聊天 - 關於WindowsServices病毒

[魔術王子]

今天終於遇上了這隻病毒,之前就已經久仰大名,可惜無緣一見
而今天得知某主管電腦中了這隻病毒,雖然病毒已被其他高手收伏
但幸好這位主官曾借用過小王子保管的筆電,所以小王子急忙查看了一下筆電,果真中了這隻病毒,連忙找了一支隨身碟讓病毒感染
大家可千萬別這麼做喔,小王子是有練過的,所ˋ以中毒還是要看醫生的
這隻病毒還蠻有趣的,竟然無法直接刪除資料夾,但卻可以刪除檔案
好了,接下來想請教大家,網路上很多解毒的方法中,大部分都會建議解毒後一定要將隨身碟完整格式化
可是經小王子研究發覺,只要普通刪除就行了吧,因為隨身碟的資料一經刪除就是直接刪除,而不會丟到回收桶,除非使用救援軟體
既然是這樣還需要將隨身碟完整格式化嗎
想了解一下大家的看法

[getter]

有關於格式化的部份 ... 某些電腦病毒很厲害 ...
即便格式化也沒用，因為格式化好了之後會偷偷將病毒寫入 ...

比較好一點的方式，利用 PE 系統，去做病毒的刪除、隨身碟、硬碟等格式化
這樣才不會病毒再寫入，格式化後還是中毒的狀況 ...

[魔術王子]

引用:

作者: getter

有關於格式化的部份 ... 某些電腦病毒很厲害 ...
即便格式化也沒用，因為格式化好了之後會偷偷將病毒寫入 ...

比較好一點的方式，利用 PE 系統，去做病毒的刪除、隨身碟、硬碟等格式化
這樣才不會病毒再寫入，格式化後還是中毒的狀況 ...

不太可能,除非是系統格式化的程序已經被修改了

[getter]

引用:

作者: 魔術王子

不太可能,除非是系統格式化的程序已經被修改了

是有的迪西遇過 ... 不是王子說的那樣，也不需要去修改格式化的程序那樣麻煩，
只要電腦病毒本身作到某種監控行為，在寫入即可。

當時 USB 裝置病毒橫行的那些年 ... 某幾種 USB 病毒會做出一種行為，
不斷檢查電腦主機中，可寫入媒體的特定位置，是否有寫入病毒檔，若沒有則寫入 ...

當然會發生這種格式化也沒用的狀況，那台電腦已經遭受某些類型電腦病毒感染 ...
只要還在感染狀態下，格式化也沒用 ... 因為一格示化好之後，馬上就被病毒寫入 ...

這點迪西當時已經驗證過了。

理論上用沒有中毒的電腦，來格式化就可以解除，實際上當把中毒的 USB 裝置插入
到沒有中毒的電腦上時，即使有裝防毒軟體，仍有一定機率會被感染中毒，然後一樣
會有即使格式化也是中毒的狀況。

當時的徹底解決狀況是，修改主機原則的方式，停用 AutoRun.inf 機能。
這個作法，比起設定『自動播放』機能有效用。之後未中毒的電腦才可以對中毒的 USB
隨身碟做格式化。

為何迪西會說用 PE 系統處理。因為 PE 系統預設是停用『自動播放』以及 AutoRun.inf 機能。

當時大約快過一年，因為 USB 病毒的猖獗，微軟終於出手發布 USB 及 AutoRun.inf 機能修正檔，
以填補 AutoRun.inf 機能的漏洞，防堵 USB 病毒。

現在呢？ 不管怎養迪西還是會習慣的修改主機原則的方式，停用 AutoRun.inf 機能。
還是會怕，萬一該修正檔無效會在中一次。

[getter]

以前的電腦病毒機會都會去感染所謂的「檔案」。本身容量極端的小，以利偽裝。
現在的電腦病毒，應該稱電腦蠕蟲才對。直接就是某幾個檔案。本身不一定會去修改別的檔案。

現在的電腦病毒的偽裝方式，多半偽裝成隱藏檔、系統檔，甚至躲藏在「資源回收桶、
系統權限資料夾」中。有些則是利用系統註冊的「系統檔案的權限」來規避、防止被刪除。

一般的檔案刪除，是刪除不掉的，也不易察覺。格式化示最快也是最簡單的方式。

是否需要「完全格式化」理應不用。除非某種狀況，採用過去電腦病毒的那種，
MBR隱藏或是特定磁區隱藏這種的，不是現在這種以檔案呈現的。這種的類型才要考慮
完整格式化，更進一步，還要座低階格式化或是重建 MBR 的方式。

簡單的說要看是那一種病毒，再決定是否要格式化或是完整格式化 ...

[魔術王子]

原來還有這招啊
WindowsServices也差不多,即使刪了啟動檔,病毒還是會再重建,而且無法刪除病毒目錄,但卻可以刪除病毒檔案