回覆: 建立無法存取的Autorun.inf, 阻止自動執行
 

[QUOTE=FYI;1018975]中國網友也曾提出修改Shell32.dll, 將Autorun.inf 改掉, 再覆蓋回Windows, 達到不執行Autorun.inf 的目的, 這也是小弟先前誤認Shell32.dll 是禍首的原因

其次, BlueFang 網友所介紹在卸除式磁碟建立無法刪除或變更的Autorun.inf (FAT16/FAT32), 方法是從磁碟的Directory Table 找到 "AUTORUN INF" 進入點, 然後將第12 個位元組, 也就是檔案屬性(00ADVSHR), 原來是0x20, 代表Archive, 改成0xE5 或0xE2, 按照小弟的實驗, 以上技巧在於設定[B]未定義(公開)的位元(Bit6, Device)[/B], 導致作業系統無法存取Autorun.inf (存取被拒), 這個方法不但可以愚弄Windows XP, 也可以通過磁碟檢查, 這就達到[B]為卸除式磁碟打預防針[/B]的目的, 實在是一個聰明的辦法, 當然結果並非完全免疫, 而是免於自動執行, 操作步驟如下:[list=1][*]以記事本在隨身碟(或外接式硬碟)建立一個檔案長度為零的 "AUTORUN.INF" (大寫)[*]開啟 [URL="http://www.pczone.com.tw/vbb3/thread/67/139107/"]Tiny Hexer[/URL][*]點選 "File -> Disk -> Open drive..."[*]選擇卸除式磁碟代號, "Load" 輸入 "64" -> OK, 數字愈大, 讀取愈快[*]按下 Ctrl-F, 輸入 "AUTORUN INF " (有兩個空格), "Find text" 打勾, 點擊 "Find"[*]點擊 "Yes to [U]A[/U]ll"[*]找到目標後, 以32 位元組為單位(邊界), 確認檔名起始於第一個位元組, 且最後六個位元組為零[*]紀錄標題所顯示的 "sectors" 起始位置[*]關閉檔案, 重新載入, "Load" 輸入 "1", "First sector" 輸入以上起始位置 -> OK[*]找到目標後, 將 "AUTORUN INF " 改成 "AUTORUN INF[B]@[/B]"[*]儲存並退出隨身碟[*]重新插入隨身碟, 嘗試讀取, 更名或刪除 "AUTORUN.INF"[/list]以上方法是針對已知媒體打預防針, 若本機插入陌生人的隨身碟, 則仍有中毒之虞, 故本機仍應預先做好防毒之準備

[URL="http://en.wikipedia.org/wiki/8.3_filename"]8.3 filename - Wikipedia, the free encyclopedia[/URL][/QUOTE]

有这两条就基本够用了。
病毒的两个载体都有了防范，一个是PC，一个是U盘。
当然世事不尽如人意，对于NTFS或者其他文件系统的U盘，目前没有比较保险的方法，NTFS可以通过设定权限来拒绝病毒的存取，不过有网友报告说此种方法已被突破。

回覆: 請問一下USB病毒之防範
 

嗯~防範?!我想要徹底的防範可能比較難一點，因為現在資訊環境的方便，也造就了許多資訊安全的問題，USB就是目前資訊管理人員比較頭痛的地方，像有些公司為了避免此問題，公司所有電腦的USB裝置都停用，來達到USB病毒的防範，不過還是有些方法可以參考參考：
如果已經中毒了，最近趨勢官網有提供iclean(解毒快手)，聽說是把病毒刪掉後，還會建立隱藏資料夾，來預防後續相同的病毒寫入，病毒刪掉了也有預防的效用
官網：[url]http://www.trendmicro.com/download/zh-tw/product.asp?productid=56[/url]
如果沒中毒的，可以試試趨勢的WTP Add-On，這可以主動防範惡意網站，在你上網就主動攔截惡意網站不讓你開啟，
[url]http://tw.trendmicro.com/tw/products/enterprise/wtp/index.html[/url]
再來就是使用者自己的使用習慣了，人家常說的防毒軟體只能防範80%的威脅，剩下的就靠使用者自己的使用習慣了:o

回覆: 請問一下USB病毒之防範
 

別想太多，關掉USB的自動撥放
這是一定要做的

google搜尋字串：「關閉 usb 自動播放」
可以找到各種教學

回覆: 請問一下USB病毒之防範
 

禁用Shell Hardware Detection 服務即可

回覆: 請問一下USB病毒之防範
 

我都會再打開隨身碟前先掃毒一次

我用的防毒是諾頓2009

他有內建防火牆

應該可以擋下來

回覆: 請問一下USB病毒之防範
 

[QUOTE=DS;1015822]gpedit.msc
系統管理範本、系統、關閉自動播放[/QUOTE]

Ho~~ Ho~~
其實只有專業版才能做到喔~
家用版可不行啊~

回覆: 請問一下USB病毒之防範
 

其實有個最終極的方法，就是使用"非Windows"系統啦~!
我用Linux開機，進入桌面後將隨身碟插入電腦，不久之後會在桌面上顯示出隨身碟的圖案(前提，隨身碟的磁區不可為NTFS，Linux不支援)，再按兩下，進入隨身碟!(好流暢!)其實世界上大部分病毒在Linux系統中是無法執行的，表示說...病毒對Linux沒有用!進入隨身碟後只要將相關的病毒檔案刪除(如: *.com、*.exe、autorun.inf等)，之後，解毒完成!!!

真的是又簡單又方便呢!~

總還是有人會忘記不要雙擊磁碟機代號, 所以小弟又回頭找尋比較適合一般人, 但又不會犧牲太多功能的方法, 想來想去, 還是回到先前這個方法:
[QUOTE=FYI;1018836][INDENT][URL="http://nick.brown.free.fr/blog/2007/10/memory-stick-worms.html"]Nick Brown's blog: Memory stick worms[/URL][/INDENT]也就是你所要的答案, 讓Windows (csrss.exe) 把Autorun.inf 視為單純的安裝資訊檔, 而不是自動執行檔, 也就不會自動執行[/QUOTE]
[B]NOAUTRUN.REG[/B]
[CODE]REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"[/CODE]
然後再參考[URL="http://www.pczone.com.tw/vbb3/post/1016010/13/"]#13[/URL] 加上限制 "NoDriveTypeAutoRun"

[B]DisableAutorun.reg[/B]
[CODE]REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveAutoRun"=-
"NoDriveTypeAutoRun"=-

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
"Autorun"=dword:00000000[/CODE]
既然關閉自動執行, 那麼副作用就是插入安裝光碟不再自動執行, 必須自行檢視Autorun.inf 內容, 以便找到安裝程式的儲存位置

此外, 停用 "[B]Shell Hardware Detection 服務[/B]" 雖然更徹底, 但小弟擔心影響太廣, 所以暫時沒考慮, 至於 "MountPoints2", 小弟已經於[URL="http://www.pczone.com.tw/vbb3/thread/28/141062/2/#post1016350"]#23[/URL] 實驗過, Autoplay 仍有效

回覆: 請問一下USB病毒之防範
 

預防隨身碟病毒,只要改mountpoints2機碼的權限是有效的,修改後開啟隨身碟,autorun.inf根本不起作用,即使仍有自動撥放功能亦是.

插入隨身(硬)碟的目的就是要使用它,把自動撥放機制關了,從我的電腦或檔案總管點入,一樣會啟動autorun.inf內指定的惡意程式

回覆: 請問一下USB病毒之防範
 

檔案總管點入會啟動隨身碟病毒嗎？