你的USB中毒了嗎

我的電腦每次掃毒時, 就顯現了 c:\windows\system32\usbmons.dll kb2006a.dll 中毒
甚至殺掉了毒, 下次scan還是存在, 連USB裡的autorun.inf 也中毒了, 當時還不懂
要把資料夾的隱藏檔open, 就覺得奇怪我跟本找不到這檔,還怪自己為了怕usb中毒
傳染電腦下載了usbscan的程式 , 錯怪了原程式的作者
現看到了清水國小資訊站的資料 才如夢大醒. usb 的使用方法還真重要.

1.不要直接開啟usb, 要利用檔案總管開啟
2.把電腦裡的系統管理的關閉任何磁碟自動播放啟動 執行- gpedit.msc 出現群組原則後選 >電腦設定>系統管理範本>系統 3.在任何磁碟建立一個資料夾 autorun.inf ,這樣執行usb萬一它要藉由autorun.inf散播毒時 ,同檔名是無法替代.
阻止病毒建立『autorun.inf』檔，就可以阻擋病毒入侵我們的任何磁諜。
4. usb隱藏的autorun.inf 及recycle的目錄內的檔案,刪除了,recycle 當然殺不掉,它是系統檔, 但裡面清光了, autorun.inf就好刪了
也就可以再開個autorun.inf的資料夾,再把它隱藏起並設定唯讀屬性.
5.有次我用掃毒軟體剛刪了autorun.inf ,卻發現usb還在做讀取的動作,才發現它又在覆製毒了,原來recycle裡的檔案沒刪
即使毒刪了 , IE 的操作非常的不順, 網頁無法讀取, 當然電腦我最後選擇系統重灌.取消自動讀取任何磁諜,在任何磁碟上
　　都建立了　autorun.inf 目錄當然開檔不再直接點取,而是由檔案總管選取.

6.最重要的後來我查看了我的usb硬諜, ipod , 相機裡的cf, 都中了所謂的artorun.inf的毒,真可怕.....當然如果有mp3也別忘了掃毒.



