----------------------------------------------------------------------

前幾天感染了一個spoolsv.exe的木馬病毒，怎麼殺都殺不掉，殺了又來，最後找了下，發現spoolsv.exe的最新變種目前還沒有哪個軟體能殺掉，因此，將解決方法發佈在這裡，希望對大家有幫助

spoolsv.exe是一種延緩列印木馬程序，它使電腦CPU使用率達到100%，從而使風扇保持高速嘈雜運轉。目前網上提供的方法或許能夠解決前期問題，但對最新的變種現象無能為力，
Ctrl+Alt+Delete停止spoolsv.exe執行工作

重新啟動電腦進入安全模式，在C:/windows/system32/移除spoolsv.exe(或可用搜尋方式移除C碟所有同名文件)

執行regedit，用尋找方式找到並移除所有spoolsv文件。

我的電腦點擊右鍵，選項管理，服務，禁用print spooler服務(目前網上提供的方法僅到此)

重新啟動電腦進入系統一般模式，你會發現電腦還是處於高速運轉，但在搜尋中已找不到任何spoolsv相關文件。

Ctrl+Alt+Delete，你可以在工作中找到一個名為inter的後台執行程序，將其關閉即可。

強烈建議在套用以上步驟解決問題之後，執行反木馬程序掃瞄並移除感染文件。



我自己的原創方法是:在桌面建一個TXT文件並顯示副檔名,改名為spools.exe後將文件內容改為唯讀,將這個假的病毒覆蓋c:\winnt\system32\spoolsv\的44K真病毒.
好了,重新啟動電腦.病毒沒了.


因為自己開機就回有不明的東西出站,ip好像是239.255.255.250(記不清),用ssg也報警有不明程序,所以上網查了一下找到這東西
spoolsv.exe是系統工作行程，用於將Windows印表機任務發送給本機印表機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的電腦，竊取密碼和個人資料。

兩者的區別在於，前者是在SYSTEM32目錄下，而木馬程式不在SYSTEM32目錄下，而是在其子目錄或其他目錄下。

別弄混了

 天啊！我的隨身碟又中毒了 文/蘇碩鈞 (記者) 2008-01-21

USB介面已是現在最常見的電腦周邊連接方式，在無法禁止員工使用的情況下，應如何確保不被感染呢？我們收集了12種防護招式，確保你的電腦不再遭受USB病毒所惱。


2007年是USB病毒頻頻肆虐的一年，這類型病毒已不是第一次發作，但現在病毒檔名與正常程式名稱極為類似，容易令人混淆外，還與Windows作業系統生生相息，就算手動刪除病毒，它還會自我繁衍，並從網路下載最新程式，以規避防毒軟體偵測。另外，它更利用電腦插入USB裝置時，Windows即自動播放程式的功能，讓病毒重複感染在電腦與USB裝置間，如此種種的手法，都擴大USB病毒影響的範圍。

 不易分析來源與感染途徑的USB病毒

何謂USB病毒？

顧名思義凡是從USB傳輸介面感染的病毒都算，也是因為現在USB介面應用日漸普及，加上Windows系統都預設自動播放，因而延伸出的這個感染路徑。 當電腦安裝USB儲存裝置時，Windows系統會自動尋找並執行autorun.inf程式，病毒就在autorun.inf中指向病毒執行檔的位置。最重要的是，在Windows作業系統預設情況下，當你插入USB設備至電腦時，就會自動執行這一連串的行為，如果沒有事先預防，電腦馬上就中毒。

2007年我們一直聽到USB病毒的感染事件，雖然災情不大，但一直不斷發生，當上網搜尋「USB病毒」時，就會發現有許多人都被此病毒所困擾，然而防毒軟體不一定能偵測出來的情況下，只能自力救濟。

「為什麼防毒軟體無法偵測病毒呢？」這是我們這次採訪多家企業的想法，資訊人員每天要處理的事情很多，原本最依賴的防毒系統無法立即防護，卻要上網找尋其他解決之道，而且USB裝置的方便性又不能禁止使用，都增加中毒的機率。我們也走訪了幾家企業，發現這病毒並不是普通的難纏，例如這半年來，亞力電機、臺北市政府捷運工程局都有10多臺電腦中毒，桃園縣政府教育局、臺北市立中崙高中則分別有20多臺和40多臺電腦中毒，研華公司情況最激烈，有200多臺電腦中毒，而且幾乎都是手動逐一處理，但又重複不斷感染，是一種很惱人的病毒事件。

其實這也與近年來病毒發展情況類似，病毒不像以往都以全球大規模感染，而是區域性小規模爆發為主，這也讓單靠特徵碼比對的防毒軟體措手不及。研華公司的中毒事件就是典型的案例。2007年10月底，當初新店分公司的員工開始有幾個人中毒，資訊人員原本不以為意，認為是小事件，防毒軟體應就可以處理，也開始搜查病毒來源，結果幾天之後，中毒電腦臺數越來越多，不到一周中毒電腦開始以等比級數向上攀升，全部集中在新店分公司，在同區域的員工電腦幾乎無一倖免，感染速度非常快。更可怕的是，防毒軟體無法解決，使用者卻一直通報中毒事件。研華資訊處高級工程師林明聰回憶當時的狀況說，資訊室人員不了解的問題太多：病毒來源為何？感染途徑是什麼？中了什麼病毒？要如何抑制疫情呢？

