经管扫毒大队提醒您

1、保護您也保護我，防毒小知識宣導：如何正確使用您的隨身碟篇經管掃毒大隊提醒您，為避免隨身碟在自動執行後與已感染電腦的病毒相互感應，應遵守下列原則：A. 插入後（預防措施）：使用隨身碟切記勿直接開啟或自動執行，正確使用方式應透過檔案總管方式開啟，如圖示：正確程序一二三：1. 插入隨身碟後避免直接開啟隨身碟2. 至我的電腦點選卸除式磁碟3. 按滑鼠右鍵（如左圖），點選檔案總管即可說明：已中毒的隨身碟或因插入未保護的已感染電腦，該隨身碟將被植入不明病毒執行檔，其中最常見的為autorun.ini、autorun.inf以及recycle資料夾（內含*.exe的病毒檔）。在自動執行後，便會與電腦中的病毒

2、相互感應。也因為此等病毒會透過電腦與隨身碟相互傳染，因此務必請大家要小心！B. 拔除前（保護措施）：在使用完後，應再次確認隨身碟中是否有不明隱藏檔（如上述說明的隱藏檔）。基本上，第一次購買的新隨身碟皆不會有任何相關的隱藏檔出現，因此倘若發現隨身碟內含不明隱藏檔（該隱藏檔非常有可能是無意間受感染的病毒檔），即應立刻刪除之。在此，經管掃毒大隊提醒您，您的刪除動作並不會影響隨身碟的正常使用，請安心操作。如何檢測不明隱藏檔的方式，如圖示：1. 點選工具2. 點選資料夾選項3. 點選檢視，取消隱藏保護的作業系統檔案，並勾取顯示所有檔案和資料夾4. 至隨身碟的檔案中察看是否有不明的隱藏檔，如果發現，立即刪

3、除。參考防毒軟體網址：1. Panda防毒軟體(限線上即時掃毒)2. Norton防毒軟體 交大免費提供（限校內ip使用）保護您也保護我，防毒小知識宣導：真實案例分享篇案例一：經驗：之前至某影印店印書面，結果無意間被感染，而該病毒會跑到你的隨身碟之中，並且等您插到電腦後，再次感染您無知的電腦。後來，每次只要直接點選隨身碟便會有病毒顯示，雖會被刪除，但再次直接點選就會再中一次，無法根除。若您也有相同的困擾，則可參考以下解救方式： 症狀：插入隨身碟後，點選磁碟機防毒軟體 會發現C:windowssystem32driveinfo.exe是木馬程式事實上在 c:windowssystem32 裡頭根

4、本找不到 driveinfo.exe，而是躲在隨身碟的 Recycled 目錄下，裡面有三個檔案，分別是：driveinfo.exe driveinfo.sdc voinfo.dll另外在隨身碟的根目錄會新增一個檔案 autorun.inf，內容是：AutoRunOpen=.RecycledDriveinfo.exeShellOpenCommand=.RecycledDriveinfo.exe 方法一：上面這幾個檔案不管怎麼砍都砍不掉，建議是把這個 process 停掉後，砍掉隨身碟上的檔案， 另外也將 c:windowssystem32inetsrv.* 砍掉，再清掉 registery 裡

5、頭有 "driveinfo" 字樣的檔案，另外補充一點，建議隨身碟接上 PC 後，不要用點選磁碟機的方式，使用檔案總管展開，就不會執行 inetsrv.exe，這個時候將 Recycled 、 autorun.inf 和 /system32/inetsrv.exe 刪除即可。注意，要取消隱藏保護的作業系統檔案，才看的到檔案。（點選檔案->工具->資料夾選項->檢視->取消隱藏保護的作業系統檔案） 方法二：一、在電腦的部分：1.開啟工作管理員，將 inetsrv.exe 這個服務停止2.搜尋系統所在磁碟（通常是C磁碟），將 inetsrv 有關的東西都

6、找出來刪掉吧3.執行 regedit，將所有有關 inetsrv 以及 driveinfo 的機碼全部刪除二、在隨身碟的部分：driveinfo.exe比較特別的一點，就是這個執行檔不會存在電腦中，而是固定放在隨身碟的recycled 資料夾中。因此.1. 直接格式化隨身碟當然是可以把他刪除2. 若想保留其他資料，請以檔案總管方式開啟隨身碟將根目錄的autorun.ini以及recycled資料夾中的driveinfo.exe刪除案例二：症狀：插入隨身碟後，點選磁碟機防毒軟體 會發現防毒軟體會說你中了usbmons.dll 【】啟動電腦的安全模式 【】插入已中毒的隨身碟 【】開始>控制台

7、>資料夾選項>檢視，取消【隱藏保護的作業系統檔案(建議使用)】，選取【顯示所有檔案和資料夾】。 用意：先將隱藏的資料夾全部顯示 【】隨身碟插入後會出現一些檔案，其中usbmons.dll和以予刪除。usbmons.dll位置：C:WINDOWSsystem32usbmons.dll位置：（插入隨身碟一般情況下只會出兩個相關usbmon.dll和usbui.dll，其他以usb開頭的DLL檔都不該存在。） 【】到我的電腦，點右鍵選開啟隨身碟。 【】刪除裡面的檔案，RECYCLER資料夾、autorun.inf、Desktop.ini 【】！目前隨身碟先做到這邊，接下來清電腦吧！暫時別

8、拔除隨身碟，純粹讓自己安心用的，這應該沒有任何原因。 【】再來我們要殺電腦的病毒了。以下順序可變更，我是使用能刪就刪的戰術。方法有兩種：方法一是手動刪除；方法二是利用批處理刪除。（可以先看看再決定使用的方法，因為一和二的效果是相同的，但是為了謹慎起見…用完二後，我會用一的方式檢查是否真的完全刪除了。） 方法一：（手動刪除，我會在方法二之後，利用方法一做檢查。）（）打開Windows工作管理員(Ctrl+Alt+Delete)，結束wincfgs處理程序。（）開始>搜尋並刪除電腦所有的KB20060111.exe和wincfgs.exe。（）開始>執行>輸

9、入：regedit>確定>進入登錄編輯程式>編輯>尋找（）搜索"KB20060111.exe"後刪除之，按F3可快速尋找相同目標，持續搜尋至完全刪除完畢。（）同理搜索刪除".RECYCLERRECYCLERautorun.exe"和"wincfgs.exe"的相關資料。（）開始>執行>輸入：msconfig>取消wincfgs>確定>重啟（）重啟後問你是否每次開機都顯示*，選擇否。（沒有看到wincfgs啟動項則此步驟略過。本人是沒有，所以從檢體翻過來的名詞上不確定正確。）結束。

10、方法二：（使用後，使用方法一做檢查。）用批處理刪除文件：清理系統內以及登錄值內的wincfgs.exe、KB20060111.exe：（複製下面文字到記事本，另存為Wincfgs_kill.bat，存完後執行。）（不包含此列）echo offtskill KB20060111tskill wincfgsdel %windir%kb20060111.exedel %windir%system32wincfgs.exereg delete "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows"/v "load" /freg add "HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows" /v "