雖然這個病毒已經臭名遠播已久,但慶幸的是我一直到最近才真的遇到他,囧rz。不過到目前為止也確定我在網路上找到的資訊是不是已經足夠了。之前安裝avast!都會在我插入隨身碟的時候出現提示,一開始我都選擇"沒有操作",不過後來想說還是把autorun這奇怪的病毒清除好了。結果一清除後,以後隨身碟插入都會顯示autorun錯誤,請選擇開啟程式,一樣囧。

  從經驗告訴我,要先參考這篇把usbmons.dll、kb2006a.exe這兩個刪除後,另外可以在下載USB隨身碟病毒kavo/tavo清除程式。底下會在詳細介紹。

隨身碟病毒 usbmons.dll kb2006a.exe 解毒:(轉載自Zeroplex 生活隨筆 )

不想看廢話請參考「隨身碟病毒解毒(usbmons.dll、kb2006a.exe)」。

這隻病毒把資訊處搞的雞飛狗跳,從一台電腦中毒,馬上就由隨身碟散播感染,不到一週就有另外五台電腦遭殃、一台電腦重灌,今天不睡就直接跟他拼了!

這個病毒會先在所有可移動式的磁碟機建立一個 autorun.inf 和一個 RECYCLER 的隱藏資料夾(資源回收桶圖示),當這個磁碟機被接上電腦,作業系統就會去讀取 autorun.inf 檔,內容如下:

[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe
從上面可以看到這會讓系統自動執行 RECYCLER\autorun.exe。執行後就會讓系統感染病毒。
這 個病毒似乎是變種病毒,由 Kaspersky 掃毒後得到的病毒名稱是 Worm.Win32.Delf.aj,用這個名稱在網路上查詢會找到一個蠕蟲,特徵是開機時會自動開啟記事本,而且會產生wincfgs.exe、 KB20060111.exe二個檔案。但是這次不管重新開機幾次也都沒有看到記事本自動開啟,硬碟任何地方也找不到這二個檔案。

後來想起蘇大哥似乎提到 usbmon.dll 有問題。後來發現這個檔案不是病毒,因為有沒有中毒,再接上隨身碟以後都會出現且 i386 資料夾中也有 usbmon.DL_ 的檔案。

執行病毒以後發現,除了 usbmon.dll 以外還有一個 usbmons.dll (多一個 "s"),丟給 Google 查詢後看到台大 PTT 上也有人用防毒軟體掃到這個檔案是木馬,跟這個關連的還有一個 kb2006a.exe。從 regedit 查詢發現與 USB 有關的如 USB Monitor 的登錄檔全部都有 usbmons.dll 的鍵值,所以開始懷疑是 usbmons.dll 連到 kb2006a.exe 在磁碟機上植入病毒。

將這二個檔案刪除,再把登錄檔修改了以後,重新開機以後接上隨身碟,沒出現 autorun.inf。

所以中毒的話,先刪除以下二個檔案:
C:\windows\system32\usbmons.dll
C:\windows\system32\kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)

接著點 開始 -> 執行 -> "regedit",按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = "usbmons.dll"  -> 改回正確的機碼 (刪掉 "s")
OpenSaveMRU :a, b, c ... = "usbmons.dll" -> 刪除字串值

接下來刪除隨身碟中的病毒檔案。在接上隨身碟之前,請先關閉系統自動執行的功能!接上隨身碟後開啟我的電腦,在隨身碟的圖示上點滑鼠右鍵 ,千萬不可以直接點二下滑鼠左鍵,選擇「開啟(O)」,不要點選英文的「Open」。進入隨身碟後,刪除 autorun.inf 以及 RECYCLER 資料夾即可。



另外:USB隨身碟蠕蟲病毒清除精靈1.2.0.6自動更新版(轉載自藤~八字命理&電腦3C部落格)

【軟體名稱】:USB隨身碟蠕蟲病毒清除精靈1.2.0.6自動更新版
【軟體語言】:繁體中文
【開發語言】:VB
【是否加殼】:有
【軟體類型】:清除病毒工具
【軟體格式】:RAR檔
【軟體大小】:USB_1.2.0.6.rar上傳後610KB
【適用作業系統】:Windows XP

本程式為VB所撰寫,==阿光==個人為維護公司中毒電腦,方便維護處理而製作~請勿做為其他商業用途,由於技術還沒有到家純粹比對檔名特徵處理,為怕造成彼此不必要的糾紛特在此聲明,使用本程式時請審慎評估,使用者需承擔一定的誤殺風險,本人概不負責...謝謝.

1.2.0.6版更新了清除病毒查殺模組,有效處理變種問題...有需要的朋友歡迎下載.


*本程式並非防毒軟體,而是針對已經中毒的電腦或USB隨身碟做清除病毒檔案,防止病毒繼續散撥的一個工具.


功能:

1.本程式只針對非感染性蠕蟲病毒及其變種做設置清除動作.

2.可殺掉硬碟或隨身碟裡的 autorun.inf , ntdelect.com ,ntdeIect.com ,erdeIect.com ,XAdeIect.com , copetttt.com 等多數的USB病毒檔案.

3.可恢復不能顯示隱藏檔,大多USB病毒會讓系統無法顯示隱藏檔,用本工具可以修改回來.

4.此版增加可執行外部程式功能,解決本身程式不足的地方,未來依指示將特定檔案放置
  指定處即可在運行完本查殺工具後,運行外部配合查殺或修復程式.
  
5.此版增加可下載設置檔功能,作者將不定期更新查殺設置檔增加查殺的病毒種類,減少新
  病毒出現主程式就得經常更新重寫問題.




下載位置:

970217 USB隨身碟蠕蟲病毒清除精靈1.2.0.6自動更新版

使用需知:

1.下載後請先做解壓縮,執行裡面的USB隨身碟蠕蟲病毒清除精靈1.2.0.5自動更新版.exe,再執行"下載更新裝置"做一次的檔案更新,更新完病毒碼之後重開一次程式,再進行掃毒。(變種病毒不斷在變化,所以請隨時更新病毒碼)

2.此程式已改版成可利用程式內建功能,自動更新變種病毒的病毒碼,這樣就不用一直再更新版本了

3.VISTA系統使用者,請按右鍵選"系統管理員身份執行"才可正常使用

soarlin 發表在 痞客邦 PIXNET 留言(0) 人氣()