他們先從網路上尋找答案，結果才知道是網路上一直討論的「USB病毒」。

太多電腦周邊裝置使用USB介面
要判定是否感染這類病毒其實不難，就是當我們要從「我的電腦」點選各磁碟區（本機磁碟C：）時，卻會顯示「請選擇開啟檔案的程式」。明明只是進入磁碟區，為什麼會要求啟動應用程式呢？這也是當初研華員工電腦面臨的情況之一。

USB病毒也稱為隨身碟病毒，顧名思義是從USB傳輸介面感染，近來中毒情況越來越嚴重，也是因為USB介面的相關產品越來越多，舉凡隨身碟、外接式硬碟、MP3播放器、手機、GPS定位系統、數位相機及數位攝影機等，幾乎都是利用USB介面連接電腦，而且由於Windows作業系統內建 usbstor.sys USB驅動程式，只要插上USB裝置，電腦就會自動判斷然後存取檔案，特別在Windows XP之後的作業系統，能支援的USB裝置越來越多，各軟硬體廠商也多半依據標準USB介面開發系統。更重要的是，USB介面的裝置大多支援熱插拔，只要電腦具備usbstor.sys驅動程式，就能反覆插入不同電腦中存取，這便利性也讓病毒傳播更容易。

持續重複感染
支援USB介面的裝置，除了用來連接電腦外，這些產品本身也需要大量的儲存空間，因此多半內建儲存媒介，資料能存放在產品中，還能利用USB介面與電腦同步資料，確保一致性。

在Windows系統中，也將這些外接式儲存裝置視為磁碟區，讓使用者進入儲存裝置時，能以類似方式操作，減少學習門檻。

病毒也利用類似的行為感染電腦。它會在各磁區都寫入病毒，包括外接式的儲存媒體，只要系統中有一隻病毒未清除乾淨，就會自動產生相關檔案，然後再次感染電腦，而且很難找到來源，只要有感染病毒的儲存裝置接上電腦，該臺電腦就被感染，之後連接上此電腦的其他裝置，也會一併感染。研華就是這樣重複感染，結果造成大規模災害。在無法完全鎖定病毒來源，而USB介面的方便性更讓企業必須使用的情況下，就造成這類型病毒孳生。

使用者掛載共享網路磁碟，加速傳播
USB病毒通常是利用USB介面的儲存裝置相互感染，在電腦連接上儲存裝置時，就先利用autorun.inf指向病毒檔執行，由於autorun.inf又是Windows系統內建的自動播放功能參考依據，也成為帶動USB病毒大規模感染的主要因素之一。

不過除了透過USB介面的儲存裝置感染外，Windows系統的「網路磁碟機」也是另一種感染途徑。因為Windows系統也會將網路磁碟機視為「本機磁碟」，若很多使用者都將區域網路上分享的資料夾，設定成網路磁碟機時，病毒就可以大量傳播，比單純依賴USB儲存裝置感染速度還快。

因此，只要網路中存在一隻USB病毒，無論它在哪裡，馬上又會在該臺電腦上產生出所有程式，然後逐一複製到所有磁區，無論是外接式裝置或網路磁碟機，只要被Windows系統判斷成磁碟區的儲存位置，通通無一倖免。

透過網路下載，病毒會不斷自動更新
現在的病毒感染事件已不能單靠防毒軟體處理，因為病毒也具有下載器（DownLoader）功能，可利用網路自我更新程式，與防毒軟體的病毒特徵碼比更新速度。

此外，現在的病毒多以小規模爆發為主，不像以往是全球性感染，而是朝向區域性發展，防毒廠商每天都要處理來自全球各地的病毒事件，不像以往全球性病毒爆發時，防毒廠商只要針對該病毒提出解法即可，現在區域性小規模的病毒不斷發生，等用戶回報到解藥產生，都需要一段時間，然而這段空窗期就足以讓病毒再自我演化，解藥也不一定有用，USB病毒就有這種特徵。

當然防毒廠商也能製作很嚴謹的病毒碼，例如禁止類似的特徵檔案，以提高偵測率，但是相對地，誤判率也會提高，企業用戶最怕防毒軟體阻礙到正常軟體的運作，面對企業中許多應用程式，防毒廠商也很難明確判斷是否為惡意程式，趨勢科技技術行銷部資深經理戴燊說，以USB病毒的行為為例，有些屬於合法，但有些屬於非法，用病毒碼是可以偵測，但難保未來不會發生誤判，面面俱到並不容易。

