葦原醜男的小說部落格

這兩天的手機都是USB病毒的中毒者的求救電話，目前還包括了自己女兒的同學家長（留言～麻煩來了！！）不過既然留言也留的，電話也打了，整個過程我整理了一下，全部的步驟大概如下：

0.準備工具(3選2）

怪貓大的清毒批次檔（點我下載）

book維的KAVO_killer工具（點我下載）

WinPE(點我下載＜-如果搞砸了～救援用的）

一、請先備份登錄檔：

1.請在「開始」->「執行」下面執行[regedit]之後按下ENTER鍵

2.選擇「檔案」後選擇「輸出」（如圖），然後把登錄檔先做個備份（備份名稱請自行定義，不過不管你怎麼做，你做完之後就可以透過匯入的方式救回檔案。）



3.備份完畢之後，請點選下列機碼，進入這個地方
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2(如圖）

＃特別注意：這邊開始請小心，如果改錯了或者是砍錯了機碼，將導致整個系統無法開機，請小心執行。



請檢查所有的機碼，注意：這邊的機碼必須登記為「None」，如果有「Autorun」「Open」「Run」，請把這些動作改為上述的登記為None（圖示一及一A ，一A是感染的圖示），並且刪除機碼底下的副機碼（這裡請注意：因為有許多媒體播放器使用Autoplay，進階者可以保留，但是如果你是新手，請參考圖示二的圖示進行，除了圖示以外的機碼請一律刪除），而A-Z機碼則保持無任何的東西（如圖示三，除了CPC「備份還原機制」外）如果有副機碼等東西請將其全部刪除。

圖示一：



圖示一A：（受感染的機碼）

 

圖示二：AutoPlay的安全樣式：




圖示三：乾淨的機碼樣式（EXPLODE，我的電腦可以正常開啟的狀況）：




清理完畢之後，請使用KAVO＿KILLER進行病毒機碼的後續刪除，或者是用怪貓兄的批次檔清理病毒機碼，變種品的檢查也是相同（怪貓兄遭遇過變種品自己開目錄及檔案，我目前遭遇的還沒有這麼"厲害"，所以上述步驟做完應該就安全了）

不過請注意，當清理完機碼之後，請務必如圖所示打開隱藏檔案，進行檢查下列目錄裡面，找尋隱藏的檔案：

C:\windows\system32

C:\Documents and Settings\（你登入系統的帳號）\Local Settings\Temp

C:到Z:（你有多少磁碟機，就得檢查多少磁碟機）

砍除的檔案：C:\windows\system32\kavo.exe kavo.dll（如果是KAVO*.EXE KAVO*.DLL一樣要砍，安全第一）
C:\Documents and Settings\（你登入系統的帳號）\Local Settings\Temp\（下面全部的檔案， 一個不留的殺掉。）
C:\copytttt.exe c:\ek.com c:\XXOO.(族繁不及備載/該死的隱藏病毒檔案全部砍了！！）


#在此感謝怪貓兄、BOOK維及網路上的朋友同意連結本文，並且幫忙，本文得以順利完成，特此提出感謝。