USB病毒徹底完封攻略－根除篇

前言：在151期、152期已提及USB病毒的中毒症狀判斷準則，以及預防中毒的相關防護措施，接下來，本單元將繼續介紹USB病毒的根除方法。

如果經過判斷，確定自己的電腦已然中毒，當然非得將所有的病毒清除殆盡，不過，由於USB病毒會將許多分身複製到不同的電腦磁碟、目錄及隨身碟當中，以致清除作業非常麻煩而且艱難，在此除了提供完整的手動清除方法及步驟外，也會介紹專門偵測並清除USB病毒的工具程式。

中毒電腦手動根除法

電腦如果出現磁碟或隨身碟無法開啟等情形，可能已中了USB病毒，讀者們可進一步參考151期「USB病毒徹底完封攻略－把脈篇」之中有關「USB病毒的可能中毒症狀」的介紹，藉以判斷是否真的中毒。

如果畫面直接跳出某某USB病毒名稱，並顯示應用程式錯誤、記憶體不能讀寫等字眼的視窗，肯定已經中毒。接下來，就讓我們一起把USB病毒揪出來，並加以清除乾淨吧！

1、進入安全模式：重新啟動電腦，出現開機畫面時，一直按F8，直到畫面顯示功能列表為止，然後點選「安全模式」。

2、點選「開始﹨執行﹨CMD」，進入「命令提示字元」視窗。

3、確定病毒名稱及位置：清除病毒之前，請先依照151期「把脈篇」中的「自我檢查是否已中毒」方法，將所有磁碟及隨身碟中的病毒一一糾舉並記錄下來；亦可參照「USB病毒可能名稱及所在位置」中所列舉的常見病毒名稱逐一比對。總而言之，必須先確定電腦及隨身碟當中，底存在哪些病毒及其確切位置。例如在每個根目錄下達Dir ntdelect.com /a指令，使用者可依此命令，在不同磁碟根目錄下，找出其他惡意檔案。

4、解除惡意檔案的HSR屬性：接著，一一透過Attrib命令，解除在不同磁碟或目錄下已找到的惡意檔案之HSR屬性，例如在命令列中下達「attrib -s -h -r c: tdelect.com」。

5、刪除已解除屬性的惡意檔案：一旦解除屬性後，即可展開除惡務本大業，在命令列中透過del命令，將所有惡意檔案清除乾淨，例如可輸入「del c: tdelect.com」。

6、新增同名目錄以防下次再中毒：當前最簡單又有效的USB病毒預防方法，莫過於直接在各磁碟根目錄下，新增與惡意檔案名稱相同的目錄，由於在同一目錄下不能出現同名檔案，如此一來，惡意檔案便無法順利儲存在目標目錄之中。使用者在刪除惡意檔案的同時，可隨手新增與被刪除惡意檔名稱相同的目錄，以防止日後惡意檔案捲土重來的可能性。使用者可在命令列中透過md命令建立目錄，例如「md c: tdelect.com」。

7、為新增目錄變更屬性：為了進一步保護新增的目錄，使用者可透過attrib命令，將該目錄變更為隱藏、系統及唯讀屬性。其指令輸入與前述步驟4類似，只不過將「-」改成「+」，例如「attrib +s +h +r c: tdelect.com」。

8、重開機後，全部作業即大功告成。

清除登錄檔中的惡意機碼

1、進入登錄編輯程式：執行「開始﹨執行﹨regedit」，即可進入並檢視登錄機碼。

2、尋找「Run」機碼：USB病毒多半會在個人登錄或系統登錄下的Run機碼中，另外藏有分身，使用者可分別進入「HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun」與「HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun」機碼下，檢視看看有無mdm.exe或Kavo.exe等惡意機碼，這個部分也可參考「把脈篇」文中所列之常見惡意檔案名稱，或上網搜尋常見的USB病毒名稱來比對一番，若發現任何惡意機碼，立即刪除之。

3、搜尋其他惡意機碼：為了除惡務本、趕盡殺絕，使用者可在登錄編輯程式中，透過搜尋方式找尋可能的惡意機碼。點選該程式中的「編輯﹨尋找」，即可展開搜尋，若發現任何惡意機碼，立即刪除之。

中毒隨身碟手動根除法

除了中毒的電腦外，中毒的隨身碟也必須進行病毒根除作業，其作法大致如下：

1、關閉電腦裝置的自動執行功能：先關閉自動執行功能，才可防止隨身碟中的autorun.inf檔再度被啟動，這個部分可參照152期「預防篇」一文，當中有詳細的關閉方法可資參考。必須特別提醒的是，即使已關閉自動執行功能，但在未清除隨身碟內的病毒之前，千萬不要雙擊開啟隨身碟圖示，否則會再度啟動該惡意檔案。

