淺談隨身碟病毒 (10/06/22更新)

起源

自從某次中了隨身碟病毒，掃瞄不出來就乾脆後重灌系統，但硬碟仍舊無法開啟後我和這傢伙結下了不解之緣~
雖然這已經是有點年紀的病毒種類，但個人覺得對於普通上班族跟學生而言它的危害性和常見性遠高於其他種類的病毒，因此，特地在此整理出對於它相關的一些資料和防治方法。

在講解前要先聲明，autorun 跟 autopaly 是不同的東西，autoplay 一般叫做自動執行，它是當 windows 發現到有新的裝置連線後會跳出的引導程序。autorun 則叫做自動啟動，跳過點擊執行檔直接執行，舉個例子，WindowsXP 的安裝光碟一放入電腦中，會跳出"您希望用哪個程式開啟"的視窗，這即是 autopaly；而開啟我的電腦，直接點擊光碟機的話，則會跳過進入光碟的動作直接啟動XP的安裝程序，這就是 autorun。

若覺得文字太多不想看；或想直接看最速方法，不含下載時間大約只花你1分鐘的，請直接跳到總結~

此文章分為幾個部份：
一、病毒原理解說：被盜用的 autorun.inf
二、病毒預防(一)：向自動執行說不：KB971029、讓 Windows 把Autorun.inf 視為安裝資訊檔、限制 NoDriveTypeAutoRun、停用 "Shell Hardware Detection" 服務、修改MountPoints2的權限
三、病毒預防(二)：幫隨身碟打免疫針：設置無法被刪除的 autorun.inf 或同名資料夾。
四、殺毒軟體：介紹 EFix 腳本編輯使用方式
五、進階：自訂美美的資料夾吧!利用對 desktop.ini 的自訂來觀察隨身碟中是否藏有病毒。
六、總結

一、病毒原理解說：被盜用的autorun.inf

我們先來看看 autorun.inf 的內容到底是什麼：

[autorun]
icon=shell32.dll,13 (隨身碟圖示，可以是.ico、.bmp、.dll、.exe等等)
label=text(隨身碟的名稱)
open=cmd.exe (隨身碟點兩下時直接啟動的檔案)
shell\open=Me(右鍵選單中的名稱(若是病毒的話，很可能就是"開啟"or"檔案總管"等)
shell\open\command=cmd.exe (點選test1選項後要執行的檔案，若是非執行檔ex：.txt，那就要在檔名後多加個"\"再指定用來開啟的檔案)

而 autorun.inf 只在裝置的根目錄下有用(根目錄就是最上層目錄，在我的電腦內直接將隨身碟點兩下進去的地方就是了)
原先是給 CD 和 DVD 安裝軟體時使用，讓人不用在光碟內複雜的目錄找安裝檔，可以讓你直接對光碟機圖示點兩下或右鍵找出選項來輕易完成安裝。

那麼，讓我們看看隨身碟插入電腦後電腦所做的一連串動作吧!

這邊引用網友FYI的解說圖(我重繪過)看看微軟如何把簡單的功能用複雜的流程呈現(笑)

插入隨身碟後：

打開我的電腦後：

由上面的內容可知，點兩下中毒、按著 shift 再開啟也中毒(這只是跳過autoplay 而已)、對著隨身碟右鍵檔案總管也會中毒(這時右鍵選項中的檔案總管其實是已經被 autorun.inf 替換掉，但只要在其他地方開啟檔案總管(ex：win+e)，利用+號跳過就不會執行autorun.inf!!!~)

而另一種常見的傳播方式，會將隨身碟根目錄下的所有檔案隱藏，再創建同檔名而圖示為資料夾(XP版舊圖示，還沒看過vista版的~)的病毒檔案(ex：登山照片資料夾.exe)，雖然只要看看副檔名或在 xp 以上 windows 版本就可以知道是病毒，但大多數人仍然是XP+隱藏副檔名...

此種病毒對於非資料夾的處理方式有幾種，有創建捷徑後把檔案隱藏，但捷徑是指向病毒；一種是刪光光(囧...雖然大多是只是隱藏或不理睬~)；Office 類的話有看過圖示和檔案屬性為 office 文件但副檔名是.exe(可參考這個樣本)

這些偽裝自己的病毒雖然有些蠢且好解決(不要點它們並 delete光光即可)，但仍要當心!不過可以簡單的使用下面第二章介紹的"6. 只顯示 .exe 的副檔名(新增)"來解決這個問題!

而病毒在隨身碟中，只會把自己複製在根目錄中(不用擔心其它子目錄被入侵)，並且設置隱藏和系統屬性；所以要看到它們，你必須在"工具-資料夾選項-檢視"中取消"隱藏保護的作業系統檔案"跟"顯示所有檔案和資料夾"。

若覺得每次都要層層按入太麻煩(我個人平時都是把隱藏作業系統打勾的，覺得隨身碟有問題時才解除檢查)，可以在視窗的標準按鈕列按右鍵-自訂，可用按鈕拉到最下面有個"資料夾選項"，點它一下再按新增即可。

二、病毒預防(一)：向自動執行說不

要說明的一件事，我所說的"預防"並非指不會中毒，而是讓病毒不會"隨身碟圖示點兩下就中"，讓你可以安心的打開隨身碟在去做查殺的動作!!而分成兩部份的電腦端和隨身碟端，是做兩道防線用，避免其中之一被破解時兩邊同時失效這樣。
雖然說大部分原理都不簡單，但執行一次後永遠受用~何樂不為?
一般來說選其中一像操作就能達成預防的效果了，我這人是使用方案5，但選擇什麼又怎麼做下一步就看您自己的想法了。

1.KB971029
效果：

硬碟機： Autorun 有效。  卸除式媒體裝置： Autorun 終止。  Autoplay： 有效。
微軟的更新，取消執行卸除式磁碟機的 autorun.inf，但光碟機的仍能用：KB971029

2.讓 Windows (csrss.exe) 把 Autorun.inf 視為單純的安裝資訊檔：NOAUTRUN.REG
以下方法來自於 Nick Brown's blog： Memory stick worms
任選一即可!

A.下載 NOAUTRUN.REG 後雙擊匯入。
A'.將以下內容貼到純文字檔案(.txt)後將副檔名改成.reg匯入!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

保險點這個方案還須要再搭配3來用!

3.限制 NoDriveTypeAutoRun：DisableAutorun.reg
效果：

硬碟機： Autorun 終止 。卸除式媒體裝置：Autorun 終止。 Autoplay 有效。
NoDriveTypeAutoRun是在某次微軟的更新後修改它才有用!(目前僅知2008/03/25前修改這個沒用)
任選一即可!

A.下載 DisableAutorun.reg 後雙擊匯入。
A'.將以下內容貼到純文字檔案(.txt)後將副檔名改成.reg匯入!

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
"Autorun"=dword:00000000

這個我個人還沒做完整測試!故先保留自己看法。

4.停用 "Shell Hardware Detection" 服務
效果：

硬碟機： Autorun 有效。 卸除式媒體裝置： Autorun 終止。 Autoplay： 終止。

A.在"開始-執行"中輸入 services.msc
B.雙擊 Shell Hardware Detection，將它停用並把啟動類型改為停用。

這個因為影響廣泛，所以有些網友並不推薦將它停止!

5.修改MountPoints2的權限
效果：

硬碟機： Autorun 終止。 卸除式媒體裝置： Autorun 終止。 Autoplay 有效。

任選一即可!

A.下載iamcj製作的這個批次檔，解壓縮後執行cjDisableAutorunInf.bat

A'.到"開始-執行"中輸入regedit，開啟登錄編輯器。
B.找到機碼：
HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\MountPoints2
2000的話是
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints
C.點選該機碼，按右鍵選擇「使用權限」。
D.新增使用者 Everyone。
E.將使用者 Everyone 的完全控制權限設定為「拒絕」，選取套用，確定警告視窗後離開。

因為 MountPoints2 影響範圍尚無定論，怕誤擋其它功能所以也有網友不推薦它，但我這樣改了2年到現在還沒遇到什麼明確問題，所以我覺得還OK!

