力所以有些防毒廠商會判定為病毒,如果擔心有問題則請不要下載使用。
此程式會將除了作業系統用必要程式外的所有正在執行中程式直接關閉,所以請先行將您在作業中的資料儲存避免資料流失!
目前只支援Windows XP 其他作業系統不支援或相容,未來有時間會加上去
此程式在一些防毒軟體上面可能會被誤判為病毒,因為程式內有打包Nirsoft的Nircmd ,此程式有強力的系統控制能力所以有些防毒廠商會判定為病毒,如果擔心有問題則請不要下載使用。
此程式會將除了作業系統用必要程式外的所有正在執行中程式直接關閉,所以請先行將您在作業中的資料儲存避免資料流失!
快速清除隨身碟病毒的資料參考網址:
EFix 下載頁面和使用說明
http://reinfors.googlepages.com/efix
http://reinfors.googlepages.com/efix
全站熱搜
留言列表