轉載　　清水國小校園資訊站　　　　　　　

我檢測USB是否中毒


最近本校有很多台電腦中毒，感染原因多是插入被病毒感染的隨身碟(或隨身硬碟、MP3、數位相機、記憶卡等卸除式裝置)。 因被病毒感染的隨身碟裏有自動播放檔和病毒程式，當隨身碟插入電腦時，電腦會自動啟動隨身碟裏的自動播放檔，進而執行病毒程式，造成電腦中毒。 不僅如此，別人未中毒的隨身碟插入中毒的電腦，也會被感染。若此隨身碟再插入別台未中毒的電腦，該電腦也會被感染，如此惡性循環。 該病毒會造成電腦執行緩慢、上網速度超慢(因為牠大量傳送封包出去，造成網路大塞車)、XP自動更新失效等症狀，目前掃毒程式並無法有效清除(包含卡巴斯基)，目前只能格式化後重灌才能解決，並且避免再接觸受感染的隨身碟。 為避免成為下一個受害者，資訊組建議各位趕快關閉磁碟機自動播放功能(XP預設是開啟的)，並且開啟隨身碟時請勿使用我的電腦開啟，儘量使用檔案總管 ※ 以下提供各位關閉自動播放功能及自我檢測的方法，請趕快自我檢測一下，別讓疫情再擴散出去。 壹、先關閉所有磁碟機自動播放功能，避免被感染 一、按 開始，選 執行 二、輸入 gpedit.msc 三、出現群組原則後選 >電腦設定>系統管理範本>系統 四、在右邊找到 關閉自動播放 (在倒數第6項的位置)，點按兩下進入 五、選 已啟用 並在下面選 所有磁碟機，按 確定 後離開 現在很多病毒都是利用隨身碟和MP3來傳播，除了將自動播放功能關閉外，建議開啟磁碟時，不要利用 我的電腦 來開啟，請使用 檔案總管 問：如何使用檔案總管？ 答：在 我的電腦 上面按滑鼠右鍵，在選單上選 檔案總管，進入之後再點選你要讀取的磁碟機 貳、自我檢測隨身碟是否中毒，避免感染別人 一、在 我的電腦 上按滑鼠右鍵，在選單上選 檔案總管 二、進入之後，在功能表上選 工具 / 資料夾選項 三、進入之後，選 檢視 標籤，在下面的進階設定中參考下圖做設定，按確定完成 四、插入隨身碟後，在我的電腦上按滑鼠右鍵，用 檔案總管 開啟，若發現你的隨身碟裏有 autorun.inf 和 setup.exe 兩個隱藏檔，表示隨身碟已經中毒了，請立刻把這兩個檔刪除並拔出。 參、自我檢測電腦是否中毒，避免感染別人的隨身碟 一、在 我的電腦 上按滑鼠右鍵，在選單上選 管理 二、在左邊 電腦管理 裏找到 服務及應用程式 ，按前面的 □+ 展開，選擇 服務 三、在右邊選擇 Automatic Updates，若出現簡體字，表現已中毒，請不要在你的電腦上使用隨身碟，避免再感染 四、簡易擋毒 　＞　資訊百寶箱　＞　防止USB碟中毒的偷吃步 　 回上頁 防止USB碟中毒的偷吃步 文／ 夏偉雄 您是否常常遇到隨身碟插入至 電腦時，卻馬上發現隨身碟有中毒的傾向，或者讓別人的電腦也中毒，而感到困擾而又無奈嗎？此篇防止USB中毒的小撇步將分享給您。 1. USB隨身碟對病毒的傳播要借助『autorun.inf』檔案的輔助說明。病毒首先把自身 複製到USB隨身碟﹐然後建立一個『autorun.inf』﹐在您連續按兩下USB隨身碟時﹐會根據『autorun.inf』中的設定去執行USB隨身碟中的病毒。因此我們只要阻止病毒建立『autorun.inf』檔，就可以阻擋病毒入侵我們的USB隨身碟。 2. 但要怎麼做才能防止病毒修改『autorun.inf』檔呢？我們使用的方法就是在根目錄下建立一個『資料夾』取名為『autorun.inf』，如此一來，因為在同一目錄底下，同名的檔案和檔案夾是不能共存的原理，如此一來，病毒就無能為力，無法建立『autorun.inf』檔。至於未來會不會出現新種病毒，自動刪除檔案夾，然後再建立『autorun.inf』檔，這個我們無法確定，但就現階段而言，這個方法是相當有效的。大家不妨一試。
步驟1：在隨身碟的根目錄下，按滑鼠右錄 　 步驟2：新增一個資料夾 　 步驟3：將資料夾名稱取為"autorun.inf" 　 　資料來源：http://cdtl.nknu.edu.tw/learn_detail.php?dataid=dlearn40g5&np=1&class=clopfilear