病毒在不斷更新後，也可能讓防毒軟體只能偵測、卻無法清除，這可能是因為電腦感染太嚴重，無法單靠刪除特定檔案即可修復，這都會讓防毒軟體清除率降低。

等待解藥，不如先打預防針
奕瑞科技客服專員陳怡吉認為，USB病毒演變至今，除了感染過程難以掌控外，又利用Windows系統的方便性，讓病毒擴散更迅速，而且還採用注入（Injection）手法，與Windows作業系統生生不息，偽裝在正常程序中，他認為這病毒算是將病毒技術發揮到極致，很難處理得完善。

現在，研華公司已經解決之前大規模感染的問題，但是三不五時還是會發生，而且每次只能手動處理，似乎永遠不會停止。因此，預防重複感染也是企業將面臨的重要議題。

中崙高中實驗研究組長許哲偉認為，現在使用者只要看到電腦發出詢問資訊，馬上就按「是」接收，也不在乎有沒有安全問題，另一方面，對資訊人員而言，為了怕麻煩，乾脆完全禁止使用，用戶端電腦根本不會有顯示問題的資訊。

但以USB介面來說，因為方便性，不可能完全禁用，他認為最好的預防方式還是從教育使用者行為開始做起，從最基礎的資安意識中，改善電腦中毒機率，確保系統及資料安全。

USB病毒感染過程：利用autorun.inf將病毒載入電腦系統中，再重複感染其他USB介面裝置，一直循環相互影響

現在的USB病毒主要是Kavo.exe、ntdelect.com及KavoX.dll所組成，只要其中一隻病毒沒有清除完整，就會自我複製且不斷延伸，而且這些檔案又可以利用自動或誤觸等方式執行，並利用網路更新程式，避免被防毒軟體發現。 ntdelect.com檔案名稱可能會更換成ntdeIect.com或其他，但入侵行為大同小異。要注意的是，這些檔案名稱不代表就是病毒名稱，防毒軟體的特徵碼也不是依據病毒名稱比對，而是根據執行後的運作方式，所以電腦或USB設備上，有這幾個檔案名稱，不代表一定感染USB病毒，還是要看後續發生的問題，並利用程式分析才能正確得知。只是目前為止，還沒有其他正常程式會使用上述檔案名稱，因此，現在若電腦有這些檔案，代表遭受USB病毒感染的機率很高。 奕瑞科技客服專員陳怡吉指出，近來USB病毒多半是以Kavo.exe入侵電腦，但這只是混淆視聽的作法，讓大眾誤認為只有Kavo.exe是病毒檔案，其實真正的幕後黑手是 taso.exe，它是一支木馬程式。最早這類型程式用於竊取線上遊戲帳號及密碼為主，但演變至今，可能也會盜用其他Windows帳號及密碼、或取得 Cookie等私人資料，或許不會破壞電腦檔案，但儲存在電腦中的資料，惡意程式都可一覽無遺，危險度高，更需要注意。

 從蛛絲馬跡得知感染USB病毒

需注意的病毒檔案名稱
如果你在電腦內的資料夾或登錄機碼發現下列檔案名稱，就需要注意是否感染了USB病毒。
auto.exe	nedelect.com
nedeIect.com	sos.exe
kavo.exe	kavoX.dll
taso.exe	tasoX.dll
Xadiect.com

每天都有許多病毒會攻擊個人電腦，如果防毒軟體能偵測，就能得知被哪種病毒感染，加上檢視使用者存取檔案的歷程，能了解病毒的來源，但USB病毒一直更新的特徵，使得防毒軟體不一定能立即偵測及清除，使用者就容易在毫無知覺下被感染，甚至無法得知感染來源為何，這些都會影響後續解決困難。

如果電腦發生異常，需要先判斷是哪種原因，才能對症下藥，因此我們要先知道哪種症狀是USB病毒感染後的情況，才能有利後續排除故障。

徵狀一：無法開啟磁碟機
USB病毒感染電腦最明顯的問題就是無法開啟磁碟，因為USB病毒會在各磁碟的根目錄寫入autorun.inf及病毒程式，只要點選磁碟機時， autorun.inf就會自動播放並啟動病毒程式。有些掃毒工具可以清除磁碟機中的病毒程式，但無法刪除autorun.inf檔案，造成 autorun.inf自動播放功能無法啟動程式，導致無法啟動磁碟機。此時，Windows系統預設值會詢問用哪種程式開啟檔案。

如果電腦發生此問題，千萬不要認為掃毒工具已經處理完成，因為掃毒工具可能只刪除根目錄的可疑的程式，而未刪除系統磁碟中Windows資料夾內隱藏的USB病毒，只要有一隻病毒未清除，過一段時間，它依然會自動產生，造成電腦運作異常。

徵狀二：程式錯誤
當Windows系統有問題時，最常見的狀況就是會主動告知某程式運作異常，詢問是否要回報問題，通常使用者不會注意是哪一支異常程式，就直接點選回報或不回報的機制。

其實了解這些程式異常通報的過程，有助於處理電腦問題。以USB病毒為例，通常會在系統中寫入Kavo.exe、ntdeIect.com及 ntdelect.com等程式，若異常通報內有這些字串，就可能代表已被病毒入侵。若防毒軟體也沒提示偵測訊息，最好馬上使用Windows系統內建的 attrib進階查詢相關檔案的屬性，進一步確認問題來源。

