本文只適用於 USB 隨身碟病毒 usbmons.dll、kb2006a.exe:
| AntiVir | TR/Hijack.Wlo.22016 |
| Avast | Win32:Trojan-gen {UPX} |
| AVG | Worm/Delf.AKZ |
| BitDefender | Trojan.Downloader.Tiny.GJ |
| F-Secure | Trojan.Win32.Agent.amp |
| Kaspersky | Worm.Win32.Delf.aj |
| McAfee | Generic Downloader |
| Microsoft | Win32/Delf |
| NOD32v2 | Win32/TrojanDownloader.Tiny.Y |
| Panda | W32/Delf.ZR.worm |
本篇文章沒有提供詳細的測試過程,只提供解毒步驟及方法,若要看詳細檢驗過程請參考「隨身碟病毒 usbmons.dll kb2006a.exe 解毒」。
病毒特性
會先在所有可移動式的磁碟機建立一個 autorun.inf 和一個 RECYCLER 的隱藏資料夾(資源回收桶圖示)。autorun.inf 檔內容如下:
[autorun]
open=.RECYCLERRECYCLERautorun.exe
shell1=Open
shell1Command=.RECYCLERRECYCLERautorun.exe
shell2=Browser
shell2Command=.RECYCLERRECYCLERautorun.exe
shellexecute=.RECYCLERRECYCLERautorun.exe解毒步驟
先刪除以下二個檔案:
C:windowssystem32usbmons.dll
C:windowssystem32kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)
接著點 開始 -> 執行 -> “regedit”,按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = “usbmons.dll” -> 改回正確的機碼 (刪掉 “s”)
OpenSaveMRU :a, b, c … = “usbmons.dll” -> 刪除字串值
接著準備刪除隨身碟中的病毒。要讓隨身碟不會自動執行的方法有二種:
- 關閉系統自動執行
- 插入隨身碟時,按住 Shift 鍵不放
要開啟隨身碟時,請在圖示上面點滑鼠右鍵,選擇「開啟(O)」,不可以點選英文的「Open」。
進入隨身碟後,刪除 autorun.inf 以及 RECYCLER 資料夾即可。
Hi, Zeroplex
我們是負責賽門鐵克台灣區的經湛公關。
無意間在網路上發現您的部落格,我們十分欣賞您的文筆及對部落格經營的用心。
另外,在看到您所分享的資安觀點後,我們一致認為您在針對此領域所發表的意見極具參考價值,
因此在未來想邀請您一起來參與我們的活動﹗
如造成您的不便,也請見諒,謝謝!
連絡方式:
經湛公關
verna
verna@clavis.com.tw
你紅了耶XD
GOOD~我按著你的指示做啦~
目前正在寫論文的我居然中病毒了~
很謝謝你的分享~
我也中了…但…有點無言死了又活死了又活可以讓人這樣子的嗎~~
奮鬥一整晚
流程如下:
1.先刪除以下二個檔案:
C:windowssystem32usbmons.dll
C:windowssystem32kb2006a.exe
2."regedit",按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = "usbmons.dll" -> 改回正確的機碼 (刪掉 "s")OpenSaveMRU :a, b, c … = "usbmons.dll" -> 刪除字串值
以上都照著做但我的會一直復活
最後發現只要將
RECYCLER 資料夾→刪掉
autorun.inf檔內容修改如下
—————————-
全刪
—————————-
是的你沒看錯…修改成這樣子也解了= =不再出現exe也不隱藏資料夾了
我沒注意到病毒對 recycle 資料夾進行存取,可能是我在測試時還沒完全發作吧。
不過….恭喜你解毒成功!
我遇到了 但是都無法找到你說的那些東西
我遇到了 但是都無法找到你說的東西
這篇文章也蠻舊的說,我猜病毒可能已經變種或調整過攻擊方式
文章內的操作可能已經不管用了