6. 只顯示 .exe 的副檔名(新增)

面對偽裝行隨身碟病毒，最好的方法是打開顯示副檔名，但對很多人來說這樣子其實是不小的困擾，所以有人寫出了這個批次檔，讓系統只顯示 .exe 的副檔名，這樣子就算病毒偽裝成資料夾也可以很輕易看出來!!

下載這個，解壓縮後執行"顯示EXE.bat"，解除的話只要執行"NO顯示.EXE.bat"即可

三、病毒預防(二)：幫隨身碟打免疫針

因為在 windos 端 autorun.inf 的操控複雜，所以我們乾脆利用微軟所規定的資料夾內不可有兩個同檔名文件這項規定讓病毒無法創建它的 autorun.inf。

目前沒有任何免疫是能完全預防的，想想看，你能新增一個資料夾或檔案，反向進行你就能刪除它，病毒當然也可能做得到......所以本機的安全保護也要做好!

要聲明!插到有毒的電腦仍會將病毒複製進來，但至少在安全的電腦中可以簡單的點兩下打開隨身碟，開啟後解除隱藏系統檔案後盡情殺毒!!

1.同名資料夾
使用 USBCleaner 設置無法被刪除的 autorun.inf 資料夾，官方網站
單純的設同名資料夾並改為唯讀已經沒用了!現在絕大多數的病毒會先清除同名資料夾的資料夾屬性後照刪不誤，所以得依靠某些程式的特殊功能(雖然很多程式號稱的免疫也只是單純的創建唯讀資料夾而已......)
USBCleaner 是在 autorun.inf 資料夾內設置另一個特殊資料夾，再藉著讓此資料夾的檔名和真正的檔名不同來達成無法刪除!以我長期使用的經驗，目前似乎還沒有病毒能成功刪掉它(頂多是資料夾屬性被消除、解除隱藏及系統而已)；但我最近測試，使用 XueTr 是能刪除成功的!!可見以後還是可能被破解。

2.無法被刪除的 autorun.inf 文件
此方法轉載自 PCZON 的 FYI 網友，但在我手邊的三台電腦和兩款隨身碟上都無法重現，若有人知道詳細的發法，希望能和大家分享一下：

在卸除式磁碟建立無法刪除或變更的 Autorun.inf (FAT16/FAT32)，方法是從磁碟的 Directory Table 找到 "AUTORUN INF" 進入點，然後將第12 個位元組，也就是檔案屬性(00ADVSHR)，原來是0x20，代表 Archive, 改成 0xE5 或 0xE2，按照小弟的實驗，以上技巧在於設定未定義(公開)的位元(Bit6, Device)，導致作業系統無法存取 Autorun.inf (存取被拒)，這個方法不但可以愚弄 Windows XP，也可以通過磁碟檢查，這就達到為卸除式磁碟打預防針的目的，實在是一個聰明的辦法，當然結果並非完全免疫，而是免於自動執行，操作步驟如下：

A.以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 "AUTORUN.INF" (大寫)
B.開啟 Tiny Hexer
C.點選 "File -> Disk -> Open drive..."
D.選擇卸除式磁碟代號, "Load" 輸入 "64" -> OK, 數字愈大, 讀取愈快，但可用空間會更小...
E.按下 Ctrl-F, 輸入 "AUTORUN INF " (有兩個空格), "Find text" 打勾, 點擊 "Find"
F.點擊 "Yes to All"
G.找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零
H.紀錄標題所顯示的 "sectors" 起始位置
I.關閉檔案, 重新載入, "Load" 輸入 "1", "First sector" 輸入以上起始位置 ， OK
J.找到目標後, 將 "AUTORUN INF " 改成 "AUTORUN INF@"
K.儲存並退出隨身碟
L.重新插入隨身碟, 嘗試讀取, 更名或刪除 "AUTORUN.INF"

這邊再提供CCF論壇的LeoDou網友的另一個方法：

用 Winhex 打開優盤，定位到 AutoRun.inf 文件，可以看到文件後面是一個空格，中間也是一個空格，試了一下，改中間的空格不行，這樣文件名就改了，把後面的空格（20）改為 （E5）——成功。
文件名沒改，但這個文件刪不掉也沒法改名！

以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備。

四、殺毒軟體：介紹 EFix 腳本使用方式

我並不是很想推薦常駐行的隨身碟病毒安全軟體，畢竟一天下來頂多插拔個十幾次，每次使用前都要等十幾秒掃瞄。為了這少少的使用結果平時得浪費資源在常駐軟體上實在不划算!!若不常駐而每次插入時才開啟掃瞄那花更久的時間(還有可能忘記...)!!

與其這樣消耗電腦資源、浪費時間和降低操作便利性還不一定擋的住病毒，到不如花點時間在預防上還更加值得。

那中毒的話呢?怎麼殺??很可惜的是我只相信手動殺跟 EFix(爆)

以下只是我個人的經驗，當然每個人遇到的狀況可能都不太相同!!

因為其它軟體都常在我可見範圍內失誤；小紅傘、avast和諾頓在沒解除隱藏系統資料夾的狀況下常常掃不到毒，雖然說解除就掃的到了但都已經花時間去解除了乾脆手動殺算了...avg測試還不夠久不敢下定論，usbclerner、Wow! USB VirusKiller 被我淘汰了...都已經是專殺還查不到病毒實在不應該!，而卡巴則是少數有效的防毒軟體(至少在這幾年中還沒看他出包過)(撇頭推薦)但我很討厭它對於inf完全不分析，管它是預防是自己設定還是中毒見了就砍的機制...

若要防禦很強大的話，Wow! USB VirusKiller是很不錯的，雖然有殺不到毒的經驗，但還沒遇到它擋不下autorun.inf過(雖然得讓它一直長駐就是了。)
要是中毒而且舊防毒掃不掉的話，目前免費軟體中只有 EFix 還沒讓我失望就是了~

手動以後再補充(逃)

在此要補充舊版的 EFix 的腳本功能，若是你自己查出病毒位置但防毒認不出來，可用這個功能手動殺，但若非真正瞭解自己在做什麼的，作者強烈反對你使用此功能!以下轉自作者的介紹：

Script
File：
Reg：

其中 Script 是腳本啟動程序，沒這段文字腳本是不會執行的請務必注意
再來是 File：
File 這一部分是裡面是你要刪除的檔案
比如像下面：

File：
C:\Windows\system32\1.exe
C:\Program Files\debug\12345678.dll

類似像上面的寫法，注意萬用字元不可使用，會有問題

再來是 Reg：
Reg 的寫法和一般直接用 Reg 檔匯入的方式一樣
寫法是這樣

Reg：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"=""

上面的 Reg 寫法我說明一下
首先是 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
這一段的意思是將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
機碼內的 IMJPMIG8.1 這個字串值刪除，刪除就是用"-"

再來是
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
這一段的話是表示將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
整段機碼刪除，包含底下所有的字串值和子機碼
而 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"=""
這一段是表示將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 裡面的 appinit_dll 這個字串值內容變空白但不刪除這個字串值

這樣說應該可以瞭解吧....Reg 的登錄檔寫法大致上是這樣
以上面的範例來看所有寫完之後的文字範本就像底下

Script
File：
C:\Windows\system32\1.exe
C:\Program Files\debug\12345678.dll

Reg：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"=""

就會變成像上述文字的格式
ok....這時就到 EFix 資料夾內部執行 Runthis.bat 這個檔案

當執行完畢之後 EFix 資料夾內會產生兩個檔案，一個為 Reg.txt，一個為 File.txt
其中 Reg.txt 的內容為

Reg：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"=""

File 的內容為
File：
C:\Windows\system32\1.exe
C:\Program Files\debug\12345678.dll

發現了嗎？就是 Script 腳本裡面的 Reg 和 File 部分分離了
這時腳本程序就已經完成

再來就是在執行一次 EFix，就可以發現報告多了
move file c:\windows\system32\1.exe ==> c:\efix\backup\files\c\windows\system32\1.exe.vir
如上面這一類的
這就表示腳本內的檔案成功觸發了
但由於這邊刪除檔案是使用 Movefile 的關係，所以必須要重新開機之後檔案才會被刪除

基本上腳本的使用方式大致就是這樣...以後可能會改或新增，但大致上的使用方式就是這樣
有興趣自己來的可以試試，但對登錄檔不熟的人請勿輕易嘗試以免造成無法彌補的遺憾。

五、進階：自訂美美的資料夾吧!