徵狀三：檔案屬性為SHR
若電腦發生徵狀二的問題：錯誤程式的名稱可疑。但掃毒工具沒有任何警示，而且也都能正常啟動各磁碟機的根目錄時，你也可以用Windows系統內建的attrib指令再詳細地查詢。

通常我們只需要查詢各磁碟機的根目錄，即可得知是否感染病毒。Attrib是顯示及變更檔案屬性的指令，若在根目錄查詢到 autorun.inf、kavo.exe及ntdeIect.com（ntdelect.com）等字串存在資料夾內時，而且這些檔案的屬性是SHR （System、Hidden、Read Only，系統檔、隱藏檔及唯讀檔），就代表電腦已中USB病毒，這徵狀很明顯，需要立即馬上處理。

利用attrib指令，可以查詢程式的屬性，特別要查詢各磁碟的根目錄是否有autorun.inf，而且屬性為SHR，能判斷是否感染USB病毒的重要依據。

徵狀四：植入病毒到System32資料夾
USB病毒除了在各磁碟機的根目錄寫入特定程式外，它還會在系統磁碟機中，Windows資料夾的System32底下寫入特定程式，例如 kavo.exe及kavoX.dll（X通常是數字），每支程式都能自我衍生相關檔案，所以不單要清除各磁碟機的根目錄中的程式，連儲存在 Windows資料夾中的程式都要處理乾淨。

我們可以利用AVZ Antiviral Toolkit掃描系統是否有異常檔案，若偵測結果有問題，會以紅色字表現，接著再依據安裝在此電腦的應用程式名稱，逐一分析是否為可疑檔案。AVZ Antiviral Toolkit並非自動的掃描工具，還是要依據經驗觀察是否為誤判情況。我們除了利用自動掃描分析，也能利用Injected DLLs Manager、File Search及Autoruns Manager等功能查詢異常檔案的位置及機碼，有助於後續刪除檔案。

利用AVZ Antiviral Toolkit掃描後，會自動分析有問題的程式及檔案，需注意紅色字句。

 學會2招，立即解除中毒危機 USB病毒的攻擊來勢洶洶，特別是企業未做任何預防措施時，它重複感染的特性，會讓資訊人員有處理不完的事件。從2007年中，以Kavo為首的USB病毒開始危害個人電腦時，網路上就開始有許多使用者在討論不同的解決方式，但大多針對病毒檔名處理，因此會有時效性問題。

如果企業打算先依據網路上的處理步驟解決，要注意解法發布的時間問題，以免處理得不完整。

我們測試了兩種自動處理的程式，但可能也是因為病毒會自我更新，還是無法完全清除，不過這些已能處理大部分問題。你可以先利用這些方式處理後，再手動搜查、刪除kavo及ntdeIect的檔案及機碼即可。

需注意的是，USB病毒會隨著explorer.exe一起運作，執行前要先停止explorer.exe，我們建議開機時以「安全模式」處理，避免病毒利用網路更新程式。另外，目前做法僅限於解決現行USB病毒，若USB病毒持續利用網路更新、演化，所有方法可能也無法解決，所以要記得建立預防機制，避免災情擴大。

第1招：建立自動檢查及解毒程式
第1種解法是臺北市政府捷運工程局技術發展處簡維德提供。

該公司也被USB病毒感染過，雖然網路上有許多解法，但步驟太多，只能單臺處理。以捷運局的規模，根本來不及應付，於是他收集網路上各種處理方法後，提出以下解決方法。

如果你的電腦也中USB病毒，可以將附件中的程式碼複製並貼上到記事本，然後轉存成.exe檔案，即可執行。

此外，如果在Windows AD環境下，也可以將此程式載入成登入程式（Logon Script），只要用戶端登入，就自動檢查。

自動檢查／解毒程式

這一段程式碼可複製到記事本上，然後轉存成.exe即可執行。想了解此程式內容，須具備基本DOS或命令列執行概念。如果發現病毒存在其他資料夾中，你也可以在此程式中，寫入處理程序。

