建議變更:[INDENT]控制台 -> 使用者帳戶 -> 變更使用者登入或登出的方式 -> [B]使用快速使用者切換[/B] -> 不勾[/INDENT]如此一來, 在設定登錄檔或群組原則物件編輯器之後, 只要[B]登出[/B], 就可以讓設定生效, 不必浪費時間於重複開機

請在待測電腦的系統碟和隨身碟的[B]根目錄[/B]分別存入[B]Autorun.inf[/B] 如下:
[CODE][AutoRun]
action=Test Autorun.inf
shellexecute=c:\windows\system32\calc.exe
shell=open
shell\open=Open(&O)
shell\open\command=c:\windows\system32\notepad.exe
shell\explore\command=c:\windows\system32\cmd.exe
; shell\explore=Explore(&X)
; open=c:\windows\system32\calc.exe
; Only one of "open" and "shellexecute" will be executed.[/CODE]
在待測電腦執行 "regedt32", 於以下機碼[INDENT]HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer[/INDENT]新增DWORD 值, 名稱 "[URL="http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/regentry/93502.mspx"]NoDriveTypeAutoRun[/URL]", 資料分四次輸入0, 4, 8, [B]df[/B] (十六進位), 登出使數值生效

測試項目:[list=1][*]插入隨身碟, 是否彈出自動播放 (Autoplay) 選單? 是否自動執行 (Autorun) 小算盤或記事本?[*]開啟我的電腦, 右擊 C:, 選單上是否多出 "自動播放"? "[B]開啟([U]O[/U])[/B]" 是否換成 "[B]Open([U]O[/U])[/B]"?[*]開啟我的電腦, 雙擊 C:, 是否自動執行[B]小算盤[/B]?[*]開啟我的電腦, 右擊 C:, 點選 "[B]檔案總管([U]X[/U][/B])" 是否自動執[B]行命令提示字元[/B]?[*]開啟我的電腦, 右擊隨身碟代號, 選單上是否多出 "自動播放"? "[B]開啟([U]O[/U])[/B]" 是否換成 "[B]Open([U]O[/U])[/B]"?[*]開啟我的電腦, 雙擊隨身碟代號, 是否自動執行[B]小算盤[/B]?[*]開啟我的電腦, 右擊隨身碟代號, 點選 "[B]檔案總管([U]X[/U][/B])" 是否自動執行[B]命令提示字元[/B]?[*]修改NoDriveTypeAutoRun, 登出並重複以上步驟[/list]以上主要說明 "What you see is [B]NOT[/B] what you get", "檔案總管" 不等於 "檔案總管", 同樣的道理, "開啟" 也不一定等於 "開啟", 病毒當然不會刻意變更選單上的名稱, 導致被發現

如果您由Google 搜尋病毒範例, 您可能會發現多半使用 "open" 指令, 因為 "shellexecute" 會導致多出一個 "自動播放(P)" 選項, 比較容易被發現, 微軟如果不早一點把這個洞給補上, 那麼隨身碟病毒只會囂張得更久

附件一: [B]Test-Autorun.jpg[/B]
說明: 第一個黑體字 "[B]自動播放([U]P[/U])[/B]" 是由 "shellexecute" 所產生, "開啟([U]O[/U])" 和 "檔案總管([U]X[/U])" 功能也可能被暗中取代, 以上都和Autorun (Autorun.inf) 有關, 第二個 "自動播放([U]P[/U])" 才是Autoplay, 可被NoDriveTypeAutoRun 關閉

附件二: [B]Autoplay.jpg[/B]
說明: "自動播放" (Autoplay) 控制項, 這部份可以看出硬碟機和卸除式媒體裝置的不同, Autoplay 的作用是根據 "自動播放" 控制項決定彈出選單或執行預先設定的功能, "控制項畫面" 是無法以NoDriveTypeAutoRun 關閉的

回覆: 請問一下USB病毒之防範
 

FYI大要不要測試看看將mountpoint2機碼鎖權限試看看？
我有看到有人提到將這邊機碼鎖住可讓autorun失效

位置在
hkcu\software\microsoft\windows\currentversion\explorer\mountpoints2

2000的話是
hkcu\software\microsoft\windows\currentversion\explorer\mountpoints

微軟作業系統關閉裝置自動執行功能設定方法
 

NoDriveTypeAutoRun = [B]0x91[/B] (Windows XP 預設值)
實驗結果:[INDENT]一) 限制MountPoint2 機碼之Everyone 權限唯讀[list][*]硬碟機: Autorun [B]終止[/B][*]卸除式媒體裝置: Autorun [B]終止[/B][*][B]Autoplay 有效[/B][/list]二) 停用 "Shell Hardware Detection" 服務[list][*]硬碟機: [B]Autorun 有效[/B][*]卸除式媒體裝置: Autorun [B]終止[/B][*]Autoplay [B]終止[/B][/list][/INDENT]請注意, 以上均會終止CD-ROM/DVD-ROM 之Autorun, 但Autoplay 則不一定