自訂desktop.ini 觀察隨身碟中是否藏有病毒。

花了大量的時間總算讓電腦和隨身碟都預防好了(在此使用製作資料夾方式)(雖然實際操作不用2分鐘~)，但要是讓病毒複製進來總覺得讓人不爽，每次要刪除都得解除來解除去的花時間檢查，要是沒檢查結果點到了那種偽裝自己成資料夾的病毒那麼又前功盡棄......。有沒有方法讓人能"隱藏系統資料夾又能觀察的到有沒有中毒"呢?那就是這個章節要介紹的啦~~

先講解個和 autorum.inf 有點像的東西 desktop.ini!
來看看它的內容：

[.ShellClassInfo]
IconFile=(資料夾圖示位置，支援絕對路徑，可省略硬碟名稱 ex：\Windows\system32\SHELL32.dll)
IconIndex=0
[.ShellClassInfo]
[{BE098140-A513-11D0-A3A4-00C04FD706EC}]
Attributes=1
IconArea_Image=(資料夾背景圖片位置，支援絕對路徑)
IconArea_Text=(資料夾內字體顏色，不輸入即為黑，RGB色碼 ex：黑色 0x00FFFFFF、藍色0x00FF0000、青色0x0000FF00、紅色0x000000FF、紫色0x00C000C0)

[AveFolder]
IconArea_Image=(vist版資料夾背景位置，不支援絕對路徑!!!)
ShadowedText=1(字體陰影)
Recursive=0(字體顏色)
TextR=0
TextG=0
TextB=0

把這個改好放在"系統"資料夾內，即可有個人專屬美化的資料夾囉~
囉唆一堆...重點在這"系統"，要讓 desktop.ini 有作用的資料夾必須有"系統"屬性!
想起了沒??
沒錯~就是利用病毒會把 autorun.inf 資料夾的屬性給砍掉的特性；我們可以先自訂 autorun.inf 資料夾的圖示(背景什麼都是改好玩的~，ps.win7不支援背景!)，若有病毒嘗試進入隨身碟創建autorun.inf，那麼這個 autorun.inf 資料夾系統屬性就會消失變回普通的圖示，如此一來就可以知道有病毒在隨身碟中了!(若本機預防作和隨身碟免疫都沒被破解，就算防毒軟體掃不出，手動砍一砍就夠了~)
若我們事先先把隨身碟中的資料夾通通都設定成漂亮的圖示，遇到那種"偽裝自己"的病毒也立刻現形(因為病毒只會偽裝成預設的資料夾圖示...真正的資料夾就被隱藏起來了)!!

附帶一提，病毒只會影響根目錄中的資料夾，所以其它子目錄就不用修改了(除非你愛美XD)

那嚜，最關鍵的"系統屬性"怎麼設呢??

怕麻煩可以去下載 Attribute Changer，安裝這個程式後對資料夾右鍵選單中會多出個 "Changer Attributes..."，點選它就會看到進階的資料夾屬性設定，包含可以設定唯讀、隱藏、保存、系統、壓縮、索引(由左上到右下)，還可以修改資料夾創見、修改日期等等；在此我們只需要將系統前面的筐筐打勾(按兩下)。

不想安裝一堆軟體?我們可以利用系統預設的 attrib 指令來做到：

首先按"開始-附屬應用程式-命令提示字元"開啟 CMD
輸入以下內容後按 ENTER
Attrib +r "你的資料夾路徑"(+r代表增加系統屬性，+s代表增加隱藏屬性；反之亦然)
Ex：D槽裡Autorun.inf資料夾增加系統屬性
Attrib +r "D:\Autorun.inf"

我個人較喜歡裝軟體，一來我覺得這是理所當然的功能，二來才不用每次從學校拿隨身碟回到家後還要打一堆指令~

在刪除時，不太需要擔心刪到重要的系統檔案(我是說隨身碟喔!!硬碟就不能亂刪!!!)因為從temp到垃圾桶的資料夾還有*.com 預設上通~通不會也不應該出現在隨身碟根目錄中。看到的話，檢查下是不是.exe或是link或是.com等等~反正不是你的就刪啦~

還有，隨身碟的根目錄中最好不要直接放檔案，一則較整齊，二則某些病毒可能會把根目錄中的 office 及 .exe 大砍特砍，三則當看官你要手動殺毒時還要判斷哪些是病毒哪些不是啟不麻煩?。

六、總結

總算結束莫名冗長的講解了(擦汗)
若看官是沒看完資料或看到現在已經把前面忘光光的，讓我直接將重點一次打完吧!(遭毆)(但這些防治方法很多是建立在瞭解原理之上，還是希望各位能多看看~)

1. 若是不清楚隨身碟中有無病毒且沒做預防，那麼可以用檔案總管的樹狀目錄點"+"跳過自動執行來進入隨身碟內檢查。
2. 安裝更新 KB971029
3. 下載 NOAUTRUN.REG 和 DisableAutorun.reg 後雙擊匯入(警告視窗直接確定即可)
4. 下載 usbcleaner，用它來免疫隨身碟(這裡是我個人提取的本體，除了免疫外其他功能一率無法使用)
5. 安裝 Attribute Changer，對隨身碟中的根目錄中的 autorun.inf 資料夾 "右鍵-Changer Attributes..." 勾選 system (系統屬性)，後下載這個把它解壓縮後的兩個檔案放入 autorun.inf 資料夾中，重新整理後，若是有開啟顯示系統檔案，因該會看到它的圖示變成一個驚嘆號
6. 以後若是看到 autorun.inf 資料夾變回普通的圖示，那很有可能有病毒潛藏在隨身碟中，解除"隱藏系統檔案"和"顯示所有隱藏的資料夾和檔案"後把不屬於你的東西通通刪掉即可。

目前隨身碟病毒仍然非常氾濫，但經歷多年了仍然毫無特殊技術且害處一堆的垃圾病毒!(蝗蟲型的、亂砍檔案的、木馬的、刪驅動程式的、盜帳號的、刪掉網路卡驅動的)因此希望能多推廣對它的徹底防禦(希望沒因為打太多成了反堆廣就是了)能稍稍降低這種病毒的威脅!
共勉之~

若此篇文章有錯誤或者無法重現的部分，歡迎提出來討論，若OK我會盡快修正文章~

資料來源：
pczone防毒防駭版8樓、17樓、23樓、39樓、40樓、48樓

ClassiClub ForuM精品論壇
Autorun.inf Entries
EFix腳本編輯使用方式
indeepnight的IT部落格： 自動執行的測試（Testing Autorun）
Nick Brown's blog： Memory stick worms

免費、免安裝軟體大全,數十款常用免安裝軟體讓你隨身帶著走!

有時候大家不訪會去使用別人的電腦或者在不是自己的電腦上使用電腦,有時候別人的電腦可能裡面的工具很陽春只有IE、記事本 ... 這些非常陽春的工具,

可是如果平常用Firefox(火狐)、Chrome用的很瘋狂的人一定會不習慣..,或者又是用別人的電腦看到了隨身碟病毒自己的USB也遭殃了看了不順眼,可是又沒有臨時的工具可以用,去抓又嫌麻煩,這時候就可以利用網路上非常強大的免安裝力量來克制這些不習慣了喔: ),

會想發這篇帖子的靈感來自於這次回去鄉下 - 雲林,堂哥的電腦中都只有IE、記事本這些很陽春的工具,IE不僅很吃CPU(很容易當掉),而且瀏覽網頁很不順暢ˇ,用習慣火狐的我真的非常的受不了,可是又怕亂安裝東西要臨時要移除的時候很麻煩,好在現在免安裝的威力越來越猛了,可以漸漸的解決掉這些不便,只要你有隨身碟也可以把這些軟體帶著跑喔ˇ.