2、重新啟動電腦至安全模式下，並進入命令提示字元視窗中。

3、清除隨身碟病毒：使用者可在命令提示字元下利用Del命令，將隨身碟中的autorun.inf等惡意檔刪除，抑或乾脆下達format指令，將整個隨身碟格式化，如此即可將惡意檔根除殆盡。

使用專門的殺毒工具

當前市面上針對USB病毒的偵測及刪除工具不少，在此介紹由中研院資科所自由軟體鑄造場所開放的Wow! USB Protector隨身碟病毒偵測軟體，以及Wow! USB Viruskiller隨身碟病毒清除軟體。

目前該軟體提供免費下載，網址分別為：

http://rt.openfoundry.org/Foundry/Project/Download/Attachment/102932/69625/WowUSBProtector-zh.exe
http://rt.openfoundry.org/Foundry/Project/Download/Attachment/102942/69631/WowUSBVirusKiller-zh.exe

完成下載後，可以開始安裝並對隨身碟進行惡意程式偵測掃描作業，其步驟如下：

1、安裝程式：安裝步驟非常簡單，使用者只要照著畫面一直按「下一步」，然後點取「Install」便可完成安裝作業，該程式啟動後，會常駐於工作列上，並開始對系統進行防護。

2、更新病毒碼：安裝完成後，會出現「自動更新病毒碼」對話框，使用者可點取「確定」開始更新。更新過程很快，但是不會出現任何更新進度的畫面。

3、開啟WowUSBManager管理介面會發現病毒特徵碼已更換至最新日期，同時可掃描病毒數也增加了。該程式預設24小時更新1次病毒碼，使用者若不確定是否為最新病毒碼，只要在管理介面上再點1次「更新病毒碼」就會開始更新，或跳出「已是最新病毒碼，不需更新」的對話框。

4、插入USB隨身碟：使用者只要一插入隨身碟，該程式便會立即偵測到，並於工作列跳出警示訊息框，顯示該隨身碟的序號及檔案系統型態等資訊，並開始進行隨身碟的掃描作業。

5、如果沒有發現任何病毒，會跳出「掃描完成　沒有發現惡意程式」警示窗。

6、一旦發現異常狀況，會跳出「KillVirus」警示窗，其中凡與病毒碼比對後，被認定為USB病毒者，會在警示窗中標明為「惡意程式」；至於其他不確定，但可能有風險者，則標明為「可疑程式」。

針對惡意程式，使用者可直接點取「刪除」，將病毒清乾淨；至於可疑程式，則可上網查證，判定其是否為惡意程式再行事。該視窗中另有「安全開啟隨身碟」鍵，使用者可藉此安全地檢視隨身碟內容，進一步決定是否乾脆格式化隨身碟。

除了USB隨身碟之外，舉凡記憶卡、外接式硬碟等，也都可透過該程式加以掃描。該程式的掃描速度頗快，即使超過250GB的大容量外接式硬碟，也能在短短幾分鐘內完成掃描作業。

至於Wow!USB Viruskiller，其使用方式比USB Protector更簡單，插入隨身碟之後，一偵測到USB病毒，該軟體便會自動加以刪除，使用者無須自行點選刪除鍵；若發現可疑程式，則會顯示警示窗，提醒使用者另尋解決之道，而不會主動刪除。不過要特別提醒，前述兩程式不可同時安裝在同一系統中。

除了Wow! USB Protector與Wow! USB Viruskiller外，目前網路上亦不乏其他USB病毒清除工具，其中較知名的有USBCleaner、Kavo Killer、USB Anti Virus、SafeUSB、McAfee AVERT Stinger與趨勢科技KavoRemove。使用者可上網搜尋相關資訊，清楚了解之後再下載使用。要注意的是，當前可找到的連結非常多，使用者務必選擇由官方或值得信賴之合法網站下載，會比較安全。

如果嘗試了所有方法，還是覺得系統「怪怪的」，或許重灌電腦或透過還原所備份之映像檔會更加方便快速。不過要特別注意的是，USB隨身碟並非只會感染C槽的系統碟，其他磁碟也可能存在惡意分身，所以在系統重灌或還原之前，最好透過各種清毒方式，確保這些磁碟是乾淨無憂，再不然就全部格式化，如此一來，新系統才不會又遭到潛伏的USB病毒所害。