2009年4月17日 星期五

互動式清除USB病毒(Interactive USB Virus Clearing)

雖然隨身碟病毒(最早應該是"KAVO"家族吧?)風行,早就不是一天兩天的事,我自己其實也寫過不少跟它有關的文章,例:《USB病毒的演化》、《快報「kavo變種」》...等,那經過了這麼久的時間(2007~至今),現在就不會有人中招了嗎?其實答案是否定的,我想它真的是緊抓「人性」使用上的弱點來散布,而且媒介之多,總讓人防不勝防。

於是,我也是常「以好人之名,行苦力之實」,去幫朋友、親屬、同事...手動抓毒,為什麼我會用手動呢?原因很簡單,因為在別人的電腦上,很多環境非我所能控制,所以只好呆呆的用指令,憑印象一行一行去找那兒有問題。

現在坊間其實這一類的軟體很多,但是...各有其巧妙不同,就算我想從網路上下載,不是動輒幾十MB、就是下載路徑讓人摸不著頭緒,或者,那個程式已經經過了「美麗的包裝」,我完全不知道它做些什麼事。所以...我就只好靠自己,想要找一個能夠幫我省去重複KEY一堆指令的麻煩,又能清楚的讓使用者知道玩些什麼花樣,心想...最小、最簡單且能達成這目標的工具應該就是批次檔(*.bat),所以,我就花了點時間,做了這個「互動式」清除USB病毒的小批次檔。

醜話說在前頭:

要使用這個小批次檔,還是得有些底子(判別惡意檔名的能力)才能無痛的使用它,或者你只是單純地想用解決一些小問題,它或許可以幫上點忙,因為我沒有把一些常見的惡意檔名寫進去(因為...變種速度太快了),重點是這個小工具能簡化許多清理USB病毒的手續,如果真有什麼使用上的問題,在請各位使用者(白老鼠?)留言吧!我盡可能地回答或解決,如果有人想讓它變加強版,我也相當樂意,記得通知我一聲就好。

在把那一堆密密麻麻的批次檔貼上來之前,這個小工具目前我僅在XP-SP3上測試過(沒有爆炸),至於是否能共用於WINDOWS各家族(例:VISTA我猜就不行),我就不敢保證,如果您有疑慮的話,請勿使用,以免造成雙方的困擾,謝謝各位配合。

批次檔內文如下,如果不便下載者可直接copy全文,轉貼至記事本後,另存為*.bat檔(例:kill_usb.bat),存檔時需注意副檔名是否有顯示,或至觀看全文內容:



開啟批次檔的畫面如下:



在最前面的內容,其實我就有提到最好將視窗大小(緩衝區)的寬度調整至130以上,調整的方式並不困難,最大的原因就是在顯示登錄檔(Registry)時,經常會因為寬度不夠而斷行,造成判讀上的困難,修改寬度的路徑為:右鍵開啟「內容」、「版面設定」、更改視窗的「寬度」即可。



至於內容的部份我僅以「主畫面」的功能來加以說明,其實我在批次檔內文中,也有加註該登錄檔的說明網頁,有興趣的人不坊可以去看看,說不定可以客制出更符合你使用的版本。
1.自動設定(含以下所有功能,但惡意檔需自行判別)
 含步驟2~6的動作,其中2~5為自動修改,6為互動式輸入。
2.清除所有暫存檔案
 主要是避免有惡意檔案在暫存檔中存留。
3.關閉系統還原
 避免系統還原造成惡意程式重複感染。
4.取消AutoRun的功能
 其實微軟已經有正式的Patch檔,此為手動修改的方式。
5.修復檢視隱藏檔之設定
 惡意檔案會將自己隱藏,因此會修改可視隱藏檔之權限。
6.清理各磁碟機中的惡意檔案(Autorun、kavo*手動*)
 包含系統碟、啟動(Reg)、system32、help和手動輸入。
7.其它(禁用USB)
 系統權限,共「停用/恢復USB功能、唯讀及可讀寫」四種。
8.離開
 關閉此批次檔案。
其實我相信看得懂批次檔的人,一定會覺得這個小工具沒什麼,我只是希望這個批次檔能夠幫我們這些常當「好人」的解毒工,能夠省去許多麻煩,如有更好的建議或其它相關的問題,也歡迎留言告知,請多指教。

最後,我把kill_usb.batshutdown.exe(自XP中取出,因WIN 2k並無此指令)壓縮成一個kill_usb.7z的壓縮檔,如果有需要的人,請自行下載。