當然免安裝工具不僅僅只是放在隨身碟中帶著跑這麼簡單而已,有時候想測試軟體不想要安裝的時候其實也是可以利用以下推薦的免安裝軟體來做測試,不僅可以輕輕鬆鬆測試要刪除也可以直接Delete省去許多麻煩的解除安裝過程,又不用怕電腦上殘留安裝檔案、登陸檔案.

好了正文開始,看到好的軟體請不要害羞,下載連結直接給他點下去,套一句老化害羞沒飯吃,這邊則是害羞下載不到(遭歐,開玩笑的).

※小插撥 - 為了怕大家不會下載免費網路硬碟空間,看這些免安裝工具請先瀏覽銘之前寫的教學文章：

【訊6免費網路硬碟下載教學】

-------------------------------------------------------------------------------------------------

免安裝壓縮軟體區：

第一款 - 7-Zip 安裝/免安裝版

為何銘會把壓縮軟體放在最上面呢?,原因很簡單 .. 因為下面有些軟體需要使用到壓縮軟體(雖然大部分都是自解檔案),可是有時候可能隨身碟中有.rar/.zip/.7z這些壓縮檔案,可是 ... 如果沒有壓縮軟體的話將無法把這些軟體解壓縮出來,這樣會非常棘手,不過沒關係 .. 有7-Zip壓縮軟體一樣也可以帶著走,

讀者：疑? 7-zip確定也是免安裝版? 銘：是的既然是免安裝軟體大全當然要給大家最全面的免安裝軟體,不過銘也提供安裝版 .. 因為基本上現在每台電腦幾乎都有壓縮軟體,如果那台電腦中沒有的話或許你可以詢問一下電腦的原主人是否要幫他安裝個免費壓縮軟體,這樣就不用像小偷一樣連壓縮軟體都要用免安裝版的

7-zip算是免安裝軟體的最首選,因為這篇文章為了大家方便使用銘還是以免費作為最基礎,7-zip本來算是免費壓縮軟體的老大,這款不介紹對不起讀者摟!

當然銘又各別提供最新官方版本 - 4.65版、官方測試版本 - 9.12版本,如果只是想要嘗鮮的話可以下載9.12,有打算真正一直使用請下載4.65

• 免安裝壓縮軟體名稱：7-Zip
• 免安裝7-zip版本：4.65 / 9.12Beta(分為兩種,4.65又分為安裝版,免安裝版)
• 免安裝7-zip作者/載點來源：不可考 / 海芋小站
• 免安裝7-zip語言：正體中文(繁體中文)
• 免安裝7-zip下載：《點我下載7-Zip4.65(安裝)》/《點我下載7-zip4.65(免安裝)》/《點我下載7-Zip9.12Beta(免安裝)》

※深入閱讀 《7-Zip使用教學》

------------------------------------------------------------------------------------------------

免安裝瀏覽器區：

第一款 - Internet Explorer6 / 7/ 8 免安裝版

首先第一款是大家最熟悉的瀏覽器 - IE,為什麼免安裝中要介紹IE呢? 其實有些使用者還是習慣使用IE,可是有些電腦中可能只有IE6或者IE7或者IE8,當你想用其他版本的IE的時候,又不能直接找安裝檔幫別人升級,有可能電腦的主人也已經習慣當前的電腦版本了,這時候就可以下載IE免安裝版來使用.

很可惜的是下載下來的時候免安裝版本是英文版,不過基本上IE不需要去設置就可以用了,基本的瀏覽算是可以用,基本上IE6以上的版本已經很圖形化了,所以基本上不用去擔心瀏覽器本身語言的問題.

• 免安裝瀏覽器名稱：Internet Explorer
• 免安裝IE版本：6 / 7 /8
• 免安裝IE作者/載點來源：XeNoCoDe / 就是教不落
• 免安裝IE語言：英文
• 免安裝IE下載：《點我下載IE6》/《點我下載IE7》/《點我下載IE8》

第二款 - Mozilla Firefox 免安裝版

第二款要介紹的是於去年2008/6/18釋出時候突破世界紀錄 - 單日下載800萬次風靡全球的Mozilla Firefox,Firefox的好處真的不用銘多說,不管是他的流暢程度(雖然事後有被發現是使用高資源撐出來的)、強大的擴充性(Firefox外掛),只能說Firefox是目前擴充性最強的瀏覽器之一,即使不要看Firefox的速度光他的外掛就可以許多瀏覽器 - 六宮粉黛無顏色(他又在亂用諺語了.)

不過銘說的真的不誇張Firefox真的就是這麼厲害!,當然用習慣Firefox之後在去用IE對自己來說會是種煎熬,不管是速度、流暢性、功能都是遠遠超越IE,Firefox也是這篇文章會出來的靈感,銘也是Firefox的超級Fans之一,只能說免安裝瀏覽器不介紹這款銘真的會"遭歐".

• 免安裝瀏覽器名稱：Mozilla Firefox (Portable)
• 免安裝Firefox版本：3.6.3 (與安裝版最新版本相同)
• 免安裝Firefox作者/載點來源：阿榮 / 阿榮福利味
• 免安裝Firefox語言：正體中文(繁體中文)
• 免安裝Firefox下載：《點我下載Firefox3.6.3》

第三款 - Google Chrome 免安裝版

Google Chrome應該也算是非介紹不可的瀏覽器之一,有著超級簡潔的介面、超省資源的優點也有著一堆"非用不可的忠實Fans",銘雖然沒有像Love Firefox(火狐)一樣這麼愛Google 的 Chrome瀏覽器,不過剛電腦不順的時候就會開啟Chrome,看到清爽、簡潔的介面心情自然也會好起來,當然瀏覽速度也是超級順暢的～(Google出品的品質能多爛ˇ).

※免安裝版設定檔及外掛備份/還原方法：備份「GoogleChromePortable\Data」資料夾，再覆蓋回去即可！

※Chrome免安裝版可以自行更新最新版本,更新最新版本方法 - 下載最新安裝版Chrome安裝於電腦中→用最新安裝版的安裝資料夾覆蓋免安裝版的資料夾即可將自己的免安裝版Chrome更新至最新版本

• 免安裝瀏覽器名稱：Google Chrome (Portable)
• 免安裝Chrome版本：5.0.356.2
• 免安裝Chrome作者/載點來源：PortableApps / 阿榮福利味
• 免安裝Chrome語言：正體中文(繁體中文)
• 免安裝Chrome下載：《點我下載 Google Chrome》

第四款 - Opera 免安裝版

Opera也是瀏覽器使用率非常高的一款,目前經過測試是所有瀏覽器軟體中速度最快的一款.介面還算簡潔,銘之前有安裝過,速度算是不錯,不過用習慣火狐的我最終還是把它解除安裝掉了,當然一定也有人喜歡使用Opera,Opera在瀏覽器界也佔有蠻重要的位置,理所當然要介紹了.

• 免安裝瀏覽器名稱：Opera (@USB)
• 免安裝Opera版本：10.51
• 免安裝Opera作者/載點來源：Opera@USB / 阿榮福利味
• 免安裝Opera語言：正體中文(繁體中文)
• 免安裝Opera下載：《點我下載 Opera》

第五款 - Safari 免安裝版

Safari是蘋果公司出產的瀏覽器,Safari最主要的賣點不是瀏覽器本身的功能而是他給於使用者的瀏覽(視覺呈現),跟其他瀏覽器主打的不同,也跟蘋果作業系統Mac走的方向相同,是以美感為主.