:begin for %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do ( attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul&&attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul del %%x:\autorun.inf /q /f >nul 2>nul&&del %%x:\ntdelect.com /q /f >nul 2>nul ) for %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do ( del %%x:\autorun.inf /q /f >nul 2>nul&del %%x:\ntdelect.com /q /f >nul 2>nul md %%x:\autorun.inf >nul 2>nul&&attrib +r +s +h %%x:\autorun.inf >nul 2>nul ) for %%x in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do ( echo 這是用來防止再被病毒寫入的資料夾，請勿刪除！ > %%x:\autorun.inf\README.TXT &cls) reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "DefaultValue" /t REG_DWORD /d 00000002 /f reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CHKeyRoot" /t REG_DWORD /d 80000001 /f reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "ValueName" /t REG_SZ /d Hidden /f reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "Text" /t REG_SZ /d "@shell32.dll,-30500" /f reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "Type" /t REG_SZ /d radio /f reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "RegPath" /t REG_SZ /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul del "%windir%\system32\kav*.*" >nul 2>nul attrib -s -h -r "C:\ntdelect.com" >nul 2>nul del "C:\ntdelect.com" >nul 2>nul attrib -s -h -r "%windir%\fly32.*" >nul 2>nul del "%windir%\fly32.*" >nul 2>nul attrib -r -s -h -a "c:\found.*" /S /D >nul 2>nul del "c:\found.???\*.*" /s /q /f >nul 2>nul attrib -r -s -h -a "c:\%windir%\help\*.*" /S /D >nul 2>nul del "c:\%windir%\help\*.*" /s /q /f >nul 2>nul rd "c:\%windir%\help" /s /q >nul 2>nul md "%windir%\system32\kav0.dll" >nul 2>nul :end

第一段：檢查各磁碟的根目錄 搜尋各磁區目錄中檔案，並刪除所有autorun.inf及ntdeIect.com檔名，並寫入autorun.inf資料夾，最後設定唯讀、系統及隱藏屬性，防止再次殖入病毒

第二段：刪除及還原被隱藏的相關機碼 USB病毒會改變登入機碼的資料，造成無法顯示隱藏檔案的問題，因此要先刪除此機碼，然後再寫入正確機碼值。

第三段：刪除系統磁區中，相關病毒檔案 此段使用Windows命令列的基本指令，主要利用attrib解除可能存在病毒資料夾的屬性，包括C磁碟區、Windows、System32和Help等資料夾中，最後刪除病毒相關檔名。

第2招：Kavo Killer及USBCleaner
目前Kavo Killer及USBCleaner是網路上針對USB病毒開發的程式，都能免費使用，如果只是單一臺電腦中毒，也可以使用這個程式。
USBCleaner是由中國人所開發的程式，處理效果不錯，而且還能修復異常機碼、偵測USB儲存裝置及啟發式掃描功能，還有auto.exe掃毒工具，能找出許多隱藏於電腦系統中的USB病毒資料。

不過這種程式主要是偵測病毒名稱，一旦名稱改變就無法掃描，所以需要時常更新解毒程式，才能因應新種病毒的威脅。

為此，Kavo Killer的作者還開發自行解決的解毒程式，如果你知道電腦被特定類型的USB病毒攻擊，並能自行分析出程式名稱及路徑，就可以自己打造專用解毒程式。

如果企業已架設防毒系統，向防毒軟體公司要求解毒程式還是最佳的解決方式，雖然網路上提供許多解毒程式，但除了時效性問題外，也不知道這些程式是否內藏其他惡意程式，因此就算解決了USB病毒的危害，反而可能被其他有心人士所利用，使用前需小心。

 防護12式，讓電腦遠離USB病毒 USB病毒最惱人的行為就是重複感染，加上越來越多周邊載具都使用USB介面，一旦連接上Windows系統，就會自動識別成儲存裝置，此時，無論病毒存放在電腦或這些儲存裝置上，所有Windows系統可辨視的磁區都會被植入病毒，只要沒有清除乾淨，過一段時間，它又會發作，而且病毒特徵還會利用網路持續更新，在不斷的變種情況下，掃毒工作也更困難。

當你處理完這臺電腦的問題後，或許過沒幾天又中毒，雖然解決方法沒有很複雜，但只能手動操作，每處理一臺都很費力，因此預防再中毒，刻不容緩。

有一些方法能有效防禦USB病毒在電腦主機及USB介面儲存裝置間四處流竄，我們也收集了多種防護USB病毒到處肆虐的方法，有些方式根本不用花錢，只要在現有網路架構上增加設定即可，不過現在病毒變化太快，單靠一種方式較難完全防禦，因此各種作法要相互搭配，才能建立最完善的防護方式。

5項基本功保平安
其實要防護病毒從USB儲存裝置感染電腦，只要利用電腦群組原則（Group Policy）、防毒軟體及防火牆，就可以達到最基本的防禦方法。如果企業架構在Windows系統上，只要變更些許設定，就能防範USB病毒「自動」感染電腦的危機；若員工「手動」觸發病毒，就只能依靠防毒軟體的病毒特徵碼比對技術，就是「硬碰硬」的對戰。另外，若企業採用Windows AD建構網路環境，我們建議利用群組原則建立第一道防線，是最容易、且馬上可達成的方式。

網域群組原則
優點：能大規模禁止所有網域內電腦，執行自動播放功能
限制：欲控管的電腦必須登入Windows網域
如果企業網域是架構在Windows AD（Active Directory）中，利用群組原則編輯器，能很輕易地管控用戶端存取USB介面裝置。

群組原則是可以讓系統管理員集中管控Windows用戶端作業系統的工具，只要用戶端電腦登入Windows網域，管理人員就可以控制整個企業內所有使用者與電腦環境，加上Windows又是目前最常使用的用戶端系統，因此，利用群組原則管理用戶端電腦存取方式，是防堵USB病毒最經濟且有效的方式。

