縮小字型大小。 重設字型大小。 放大字型大小。

隨身碟病毒 usbmons.dll kb2006a.exe 解毒

Posted on By 日落 在〈隨身碟病毒 usbmons.dll kb2006a.exe 解毒〉中有 4 則留言

不想看廢話請參考「隨身碟病毒解毒(usbmons.dll、kb2006a.exe)」。

這隻病毒把資訊處搞的雞飛狗跳,從一台電腦中毒,馬上就由隨身碟散播感染,不到一週就有另外五台電腦遭殃、一台電腦重灌,今天不睡就直接跟他拼了!

這個病毒會先在所有可移動式的磁碟機建立一個 autorun.inf 和一個 RECYCLER 的隱藏資料夾(資源回收桶圖示),當這個磁碟機被接上電腦,作業系統就會去讀取 autorun.inf 檔,內容如下:

[autorun]
open=.RECYCLERRECYCLERautorun.exe

shell1=Open
shell1Command=.RECYCLERRECYCLERautorun.exe
shell2=Browser
shell2Command=.RECYCLERRECYCLERautorun.exe

shellexecute=.RECYCLERRECYCLERautorun.exe

從上面可以看到這會讓系統自動執行 RECYCLERautorun.exe。執行後就會讓系統感染病毒。

這個病毒似乎是變種病毒,由 Kaspersky 掃毒後得到的病毒名稱是 Worm.Win32.Delf.aj,用這個名稱在網路上查詢會找到一個蠕蟲,特徵是開機時會自動開啟記事本,而且會產生wincfgs.exe、KB20060111.exe二個檔案。但是這次不管重新開機幾次也都沒有看到記事本自動開啟,硬碟任何地方也找不到這二個檔案。

後來想起蘇大哥似乎提到 usbmon.dll 有問題。後來發現這個檔案不是病毒,因為有沒有中毒,再接上隨身碟以後都會出現且 i386 資料夾中也有 usbmon.DL_ 的檔案。

執行病毒以後發現,除了 usbmon.dll 以外還有一個 usbmons.dll (多一個 “s”),丟給 Google 查詢後看到台大 PTT 上也有人用防毒軟體掃到這個檔案是木馬,跟這個關連的還有一個 kb2006a.exe。從 regedit 查詢發現與 USB 有關的如 USB Monitor 的登錄檔全部都有 usbmons.dll 的鍵值,所以開始懷疑是 usbmons.dll 連到 kb2006a.exe 在磁碟機上植入病毒。

將這二個檔案刪除,再把登錄檔修改了以後,重新開機以後接上隨身碟,沒出現 autorun.inf。

所以中毒的話,先刪除以下二個檔案:
C:windowssystem32usbmons.dll
C:windowssystem32kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)

接著點 開始 -> 執行 -> “regedit”,按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = “usbmons.dll”  -> 改回正確的機碼 (刪掉 “s”)
OpenSaveMRU :a, b, c … = “usbmons.dll” -> 刪除字串值

接下來刪除隨身碟中的病毒檔案。在接上隨身碟之前,請先關閉系統自動執行的功能!接上隨身碟後開啟我的電腦,在隨身碟的圖示上點滑鼠右鍵 ,千萬不可以直接點二下滑鼠左鍵,選擇「開啟(O)」,不要點選英文的「Open」。進入隨身碟後,刪除 autorun.inf 以及 RECYCLER 資料夾即可。

Tags:, ,

Windows XP 自動播放

Posted on By 日落 在〈Windows XP 自動播放〉中有 2 則留言

自動播放主要是由磁碟機或光碟機中的「AutoRun.inf」檔案控制,AutoRun.inf 裡面會設定自動執行的檔案位置,以下是 Windows XP 光碟中的 AutoRun.inf:

[AutoRun]
open=setup.exe
icon=setup.exe,0

第一行是辨識碼,讓作業系統確定這不只是一個同樣名稱的檔案;第二行就是要作業系統自動直型的檔案位置;第三行會設定視窗中光碟機的圖示。

當然不是每個設定檔張的都一模一樣,有些甚至會要求作業系統執行超過一個以上的檔案,這時設定檔案起來就會很複雜。

當一台電腦中毒時,病毒會先感染一些系統程式並常駐在你的電腦,當他偵測到有隨身碟接上電腦時,變會感染或是將病毒本身複製到隨身碟中隱藏,並加入一個 AutoRun.inf,並設定執行病毒檔。這樣當被感染的隨身碟接上另一台電腦時,系統讀到自動播放設定後,便會自動執行病毒。

Tags:, ,