• 免安裝瀏覽器名稱：Safari
• 免安裝Safari版本：4.528.16 Beta
• 免安裝Safari作者/載點來源：阿榮/ 阿榮福利味
• 免安裝Safari語言：正體中文(繁體中文)
• 免安裝Safari下載：《點我下載 Safari》

------------------------------------------------------------------------------------------------

免安裝文書軟體區：

第一款 - OpenOffice 免安裝版

OpenOffice算是免費文書軟體的老大,當然也有熱心的網友把它變成了免安裝版,文書工具對於許多人來說算是非常重要的軟體,微軟Office雖然也有免安裝版,可是微軟的Office需要序號不便於隨身攜帶,而OpenOffice不僅是合法的而且檔案也不大,大約200MB上下而已,重點是他可以隨身攜帶,就算別人的電腦中沒有文書軟體也可以即時插上隨身碟使用起文書軟件工作喔: )

OpenOffice的好處當然不止有免安裝版,他的Draw繪圖空能也很強大,Writer也可以媲美微軟的Word當然也支援簡報軟體了喔: )

• 免安裝文書軟體名稱：OpenOffice
• 免安裝OpenOffice版本：2.3
• 免安裝OpenOffice作者/載點來源：bigvip2004 / 阿B福利社
• 免安裝OpenOffice語言：正體中文(繁體中文)
• 免安裝OpenOffice下 載：《點我下載 OpenOffice》
• ※解壓縮密碼：http://www.mycould.com BY bigvip2005

延伸閱讀：《OpenOffice Writer使用教學》 / 《OpenOffice Calc使用教學》

------------------------------------------------------------------------------------------------

免安裝解毒、掃毒軟體：

第一款 - Spyware Doctor 免安裝版

銘真的覺得免安裝的市場越來越猛了.. ,Spyware Doctor這款專門移除間諜、木馬、廣告軟體的解毒軟體,原本應該是要安裝的,因為要介紹軟體銘覺得防毒也算是蠻重要的找了一下盡然找到了這款免安裝版的 ...,真是猛.

Spyware是一款免費、強大的間諜程式、廣告程式、木馬掃描工具,鍵入關鍵字會有蠻多這款軟體的相關介紹,銘有實際使用,只能說這款軟體強大中的強大,原本不會列入介紹剛好有免安裝版本不介紹有點對不起自己/  \.

※掃描之前記得先更新一下定義檔喔: ).

• 免安裝解毒軟體名稱：Spyware Doctor
• 免安裝Spyware版本：6.0.0.383
• 免安裝Spyware作者/載點來源：不可考 / 外掛聯合國
• 免安裝Spyware語言：正體中文(繁體中文)
• 免安裝Spyware下載：《點我下載 Spyware Doctor》

第二款 - 貝殼木馬專殺 免安裝版

貝殼木馬專殺是對岸開發的軟體,專門用於殺木馬上面,定義庫非常大 - 目前1.4.4982.299可以掃描1000萬↑的木馬,當開啟軟體的時候會自動更新定義庫,更新速度非常的快,因為貝殼木馬專殺是使用雲端技術,等於說病毒定義基本上是不用下載到電腦的,只需要更新一下統計的數字而已,掃描速度算很快,雖然是簡體中文的介面不過基本上那些文字只要看的懂繁體中文一定看的懂,而且也支援未知文件上傳提供分析的功能,算是一款非常便利的免安裝木馬專殺工具.

• 免安裝解毒軟體名稱：貝殼木馬專殺
• 免安裝貝殼木馬專殺版本：1.4
• 免安裝貝殼木馬專殺作者/載點來源：貝殼安全 / 貝殼木馬專殺
• 免安裝貝殼木馬專殺語言：簡體中文
• 免安裝貝殼木馬專殺下載：《點我下載貝殼木馬專殺》

第三款 - Kavo_Killer(Kavo病毒殺手) 免安裝版

Kavo_Killer相信大家在熟悉不過了,沒錯他就是國產的Kavo專殺工具 - Kavo_Killer,大家可能會問銘他不是最強的Kavo專殺工具也不是最方便的,為什麼推薦這款呢? , 原因很簡單 因為Kavo_Killer是我第一款接觸的Kavo專殺工具,他在幾年前算是台灣數一數二的Kavo_Killer解毒工具,因為操作簡單、畫面親民,很快的就在台灣、世界各地竄紅,不過後面專殺工具越來越多Kavo_Killer漸漸的沒落下去,又加上作者一段時間沒更新(目前已恢復更新),所以使用率降低許多,不過Kavo_Killer一直是我最推崇的新手使用、隨身攜帶的Kavo專殺工具首選,因為他的便利性、實用性,有著一鍵殺毒、三秒清除Kavo病毒的美稱.

• 免安裝解毒軟體名稱：Kavo_Killer
• 免安裝Kavo_Killer版本：5.4
• 免安裝Kavo_Killer作 者/載點來源：張書維 / 書維的部落格
• 免安裝Kavo_Killer語言：正體中文(繁體中文)
• 免安裝Kavo_Killer下載：《點我下載Kavo_Killer》

------------------------------------------------------------------------------------------------

免安裝文字編輯工具：

第一款 - Notepad++ 免安裝版

※此款推薦喜歡簡潔又不需使用太多功能的人使用.

相信有在寫網站的各位有時候應該常常會用到文字編輯工具來編輯、修改一些CSS檔案,如果出門在外臨時要修改這些檔案可能會發生記事本功能太陽春無法完整的編輯PHP、ASP檔案,這時候就要借助到一些市面上的文字編輯工具的幫忙了,Notepad++算是一款非常簡單、易用的文字編輯工具,他有著Windows內建記事本的簡潔風格,又有著記事本的強化版的美稱,Notepad++就如他的名字一樣是Windows內建記事本(Notepad)的++(強化版),Notepad++的介面、功能都比Notepad還有強許多,可是如果出門在外不想安裝的話,沒問題 .. 請馬上打開免安裝的Notepad++軟體馬上對文字文件進行編輯.

• 免安裝文字編輯工具名稱：Notepad++
• 免安裝Notepad++版本：5.6.8
• 免安裝Notepad++作者/載點來源：阿榮 / 阿榮福利味
• 免安裝Notepad++語言：正體中文(繁體中文)
• 免安裝Notepad++下載：《點我下載 Notepad++》

第二款 - PSPad 免安裝版

※此款推薦偏好強大功能的讀者使用.

這款軟體一樣也是純文字編輯工具,不過 .. PSPad就沒有Notepad++這麼簡潔了,沒有這麼簡潔當然功能比較豐富,喜歡簡潔的使用者就不建議使用這款,當然沒有簡潔有強大的編輯功能正是銘要介紹他的原因,他的功能只能說算是齊全 .. 而且有基礎的Html直接進行拖拉功能(不需寫語法),而且還有著一些不錯的Html小功能E.x.原始碼整理、Html標籤大小寫轉換..等,算是這款文字工具的特色,

Notepad++跟PSPad銘兩款都有安裝,不過基本上銘比較偏愛Notepad++的簡潔性、易用性. 至於該如何選擇還是依照大家的習慣摟: ).

• 免安裝文字編輯工具名稱：PSPad
• 免安裝PSPad版本：4.5.4.2356
• 免安裝PSPad作者/載點來源：阿榮 / 阿榮福利味
• 免安裝PSPad語言：正體中文(繁體中文)
• 免安裝PSPad下 載：《點我下載 PSPad》 / 《PSPad備用載點》

------------------------------------------------------------------------------------------------

沒有分類的免安裝工具區：

‧FTP工具區：

第一款 - FileZilla 免安裝版

FileZilla是國外的人開發的免費FTP工具 .. 算是免費FTP軟件中最強大的一款,包括銘現在電腦中有內建著這款FileZilla,以前的FTP主流基本上都是FtpCap,可是FileZilla的出現打破了那些舊的FTP軟體簡單的功能,FileZilla算是一款免費、強大的FTP軟件,也是目前算是使用者佔有率非常高的一款FTP軟件(包括銘現在的學校也是使用這款 - FileZilla),他的好處實在太多了 .. 一言難盡,這邊就不多做介紹了,他的強大性 .. 相信使用過的人都知道,至於免安裝版則是官方網頁上自己就有提供的,而不是民間網路自行流傳、製作的,FileZilla算是非常親民的一款FTP軟件.