在Windows AD服務中，預設值下並沒有提供限制存USB介面裝置的設定，因此，我們需要先到http://support.microsoft.com/kb/555324/en-us下載範本檔案。使用上很容易，只要登入上述連接的網頁，複製Resolution這一段的資料到記事本中，並儲存成副檔名為.adm的檔案格式即可使用。

然後到執行網域服務的Windows Server系統上，啟動「群組原則物件編輯器」，在「電腦設定」的「系統管理範本」中，點選滑鼠右鍵使用「新增／移除範本」，匯入剛剛我們儲存成. adm檔案的資料即可，最後在「系統管理範本」中就會出現「Custom Policy Settings」設定，它所提供的範本能管控可移除式USB硬碟、光碟機及軟碟機等多種USB介面裝置。我們實際在Windows 2000 Server SP4及Windows Server 2003 SP2測試，也能順利執行，不過在Windows Server 2003中，還需要點選「檢視」的「篩選」中，取消「只顯示可以完全管理的原則設定」，才會正常顯示禁用USB裝置的設定。

當匯入範本後，預設值中，群組原則尚未設定可移除式USB硬碟的資訊，管理人員必須自行啟動才會執行，而用戶端電腦登入網域後，就會禁止執行autorun.inf，但還是可以正常存取硬碟中的資料。
此方法是利用usbstor.sys（通用型USB的驅動程式）限定用戶端電腦存取可移除式的USB硬碟裝置，包括記憶卡、隨身碟及外接硬碟等，若有用戶不想被控管，自行刪除此檔，也將無法使用USB裝置。

本機群組原則
優點：每臺電腦可以自行處理，無需加入網域
限制：需要手動自行操作，若電腦數目多，較麻煩
網域群組原則能減少管理網域內電腦的設定麻煩，但如果企業沒有架設Windows AD呢？其實我們也可從個別電腦的本機群組原則中設定，功能大同小異，只是需要每臺逐一設定。

以Windows XP專業版為例，我們只要從群組原則的系統工具中，點選「電腦設定」中「系統管理範本」的「系統」，就有「關閉自動播放」選項，只要啟動此功能，就可以停止從所有磁碟機或光碟機的自動播放功能；若要禁止USB介面的儲存裝置，就是選用套用在所有磁碟機。需要注意的是，它只能選擇停止所有磁碟機或光碟機的自動播放，不像Windows AD的群組原則，可以同時限制各種介面，然而目前從USB介面感染的病毒，多半以外接可移除式硬碟為主，因此也已經足夠。

若用戶端系統採用Windows XP家用版或Windows 2000時，因為不支援群組原則的系統工具，因此只能從更改註冊機碼下手。

在登錄編輯程式中，在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Explorer下，將NoDriveTypeAutoRun值改成255即可，若只想禁用USB介面的硬碟，而光碟機能正常使用自動播放功能，就要將該值設定為95。

防毒軟體
優點：可偵測、刪除或隔離電腦病毒感染主機，是最基本的防護方式
限制：只能防止已知電腦病毒，對未知病毒防護力較弱
防毒軟體通常是企業建置資訊安全的第一步，而且企業版的防毒軟體不像個人版防毒只著重在病毒的偵測率，更會考量到管理性、部署方式、報表統計及操作介面等眾多面向，除了防護個人電腦的安全外，更讓管理簡易化，理論上只要上線使用，並定期購買更新服務，就不用花費額外的資源處理。

現在的電腦病毒種類越來越多，防毒軟體為了應因許多病毒威脅，功能上從基本的防毒引擎，陸續延伸到個人防火牆及主機型入侵防禦系統（Host Intrusion Prevention System，HIPS）等，但原則上，防毒還是最基本需求，其他防禦機制是否啟用，則視個別用途而定。不過，現在防毒軟體對「毒」的定義也在轉變，從傳統的電腦病毒，延伸到間諜程式、木馬程式、垃圾郵件及網路釣魚等惡意攻擊都可算是病毒，因此各防毒軟體的病毒資料料也隨著多種惡意程式的進展同步更新。因此雖然病毒威脅增多，防毒軟體的防護功能仍持續增加中。

不過現在病毒的更新及變種速度太快，防毒軟體更新病毒特徵碼通常需要一段時間，有時根本趕不上電腦病毒變化的速度，因此單靠防毒軟體的病毒特徵碼已不敷使用。這也是近來許多電腦遭受USB病毒持續不斷、重複感染，而防毒軟體卻一籌莫展的原因。

另外，雖然現在防毒軟體強調啟發式掃描技術，採用類似行為分析模式，能偵測各種程式的處理方式，但對USB病毒的防護功能還是有限。

趨勢科技資深經理戴燊表示，USB病毒是利用autorun.inf執行病毒，這個過程原則上屬於合法行為，啟發式掃描技術可能無法判斷，但如果把autorun.inf及病毒載入電腦的各磁區時，就認為屬於異常行為，啟發式掃描技術就會發出警示，只是，此時若病毒早已植入電腦，最後還是要搭配防毒軟體的特徵碼比對能力。