五、進階擋毒： 方法一： . usb中毒解決方法 先將副檔名及隱藏檔案開啟(選取工具=>資料資料夾選項=>檢視) (記得先下載 UNLOCKER 利用它刪檔或是去安全模式下刪檔!!!) 1.刪除C:\WINDOWS\system32\usbmons.dll及kb2006a.dll 2.執行regedit,搜尋usbmons.dll後修改DLLName的值為C:\WINDOWS\system32\usbmon.dll 3.刪除usb隨身碟的autorun.exe及recyle的檔案與資料夾 4.重新開機 方法二： 這個病毒有下面的行為： [Added process] c:\windows\mdm.exe [DLL injection] 不知有沒有，因為當時沒有工具，所以，無法得知，但這隻病毒具有看門狗 (Watchdog) 的功能，當砍掉病毒檔案和註冊碼後，會再產生原本的病毒檔案和註冊碼。 [Addded file] c:\windows\svchost.exe (隱藏檔系統唯讀檔，屬性為 HSR) ps: 我懷疑原文的有關svchost.exe 誤記,應是svohost.exe)c:\windows\svchost.ini (隱藏檔系統唯讀檔，屬性為 HSR) c:\windows\system\svchost.exe (隱藏檔系統唯讀檔，屬性為 HSR) c:\windows\mdm.exe (隱藏檔系統唯讀檔，屬性為 HSR) c:\windows\system32\usbmons.dll (隱藏檔系統唯讀檔，屬性為 HSR) c:\windows\system32\usbmons.exe (隱藏檔系統唯讀檔，屬性為 HSR) c:\windows\system32\inetsrv.exe [Added registry] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunValue=SVCHOSTData=c:\windows\mdm.exe [隨身碟] 當隨身碟插入 USB 插槽之後，系統就會立刻自動執行 (Autorun 或 Autoplay) 隨身碟的某些檔案，就在這個時後，病毒就會感染隨身碟，寫入一個惡意檔案和或一個自動執行檔案： g:\autorun.inf (病毒會修改這個黨案) g:\RavMon.exe (隱藏檔系統唯讀檔，屬性為 HSR，Symantec 偵測為 W32.Rajump) 如果你的隨身碟已經被病毒感染，當你將隨身碟插入你的電腦時，你的系統將會被這隻病毒所感染。 如何清除這隻病毒： 1. 將電腦切換至安全模式 (並不是所有的狀況皆適用) 2. 進入命令列模式，利用命令 attrib，使惡意檔案 (隱藏檔系統唯讀檔) 一一現形 3. 將惡意檔案刪除或更名 (比較保險的做法) 4. 打開註冊碼編輯器，將惡意的註冊碼刪除 5. 重新開機，然後，系統應該恢復正常狀態。 6. 清除隨身碟上的病毒。注意，如果你不想在插入隨身碟時中毒，當隨身碟插入系統時，記得一直按著「Shift」鍵。 方法三： 微軟視窗作業系統提供一個自動執行 (Autorun 或 Autoplay) 的功能，系統會自動尋找 autorun.inf 的檔案，而且，自動執行其內容，可想而知，如果其內容是執行一個惡意程式，你可能就變成受害者，但要如何預防呢？以下分成幾點說明： 一、避免已感染的隨身碟感染電腦：可以利用下面其中一種方法，關閉動執行 (Autorun 或 Autoplay) 的功能。 1. 當隨身碟插入電腦時，一直按著「Shift」鍵，直到系統已經連結此隨身碟 (作業系統將不會執行 autorun.inf 的內容)。 2. 修改登錄機碼，找到 HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer，將 NoDriveTypeAutoRun 的值設為 0x00000095 以及 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer，將 NoDriveTypeAutoRun 的值設為 0x00000095，然後，重新開機， 這樣就可以停用 Autorun 了。 3. 利用群組原則嵌入式管理單元 (gpedit.msc) 。[本機電腦]->[開始]->[執行]->[在開啟欄中輸入 gpedit.msc]，然後，參考下圖，設定完成後，重新開機。 二、避免已感染的電腦感染隨身碟：其實，就像以前的磁片 (Floppy)，因為會被病毒感染，最後，磁片都具有唯讀 (Read-Only) 的開關，所以，各位可以購買具有唯讀開關功能的隨身碟，但現在好像比較少隨身碟有此功能，製作隨身碟的廠商可能要考慮把此項功能納入規格中，否則，很難避免中毒。(另外，各位可以常常檢查是否 autorun.inf 被更改過了) 至於，為什麼要將 NoDriveTypeAutoRun 的值要設為 0x00000095 呢？如果各位有興趣的話，我會再說明。最後，如果此篇文章有錯誤的地方，請告知。 P.S. 如果要關閉 CD-ROM 的自動執行功能，可以將 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\autorun 的值設為 0，然後，重新開機。