• 免安裝FTP工具名稱：FileZilla
• 免安裝FileZilla版本：3.3.2.1
• 免安裝FileZilla作者/載點來源：FileZilla / FileZilla Client Download
• 免安裝FileZilla語言：正體中文(多國語言,繁體中文)
• 免安裝FileZilla下載：《點我下載》

第二款 - CuteFTP 免安裝版

CuteFTP算是老牌的FTP工具了 ... ,免安裝版銘手邊的版本非常的老舊(大約有15年↑的歷史..,超級無敵老古董),這個免安裝軟件是從國小的學校抓過來的(剛剛去看了一下國小的程式下載頁面,也改成FileZilla了...),CuteFTP是一款非常老牌的FTP軟件,我只能說他的性能沒有優於上述的FileZilla而且只要遇到太多檔案一次上傳就會呈現整個當掉的狀態,不過相信這款還有許多不少的愛用者,當然還是放上來提供給各位下載了!.

• 免安裝FTP工具名稱：CuteFTP
• 免安裝CuteFTP版本：50.7.8.1
• 免安裝CuteFTP作者/載點來源：不可考 / 休閒小舖
• 免安裝CuteFTP語言：正體中文(多國語言,繁體中文)
• 免安裝CuteFTP下載：《點我下載》

------------------------------------------------------------------------------------------------

結語：

花了一個多禮拜的時間完成這篇文章,會想寫這篇文章的念頭也是因為自己有遇到相似的問題才會想寫一篇文章解決與我有相似問題的人,以上這些軟體基本上銘都有親自測試、使用過,都是一些不錯的免安裝小工具,檔案體積不大,隨身帶著跑絕對沒問題,

銘有時候去一個新環境都會很不習慣,因為少了平常習慣的那些軟件,如果把這些軟件的安裝檔一一下載下來在安裝可能要花不少的時間,少則1小時多則花上3小時都不誇張,臨時用個電腦要用這麼多時間建立起自己習慣的使用環境其實真的划不來,

不如把上述這些提到的軟件放在隨身碟中帶著跑,不僅不用花時間去安裝、離開的時候也不會被罵(開始→所有程式跑出一堆東西或者取代原本的工具),

這些工具都是非常簡便的,希望大家可以多加利用,至於這些免安裝工具幾乎99％不是來自於銘自行下載、上傳,都是利用Google搜尋引擎找到的,

或許有你想要帶著跑的軟件銘沒有提到,不過希望大家能多多善用搜尋引擎解決自己的煩惱,只要鍵入關鍵字："軟件名稱"免安裝版,就有可能找到自己想要的軟件了喔: )

※本文原文出處 - 《休閒小舖》 - 1cc.biz 轉載時希望大家尊重銘我,不要刪除此作者信息喔^^.歡迎全文轉載走～.

希望這篇文章可以解決大家的問題,好久沒有寫原創文章了,歷隔這麼多次寫,盡然寫了這麼長一篇.. 蠻恐怖的.

《2009》免費的資安工具（免費的也可以比付費的還奔～！）

大家或許沒有錢買防毒軟件

或著...嗯 不想買防毒軟件
不過又想要合法用...

---------------------------------------------------------------------------------------
今天 我來介紹『銘』常用的免費防毒組合提供給初心者站長論壇的會員or小舖讀者使用
應位為了讓大家更親近防毒
此篇文章所有軟體 我都努力的找 繁體中文版給大家使用！！
所以如果不錯的話 請回個帖子！！   ～ ^^

防毒軟件（防毒軟件區請選擇一個即可）：

『防毒軟件名稱』：A-squared Free

『防毒軟件下載』：《點我下載》（進去不用點擊任何東西會自動出現下載視窗）

『防毒軟件介紹』：這款銘很早就用過了 算是既 諾頓用的第二款 算是能力中等 因為最後換成ESETNOD32 所以不用這款了！！推薦給各位使用喔

『繁化教學』：安裝完畢出現是英文介面請在安全狀態上的language選  big5 變成繁體 其他掃瞄就簡單了 只要記得定期按更新即可保護電腦

----------------------------------------------------------------------------------------------

------------------以下軟件皆可以全部下載不會跟以上軟件互衝--------------------

輔助殺軟：
1.AVG8.5繁體中文版：
『防毒軟件名稱』：AVG8.5繁體中文版
『防毒軟件下載』：《點我下載》
『防毒軟件介紹』：
嗯...AVG是一款 國際性的防毒軟體
在早期 銘都是使用英文版或繁中版非常的不方便
AVG在7.5版本的時代 也沒有所謂的即時監控.病毒防護
都必須要透過付費來完成解除限制的工作
不過從AVG8.0開始免費版本擁有了 即時監控
而讓AVG使用量大增
不過礙於 沒有繁體中文介面
終於...皇天不負苦心人就在2009/6月的某一天
銘接到了一個訊息...AVG繁體官方.繁體中文版 上市
包刮 免費版 進階版 都有繁體中文
這讓銘苦苦等了三年
有股莫名其妙的感動..
＝ˇ＝！！   這款防毒軟體
掃除率非常的高
所以作為NO.1的推薦～！
歡迎大家下載使用
輔助工具：
1.Kavo_killer4.15
『軟體名稱』：Kavo_killer4.15
『軟體下載』：點我下載
『軟體介紹』：
Kavo_killer算是目前最火紅的kavo病毒移除工具了
速度快效能高＝ˇ＝
張書維 算朋友吧...-ˇ-跟他有一點認識！！
這款式張書維大大寫出來的工具
專門清除kavo病毒以及免疫的...我非常喜歡這款軟體
是使用VB寫的 清除速度很快
也附有免疫功能
在清除過程中 會把封鎖隱藏功能...解開！！
是款非常好用的kavo病毒移除工具
銘推薦大家一定要用
清除完畢會在每個磁碟中
產生
auto資料夾！作為免疫
免疫為何？
容許我來解釋一下：
免疫就像下面一樣-
kavo病毒攻擊電腦→進入成功→開始衍生→遇到有相同資料夾→執行刪除→無法刪除→病毒無法衍生→無法發揮效用！！
※不一定每個kavo病毒都這麼好解決，有些病毒會透過 強制刪除.自動變換檔名 還是可以繼續衍生所以 定期掃除才是王道！！
2.Wow! USB VirusKiller
『軟體名稱』：Wow! USB VirusKiller
『軟體下載』：點我下載
『軟體簡介』：
這款隨身碟移除程式
算是隨身碟屆中的 《防火牆》
我認為 只提供killer似乎不夠
我認為我們不能處於挨打的角色
所以應該要做出主動式防禦
Wow! USB VirusKiller特點就是
插入隨身碟→立即檢查→有病毒移除掉→沒病毒通過→移除完畢→開始使用隨身碟
算是主動式防禦的第一軟體
他會主動偵測USB中有沒有病毒
偵測到會執行移除
這樣子可以大大降低中毒的機率！！
間諜程式掃瞄：
Spyware：
『軟體名稱』：spyware
『軟體下載』：《點我下載》
『軟體介紹』：
這款軟體 銘本身自己也有用過
效果非常的好 每次一掃都會有10↑的病毒
不管是用 卡車司機、黃牌、紅牌...等等防毒軟件
應位他包含了弱點偵測.威脅掃瞄.木馬偵測.後門偵測.間諜程式偵測.廣告軟體
都可以偵測出來 算是一款表現不錯的偵測軟件！！
防火牆：
『軟體名稱』：費爾個人防火牆專業版3.0
『軟體下載』：《點我下載》
『軟體介紹』：
費爾個人防火牆 算銘第一套使用的防火牆
對應用程式的監控 有非常完善的介面
防火牆簡易介紹圖：
應用程式開啟→防火牆過濾→詢問使用者→同意/封鎖
網路攻擊→防火牆←使用者
這款防火牆 算是不錯
而且是免費的版本 永久免費
對於 防毒也算不錯的作用
也有監控電腦的程式作用.-ˇ-
結語：
銘介紹了這麼多防毒軟件
用意也只是幫助初心者會員省錢防病毒
要問我能100％防病毒嗎？
實際上是不可能
任何在強的防毒軟件都有可能讓病毒逃過
所以我才介紹這麼完善的輔助工具
輔助各位使用者
這些軟體算是我本人使用上的一些經驗
以及安裝必定幫別人裝的！！
這些軟體 版權屬於原作者
銘在此保證 以上此軟體絕對不會要到各位一毛錢
不過 免費固然有免費的不好 見仁見智罷了
資安這種東西
防不勝防
科技日新月異 沒有人能保證能100％防毒（（除非你不用網路不插隨身碟不使用數據機不使用硬碟 ←或許能100％不感染病毒！
若想要這種神人級防毒抱歉銘這邊沒有...請到別處找
資安唯有我們主動防禦！   才能降低感染性
不過 防病毒最重要的就是 『正常的使用習慣與規律』才是防病毒的最佳途徑
不然你像銘一樣天天上大陸網站
想要不中毒 似乎非常難對吧！？
※此文章同步刊登於初心者站長論壇、休閒小舖※
初心者站長論壇：http://coz.tw/dz6
休閒小舖：http://blog.2cc.tw
此文章為a45601236qq『銘』個人原創
請不要隨意修改任何信息！！～
使用上有問題歡硬pm我！！我會為您做解答 或在帖子下方做回覆！！