賽門鐵克資深技術顧問莊添發認為，行為分析的方式仍有一定準確度，它會綜合各種合法及非法行為，最後提出一個總分，如果病毒的異常行為超過臨界值，啟發式掃描才會偵測到未知的惡意程式行為。

當然，哪種處理行為屬於合法或非法，就要看各家防毒軟體的設計方式，使用者也可以自定安全等級，甚至當把autorun.inf及病毒載入電腦的各磁區前就警示通報，不過誤判率可能提高的情況下，需有所取捨。

從防火牆阻擋更新來源
優點：避免病毒自行更新程式
限制：病毒更新來源變動時，需手動查詢、調整新的來源IP
現在病毒為了躲避防毒軟體更新病毒特徵碼的速度，也開始具有自我更新能力，類似在電腦中安裝下載器，一旦病毒版本發布更新，病毒就會自動下載執行，若防毒軟體更新特徵碼速度不夠快，根本無法比對資料，也因此無法偵測及清除病毒。

USB病毒就是有這種特性，所以如果我們能分析該病毒從哪個IP Address位址更新資料，然後阻斷更新來源，再等待防毒軟體製作解藥，較能防範疫情擴大。只是一般很難自行分析病毒的更新來源，通常要依靠資安廠商協助。

奕瑞科技客服專員陳怡吉分析過最近USB病毒的特徵，也利用工具解析出該病毒更新的IP Address位址來源，發現範圍是60.169.0.182～60.169.0.188，他建議先從防火牆封鎖，可避免病毒自我更新。根據他的經驗， 60.169.0.185是最主要的更新來源，一定要阻斷連線，避免病毒更新管道。

此外，趨勢科技是利用防毒軟體。當用戶端電腦連接網路時，趨勢防毒軟體會查詢全球資料庫，確定是否為合法網站，一旦有異常，會主動通知用戶端注意。因此，就算病毒自動連線網路下載資料，防毒軟體也會察覺IP Address位址來源，防止病毒更新自身版本。

自行建立名為autorun.inf資料夾
優點：能防止病毒藉由autorun.inf載入
限制：所有磁區都要建立，只防護自動載入病毒，無法防護手動執行
USB病毒主要是利用autorun.inf將病毒植入電腦主機，或反向從遭感染的主機把病毒散播到各種USB介面的儲存裝置中。就是因為具有這種雙向傳遞的方式，病毒才能在電腦及USB儲存裝置中不斷擴散，而autorun.inf就是最主要的媒介。

這個純文字檔是讓電腦能自動播放程式的參考依據，當初它的目的是，使用者執行可移除式媒體（包括光碟、隨身碟及硬碟等）時，簡化需自行進入媒介中，手動點選程式的麻煩。但USB病毒就是利用這種方式逐一感染各個磁區。

autorun.inf本身並不是惡意程式，但惡意程式可以利用autorun.inf的內容，自動且隱密地進入電腦主機中，而且由於Windows作業系統在預設情況下，允許自動執行autorun.inf，也讓病毒感染速度更快。

感染USB病毒後，電腦內的各個磁碟區都會被植入autorun.inf及載入的電腦病毒等程式，只要有新的儲存裝置接上電腦，並被 Windows系統視為磁區（例如C、D到Z等），如果磁區中沒有autorun.inf檔案，就會自動寫入autorun.inf和電腦病毒。

因此，如果能在病毒未感染儲存裝置前，預先在各磁區的根目錄中手動新增autorun.inf的資料夾，就能在連接感染的設備時，減少遭植入病毒的機會。

這作法很容易，只要在各磁區中新增名為「autorun.inf」的「資料夾」即可，並在內容屬性中設定成「唯讀」，以防止誤刪。

操作上有點費時，因為只要Windows系統判斷成磁區的分割區，我們都要在各磁碟區的根目錄建立該資料夾，包括所有USB介面的儲存裝置。

但此種作法還是有限制。例如電腦主機的各磁區都已新增autorun.inf的資料夾，而後接上有病毒的USB隨身碟時，Windows系統還是會自動執行autorun.inf，並載入相關病毒，到C磁區中的Windows系統資料夾中，該電腦依然會中毒，然而當該病毒要寫入其他磁區的根目錄時，因為這些地方都已經存在autorun.inf資料夾，而無法感染，中毒範圍僅局限在Windows系統資料夾中。

若將未感染且有autorun.inf資料夾的USB儲存裝置也適用。連接到遭感染的電腦時，因為本身已存在資料夾，也將無法載入病毒。需要注意的是，上述方式僅防範病毒利用autorun.inf自動執行的功能，若使用者不慎點選病毒檔，還是會中毒。

------------------------------------------------------------------------------------------------------------

