bhnknu的資訊筆記

本來準備要開始作這個網站的改版了，可是上午收到 iClone 和 Crazy Talk 的授權，讓計畫有點改變了。
寒假預定把電腦教室作 windows 和 flash 的 update，但是再加上要多灌這兩個軟體，就不是一台一台作那麼簡單了。
如果一台一台作，九十台恐怕會花非常多時間。正好佳樺來，就和他討論了一下。
目前是決定重切磁區，多留一區作 ghost 用的多重開機；這樣作的好處是，以後要重灌，處理好一台就可以了，不過缺點是，現在還是需要重來一次。
電二還好，有光碟機可以開機，電一就比較慘，沒光碟機，需要拔硬碟來 ghost。
寒假不長，時間算算並不充裕，看來最少前兩週都要來學校處理了。

附上新的 usb 病毒處理方法。

其實最主要的方法便是避免已感染的隨身碟感染電腦，我們可以利用下面方法，關閉自動執行 (Autorun) 的功能。

當隨身碟插入電腦時，一直按著「Shift」鍵，直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。
修改登錄機碼
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoliciesExplorer，將 NoDriveTypeAutoRun 的值設為 0×00000095
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\PoliciesExplorer，將 NoDriveTypeAutoRun 的值設為 0×00000095 ，然後，重新開機，這樣就可以停用 Autorun 了。

除此之外，尚可以利用作業系統檔名唯一性的特性，在已清乾淨的隨身碟裡，新增一個檔案，檔名取做 Autorun.inf ，如此作業系統若有私自存取的行為便會察覺而攔下來！

病毒有下面的行為：
[Added process]
c:\windows\mdm.exe

[DLL injection]
不知有沒有，因為當時沒有工具，所以，無法得知，但這隻病毒具有看門狗 (Watchdog) 的功能，當砍掉病毒檔案和註冊碼後，會再產生原本的病毒檔案和註冊碼。

[Addded file]

c:\windows\svchost.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\svchost.ini (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system\svchost.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\mdm.exe (隱藏檔系統唯讀檔，屬性為 HSR)

c:\windows\system32\usbmons.dll (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system32\usbmons.exe (隱藏檔系統唯讀檔，屬性為 HSR)
c:\windows\system32\inetsrv.exe

[registry]
HKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Run||Value=SVCHOST||Data=c:\windows\mdm.exe

[隨身碟]
當隨身碟插入 USB 插槽之後，系統就會立刻自動執行 (Autorun 或 Autoplay) 隨身碟的某些檔案，就在這個時後，病毒就會感染隨身碟，寫入一個惡意檔案和或一個自動執行檔案：

g:autorun.inf (病毒會修改這個黨案)
g:RavMon.exe (隱藏檔系統唯讀檔，屬性為 HSR，Symantec 偵測為 W32.Rajump)

如果你的隨身碟已經被病毒感染，當你將隨身碟插入你的電腦時，你的系統將會被這隻病毒所感染。

如何清除這隻病毒：

將電腦切換至安全模式 (並不是所有的狀況皆適用)
進入命令列模式，利用命令 attrib，使惡意檔案 (隱藏檔系統唯讀檔) 一一現形

將惡意檔案刪除或更名 (比較保險的做法)
打開註冊碼編輯器，將惡意的註冊碼刪除
重新開機，然後，系統應該恢復正常狀態。
清除隨身碟上的病毒。注意，如果你不想在插入隨身碟時中毒，當隨身碟插入系統時，記得一直按著「Shift 」鍵。