網路毒王「熊貓燒香」設計者落網

中國大陸首例最嚴重的電腦病毒危害案，「熊貓燒香」造成數百萬網友受害，程式設計者被網友稱為「網路毒王」，今年25歲的李俊，只有高職學歷，靠打工和電腦書自修，竟然寫出電腦病毒，被警方逮捕時，他說設計病毒就是為了賺錢。

圓滾滾的熊貓拿著三炷香對你拜拜，這個可愛的國寶圖案，從2007年初開始出現，讓不少網友聞之色變，因為這可是號稱中國大陸最毒的電腦病毒「熊貓燒香」。

記者問：「病毒都是悄悄的隱藏起來，你這個病毒很特殊，就是在電腦裡，把一些文件全部都轉成這樣的圖案，為什麼？」
李俊說：「反正是別人用嘛，我也沒管它。」

被網友稱為「毒王」的李俊背對鏡頭受訪，2006年設計出「熊貓燒香」，2007年初開始流傳，一直到他被逮捕，病毒不過在網路上流傳短短2個月，卻已經造成百萬個人用戶、上千家企業受害，他設計病毒的動機很單純，純粹是為了賺錢，2個月內就賺了10幾萬人民幣。

李俊說：「就是把病毒賣給別人，一般一千元。」李俊今年才25歲，只有高職學歷，所有電腦知識全都是在電腦城打工時學來的，不過靠著自修和電腦書，精通電腦安全程式漏洞，被捕之後，在獄中寫出解毒程式。

儘管熊貓燒香的威脅解除，不過10幾種變種病毒還在網路上不斷流竄，電腦病毒的危害，網路毒王說只能靠使用者自己的警惕。

-----------------

唉..這病毒燒到全世界去了=ˇ=

很麻煩...

「熊貓燒香」毒王將出獄

「國寶」熊貓一臉虔誠地上香，卻讓網友見圖色變！2006年12月到2007年1月中國網友遭遇重大浩劫，當電腦用戶看到「熊貓燒香」的圖示時，作業系統已被刪改移除，電腦螢幕出現藍色畫面、當機或重新開啟……。「熊貓燒香」病毒因此被封為中國毒王，如今「毒王」創造者李俊即將出獄，他說，他將「改邪歸正」，希望到大網路公司工作，並致力維護網路安全。

李俊是駭客出身，他和擅長「病毒商業運作」的生意人王磊和張順，三人因暴利結合，讓「熊貓燒香」蔓延擴散，引爆了上千萬台電腦中毒的網路災難，造成個人用戶、網咖和企業用戶的重大損失，被《2006年度中國大陸地區電腦病毒疫情和網際網路安全報告》評為「毒王」。

根據新華網報導，事隔兩年半，「熊貓燒香」病毒已被完全殲滅，王磊和張順相繼出獄，只有「毒王」李俊仍在服刑。最近他們三人首次面對媒體，還原「熊貓燒香」的出生與滅亡。

李俊坦承，他最初製造電腦病毒，只是為了愛現，而當他認識了王磊和張順，他便受到暴利的誘惑。李俊只有高職學歷，但他靠著打工和電腦書自修，成為駭客高手，他說，他設計病毒時，就想讓別人不但知道電腦中毒，還要知道「中了什麼毒」，他更說，「以往的病毒是透過人為傳播，我製作的病毒，必須是自動傳播。」

李俊等三人被稱為「中國第一批因製造電腦病毒獲刑的人」，李俊表示，他們不會是第一個製造病毒的人，也不會是最後一個。今年李俊即將獲減刑出獄(原判有期徒刑4年)，他表示會改邪歸正，希望到網路公司上班，並投身維護網路安全。

而6月防毒軟體公司Norton即提醒，「熊貓燒香」死灰復燃了，這次是以原始碼修改的病毒再次擴散，只是這次中毒電腦不會看到圖示變成「熊貓燒香」，幸運的是，因有兩年半前的經驗，「熊貓燒香」這類蠕蟲病毒大多能經由更新掃毒程式過濾。

------------------------------------------------

這病毒...兩年前不懂電腦時中過...

非常難纏

不過現在不放在眼裡了...

似乎認為病毒不在這麼的恐怖

這隻雄貓也有來我家參訪過 也燒了三之香給我xD*

KAVO 常見變種行為分析 及其預防

已知中毒症狀

1. 開啟顯示隱藏檔或資料夾可是還是一樣無法顯示隱藏的檔案或資料夾

2. 進去我的電腦想要打開硬碟 如 C,D,E槽，卻出現「選擇程式來開啟檔案」

3. 即時通登入後會自動關閉 (目前似乎已無此症狀)

4. 新的防毒軟體無法安裝

5. 無法以正常進入安全模式

6. 具有木馬盜帳功能

7. 網路驅動程式發生錯誤 導致無法連線

8. 破壞卡巴斯基驅動 導致無法更新或某些防護出錯

建立檔案

C:\ ~ Z:\ 底下

autorun.inf

內容為

================================================

[AutoRun]

open=j.bat

;LeAKslswAs9ilql5wamwdJifqka6kjL2q22awaas43lla1o

shell\open\Command=j.bat

================================================

及 隨機.exe .com .bat .cmd

因過多 所以不列出來...

在 %windir%\System32\ 一般是在 C:\WINDOWS\System32\

產生...

C:\WINDOWS\system32\uret463.exe

副產物 lhgjyit0~9.dll (存在中 持續變種 此為台灣最常見)

C:\WINDOWS\system32\kacsde.exe

副產物 godert0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\rttrwq.exe

副產物 mkfght0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\ierdfgh.exe

副產物 pytdfse0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\oukdfgr.exe

副產物 bgdferw0~9.dll

副產物 hyrteas0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\cvsdfw.exe

副產物 otrewe0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\weidfsg.exe

副產物 dsewtds0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\olhrwef.exe

副產物 afmain0~9.dll

副產物 nmdfgds0~9.dll (存在中 但不常見 國外流行)

C:\WINDOWS\system32\vamsoft.exe

副產物 ciuytr0~9.dll

副產物 vbsdfe0~9.dll

副產物 haozs0~9.dll (存在中 但不常見 國外流行)

C:\WINDOWS\system32\urretnd.exe

副產物 optyhww0~9.dll (存在中 持續變種)

C:\WINDOWS\system32\kavo.exe

副產物 kavo0~9.dll (目前已絕種)

C:\WINDOWS\system32\tavo.exe

副產物 tavo0~9.dll (目前已絕種)

C:\WINDOWS\system32\avpo.exe

副產物 avpo0~9.dll (目前已絕種)

C:\WINDOWS\system32\apvo.exe

副產物 apvo0~9.dll (目前已絕種)

C:\WINDOWS\system32\amvo.exe

副產物 amvo0~9.dll (目前已絕種)

C:\WINDOWS\system32\mmvo.exe

副產物 mmvo0~9.dll (目前已絕種)

C:\WINDOWS\system32\mnso.exe

副產物 mnso0~9.dll (目前已絕種)

C:\WINDOWS\system32\amwo.exe

amwo0~9.dll (目前已絕種)

C:\WINDOWS\system32\kxvo.exe

副產物 fool0~9.dll

副產物 ieso0~9.dll

副產物 pool0~9.dll

副產物 kxvo0~9.dll (目前已絕種)