將kavo.exe病毒完整消滅？簡單又快速的方法 Kavo_killer 3.2

1.專殺kavo病毒

2.殺掉 硬碟 或隨身碟裡的 autorun.inf 跟ntdelect.com
的病毒檔案，所以中了其他隨身碟型的病毒，也是可以殺的掉

3.恢復 不能顯示影藏檔，有的病毒會讓系統無法顯示隱藏檔，用我的軟體可以改回來

這次的kavo病毒會利用，隨身碟，記憶卡，手機傳輸，MP3感染
所以記得把 這些東西接到電腦以後，用我的程式來掃毒喔

kavo_killer3.2.rar   <----下載連結

2、一年內兩次，每次間隔要超過180天

最近常幫客戶處理電腦~幾乎都是同一個問題~中毒~

KAVO~常利用MAIL(奇摩最多)和隨身碟傳播~很多公司用戶都是集體中獎~

隨身碟一插~病毒就傳來傳去的~已經有好幾個客戶的隨身碟裡的資料死了~

下載回去清一下你的電腦和隨身碟吧~~大都是autorun.inf中了毒~

http://www.badongo.com/file/5018897

輸入下載密碼~再等15秒就可以下載了~常用隨身碟的記得放在隨身碟裡哦~

使用很簡單~隨身碟插入後~執行程式(記得先解壓縮)~點清除病毒就OK了~

出門囉~各位慢用嘿~~

-------------------------------------------------------------------------------------------------

阿喵只是轉貼上來~不是我題的嘿~

解壓軟體：http://keiichi3227.myweb.hinet.net/wrar370tc.exe

共有四十多張~喜歡的就自己下載吧~

使用趨勢科技ARP病毒專殺工具查殺病毒（自查是否中了ARP病毒，中了會自動清除）

點擊這里下載趨勢科技ARP病毒專殺工具。

下載后解壓縮，運行包內TSC.exe文件，不要關讓它一直運行完，最后查看report文檔便知是否中毒。Virus found count(1) 表明發現一個ARP病毒;Virus clean count(1)表明清除一個ARP病毒。Virus found count(0) 表明沒有發現ARP病毒;Virus clean count(0)表明沒有清除ARP病毒。

執行掃毒中的畫面~

掃過後~打開report資料夾~檢查結果~哈~沒中毒~

 補上圖了~

下載連結：http://myfreefilehosting.com/f/bf7e00cd15_24.59MB

解壓軟體下載：http://keiichi3227.myweb.hinet.net/wrar370tc.exe

下載連結：http://keiichi3227.myweb.hinet.net/fix.rar

解壓軟體下載：http://keiichi3227.myweb.hinet.net/wrar370tc.exe

]]> http://www.mw.net.tw/user/keiichi3227/blog/2007/09/01/35291/65480/ http://www.mw.net.tw/user/keiichi3227/blog/2007/09/01/35291/65480/ keiichi3227@mawa.tw (keiichi3227) Sat, 01 Sep 2007 04:55:00 GMT                                 
]]> http://www.mw.net.tw/user/keiichi3227/blog/2007/08/31/35291/65405/ http://www.mw.net.tw/user/keiichi3227/blog/2007/08/31/35291/65405/ keiichi3227@mawa.tw (keiichi3227) Fri, 31 Aug 2007 12:13:00 GMT

隨著硬件價格一再下降，使用Windows XP的朋友們也越來越多。Windows XP在給我們帶來全新體驗的同時，還給我們帶來了許多非常實用的程序。不要小看了它們，只要你巧妙地利用，就能實現很多意想不到的功能。

　1.免費的系統教程（system32文件夾下）
　　安裝完Windows XP後很想馬上學習並體驗一下它的魅力嗎？我們無需再東奔西走去找煩人的文字教材。只要選擇「開始」→「漫遊Windows XP」，就會出現如圖1所示的界面，它將引導我們遊歷Windows XP的新功能。
　　小提示：Windows XP中自帶的教程非常形象，是圖形界面的，而且製作得相當精美，微軟的權威性可想而知。如果你的「開始」菜單上沒有「漫遊Windows XP」項目，則可以運行C:\Windows\System32\tourstart.exe進入。

　2.輔助功能嚮導——Accwiz（system32文件夾下）
　　我們知道，微軟在Windows中為殘疾人士提供了輔助功能，使他們也能操作計算機。該程序可以根據用戶的視覺、聽力和行動來配置我們的Windows，使殘疾人士能根據自身情況更好地使用Windows。

　3.字符映射表——Charmap（system32文件夾）
　　是不是覺得Word的「插入符號」功能非常方便？我們在其他Windows程序中也常常要插入一些特殊符號，而一個個地找又麻煩，這時可使用「字符映射表」程序幫忙。通過「字符映射表」可查看選定字體中有哪些字符，選中後單擊「選定」和「複製」按鈕，即可把選定字符複製到Windows剪貼板中，供字處理軟件粘貼使用。
　　小提示：用它來複製特殊字體中的特殊符號特別有用。

　4.倉頡拼音輸入法——CINTSETP(system32\IME\Cintlgnt文件夾下)
　　微軟新倉頡輸入法98b的安裝程序，微軟把它放在簡體中文版Windows XP中，但埋藏得較深。不過它