小弟竟然忘了自己曾在 "[URL="http://www.pczone.com.tw/vbb3/post/988737/2/"]【木馬】無法顯示資料夾、kavo病毒解決之道！[/URL]" 之中, 提到關閉 "[B]Shell Hardware Detection[/B]" 服務", 卻一直鑽牛角尖於 "NoDriveTypeAutoRun", 真是久未接觸, 愈活愈回去了, 不過這回徹底把Autorun, Autoplay 和NoDriveTypeAutoRun 給搞清楚, 總算沒有白忙一場, 然而小弟還是認為這一切都應該歸咎於微軟搞得太複雜了, 自己留下了 "NoDriveTypeAutoRun" 漏洞, 才給病毒可趁之機
[QUOTE=FYI;988737]關閉系統服務 "[B]Shell Hardware Detection[/B]" 也可以停止自動播放
[URL="http://www.microsoft.com/taiwan/technet/columns/profwin/23-WinSvc.mspx"]Windows系統服務面面觀(下)[/URL][INDENT][B]Shell Hardware Detection[/B]（ShellHWDetection）: 這項系統服務會監視及提供「[B]自動播放[/B]」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置（例如光碟、隨身碟）上的內容（例如圖檔或影音檔），然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用，並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃（Flash）媒體、PC卡、外接的USB或1394硬碟；支援的內容類型包括: 圖檔（.jpg、.bmp、.gif、.tif）、音樂檔案（.mp3、.wma）、視訊檔案（.mpg、.asf）。如果停用這項系統服務，就會停止「自動播放」功能。[/INDENT][/QUOTE]
[URL="http://cert.nkfust.edu.tw/doc/setup.pdf"]微軟作業系統關閉裝置自動執行功能設定方法 (PDF)[/URL]
[URL="http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1386"]小心病毒就在USB中[/URL]

回覆: 請問一下USB病毒之防範
 

可以參考下列資料:
Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具 :fd:
FYI:
[url]http://www.freegroup.org/wow-usb-protector-kill-usb-viruse[/url]

回覆: 請問一下USB病毒之防範
 

[QUOTE=DarkSkyline;1016353]可以參考下列資料:
Wow!USB Protector - 中央研究院所推出專殺隨身碟病毒工具 :fd:
FYI:
[url]http://www.freegroup.org/wow-usb-protector-kill-usb-viruse[/url][/QUOTE]

很慢
插進去一個槽(不論是哪個東西)
都會開個cmd
等5-10秒後
他會說掃毒中
掃完毒就15秒了....

後來就給他殺了

回覆: 微軟作業系統關閉裝置自動執行功能設定方法
 

[QUOTE=FYI;1016350]
[URL="http://cert.nkfust.edu.tw/doc/setup.pdf"]微軟作業系統關閉裝置自動執行功能設定方法 (PDF)[/URL]
[URL="http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1386"]小心病毒就在USB中[/URL][/QUOTE]

每次都可以找到實用的網站
真的很實用

[QUOTE=billeccentrec;1015991]一.沒有用，現在病毒都會更改唯讀
不如在Autorun.inf 插入一張圖
看圖有沒有消失[/QUOTE]
加入 "[B]icon[/B]" 是一個辨識的好方法, 另一個更簡單的方法是加入 "[B]label[/B]", 例如 "label=無毒的SD1G", 希望病毒不會進化到懂得保留原Autorun.inf 的 "icon" & "label", 不過如果防毒軟體偵測到Autorun.inf 就殺, 那就白費工夫了

回覆: 請問一下USB病毒之防範
 

參考小弟在 2008/01/28 的測試結果,
[url]http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339[/url]

與曾義峰在 2008/03/25 的測試結果:
[url]http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm[/url])
不謀而合!!

如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,

改一大堆有的沒有的只是在騙自己....

回覆: 請問一下USB病毒之防範
 

[QUOTE=wscooch;1017879]參考小弟在 2008/01/28 的測試結果,
[url]http://forum.icst.org.tw/phpBB2/viewtopic.php?t=14339[/url]

與曾義峰在 2008/03/25 的測試結果:
[url]http://www.zdnet.com.tw/enterprise/technology/0,2000085680,20128215,00.htm[/url])
不謀而合!!

如果要防止 USB 病毒,
建議還是回歸到防毒軟體本身,

改一大堆有的沒有的只是在騙自己....[/QUOTE]

不太懂您想表達的意思！
改東改西～也只是討論中～並未完全有定論～
何來騙自己？
如果防毒真的有用～也就不會有這篇討論了～

回覆: 請問一下USB病毒之防範
 

偵測登錄檔改寫有用嗎?