C:\WINDOWS\system32\j3ewro.exe

副產物 jwedsfdo0~9.dll (目前已絕種)

C:\WINDOWS\system32\revo.exe

副產物 revo0~9.dll (目前已絕種)

其他副產物

C:\WINDOWS\AhnRpta.exe

C:\WINDOWS\Debug\***********.dll (英文+數字)

C:\WINDOWS\help\**************.dll (英文+數字)

C:\WINDOWS\system32\bitkv0~9.dll

C:\WINDOWS\system32\helpme.exe

C:\WINDOWS\system32\fly32.dll (已沒有案例)

C:\WINDOWS\fly32.dll (已沒有案例)

C:\WINDOWS\fly32.exe (已沒有案例)

下載變種...

uret463.exe 變種動作

連至 h**p://rtgma.com/xjj/cc1.rar

下載 cc1.rar => cc.exe

建立 C:\WINDOWS\system32\kacsde.exe 並執行

連至 h**p://rtgma.com/xjj/ff1.rar

下載 ff1.rar => ff.exe

建立 C:\WINDOWS\system32\uret463.exe 並執行

ierdfgh.exe 變種動作

連至 h**p://13opd.com/xrbv/uu1.rar

下載 uu1.rar => uu.exe

建立 C:\WINDOWS\system32\ierdfgh.exe 並執行

oukdfgr.exe 變種動作

連至 h**p://16mju.com/hg2/ll.rar

下載 ll.rar => ll.exe => C:\WINDOWS\hg.exe

建立 C:\WINDOWS\system32\oukdfgr.exe 並執行

urretnd.exe 變種動作

連至 h**p://dfvg2.com/fm4/help.rar

下載 help.rar => help.exe

建立 C:\WINDOWS\system32\urretnd.exe 並執行

rttrwq.exe 變種動作

連至 h**p://dfg4r.com/jj/cc.rar

下載 cc.rar => cc.exe => C:\WINDOWS\tt.exe

建立 C:\WINDOWS\system32\cvsdfw.exe 並執行

連至 h**p://dfg4r.com/jj/ff.rar

下載 ff.rar => ff.exe => C:\WINDOWS\2.exe

建立 C:\WINDOWS\system32\rttrwq.exe 並執行

weidfsg.exe 變種動作

連至 h**p://vfqa4.com/rbv/uu.rar

下載 uu.rar => uu.exe

建立 C:\WINDOWS\system32\weidfsg.exe 並執行

olhrwef.exe 變種動作

連至 h**p://hgtr3.com/xmfx/help1.rar

下載 help1.rar => help.exe

建立 C:\WINDOWS\system32\olhrwef.exe 並執行

----------------------------------------------------

.....國外還有許多種 但因台灣少見 因此不發表

以上檔案通常在 C:\Documents and Settings\"使用者名稱"\Local Settings\Temp

調用進程

explorer.exe

dllhost.exe

IEXPLORE.EXE

註冊資料新增(更改)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"dorfgwe" = "C:\WINDOWS\system32\uret463.exe"

"anhtaaa" = "C:\WINDOWS\system32\kacsde.exe"

"kxswsoft" = "C:\WINDOWS\system32\ierdfgh.exe"

"hjdsdse" = "C:\WINDOWS\system32\oukdfgr.exe"

"cbvcs" = "C:\WINDOWS\system32\urretnd.exe"

"ertyuop" = "C:\WINDOWS\system32\rttrwq.exe"

"anhtaas" = "C:\WINDOWS\system32\cvsdfw.exe"

"nhkletd" = "C:\WINDOWS\system32\weidfsg.exe"

"cdoosoft" = "C:\WINDOWS\system32\olhrwef.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

CheckedValue =dword:0x00000000 (無法顯示隱藏檔)

更狠一點

會把 CheckedValue 這個 REG_DWORD 值 直接刪掉

建立 冒牌的 CheckedValue REG_SZ 值

破壞驅動

c:\windows\system32\drivers\tdi.sys

c:\windows\system32\drivers\psched.sys

c:\windows\system32\drivers\tcpip.sys

c:\windows\system32\drivers\vga.sys (導致無法進入安全模式)

c:\windows\system32\drivers\klif.sys (導致卡巴無法正常更新)

c:\windows\system32\cdplay.sys

IP 來源...

h**p://rtgma.com/xjj/cc1.rar

h**p://rtgma.com/xjj/ff1.rar

- 221.1.222.109 (山東省菏澤市 中電網通IDC)

h**p://13opd.com/xrbv/uu1.rar

- 221.1.204.245 (山東省菏澤市 網通)

h**p://16mju.com/hg2/ll.rar

- 221.1.204.245 (山東省菏澤市 網通)

h**p://dfvg2.com/fm4/help.rar

- 221.1.204.243 (山東省菏澤市 網通)

h**p://dfg4r.com/jj/cc.rar

h**p://dfg4r.com/jj/ff.rar

- 221.1.222.109 (山東省菏澤市 中電網通IDC)

h**p://vfqa4.com/rbv/uu.rar

- 221.1.204.245 (山東省菏澤市 網通)

h**p://hgtr3.com/xmfx/help1.rar

- 221.1.204.243 (山東省菏澤市 網通)

好神奇呀

這些 ip的來源 居然都是 山東省菏澤市

預防方法

如果隨身碟中有autorun.inf

打開隨身碟 即會打開 autorun.inf 所指定的檔案

autorun.inf 的內容通常是

===============================

[AutoRun]

open=病毒檔名

shell\open\Command=病毒檔名

shell\explore\Command=病毒檔名

================================

也就是指雙擊隨身碟時

自然而然就把病毒給打開了

我們可以利用 Windows鍵 + E 叫出檔案總管

利用旁邊的樹狀資料夾開啟隨身碟

或著是更改註冊表 來達到禁用 自動播放的效果

我們可以使用批處理 來達到更改註冊表的目的

打開記事本 複製以下指令

================================================================================================

@echo off

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveAutoRun /t REG_BINARY /d ffffff03 /f>nul 2>nul

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

reg add "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

reg add "HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

reg add "HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

reg add "HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0x000000ff /f>nul 2>nul

taskkill /im explorer.exe /f >nul 2>nul

start explorer.exe >nul 2>nul

exit

================================================================================================

把它存成 123.bat 後執行即可

這樣子病毒就無法利用 autorun.inf 入侵您的電腦了...

此外可以在您的隨身碟 放置一個名為autorun.inf的資料夾

這樣也可以阻擋病毒把autorun.inf複製到您的隨身碟...

檔案方面

有兩種預防方法

一個是 IFEO Image Hijack 另一個是 利用資料夾阻擋

但是兩種各有各的缺點

IFEO 的用法是

一樣可以用批處理的方式

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\你要劫持的程序" /v "debugger" /d %windir%\system32\svchost.exe /f

Ex.

如果你想劫持 aa.exe

就這樣寫...

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\aa.exe" /v "debugger" /d %windir%\system32\svchost.exe /f

以此類推

這樣的效果是 如果開啟aa.exe 就會轉向開啟 svchost.exe

此時病毒就無法使用

但是有個缺點

那就是如果有個正常的檔名是 aa.exe

將會導致他無法開啟

所以我不建議使用

另一個方法是用資料夾檔病毒

就是在病毒會產生的地方

放一個同檔名的資料夾

讓病毒無法複製到那裡...

用這種方法也可以防止變種

在 C:\Documents and Settings\"使用者名稱"\Local Settings\Temp\

底下

放置

aa.exe

cc.exe

ff.exe

ee.exe

help.exe

ll.exe

uu.exe

zz.exe

即可抑制kavo變種

此方法也可以用在預防病毒本體...

例如 C:\WINDOWS\system32\uret463.exe

C:\WINDOWS\system32\kacsde.exe

等等...

此外 KAVO 通常也會被夾在現在所流行的 Yahoo Mail 木馬內...

所以養成良好的路習慣

不要隨意打開信箱內的夾帶檔案

打開前可以問一下對方 是否有寄這個東西

這樣可以保護自己電腦使用上的安全