帝國日誌

最近病毒猖獗（該不是因為下載"慾照"吧  XD）
解除方法可參考下列四步驟：
（如需要貼操作圖請再跟我說，我沒中毒，也不知道該怎麼貼）

1.先下載UNLOCKER軟體：
http://reg.softking.com.tw/freeware/index.asp?fid1=2&fid2=6&fid3=23528
網頁最下方 右側進入下載網頁

2.刪除以下二個檔案：
C:\windows\system32\usbmons.dll
C:\windows\system32\kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)

3.接著點 開始 -> 執行 -> "regedit"，按 Ctrl+F 搜尋關鍵字「usbmons.dll」。
應該會出現在二種不同的機碼內。
USB Monitor ：Driver = "usbmons.dll"　　-> 改回正確的機碼 (刪掉 "s")
OpenSaveMRU ：a, b, c ... = "usbmons.dll" -> 刪除字串值

4.接下來刪除隨身碟中的病毒檔案。在接上隨身碟之前，請先關閉系統自動執行的功能！
接上隨身碟後開啟我的電腦，在隨身碟的圖示上點滑鼠右鍵 ，
千萬不可以直接點二下滑鼠左鍵，
選擇「開啟(O)」，不要點選英文的「Open」。
進入隨身碟後，刪除 autorun.inf 以及 RECYCLER 資料夾即可。

以上節錄自雅虎知識家：
http://tw.knowledge.yahoo.com/question/?qid=1007020900267
或請參考http://zeroplex.blogspot.com/2007/01/usbmonsdll-kb2006aexe.html

這個病毒似乎是變種病毒，由 Kaspersky 掃毒後得到的病毒名稱是 Worm.Win32.Delf.aj，
用這個名稱在網路上查詢會找到一個蠕蟲，特徵是開基石會自動開啟記事本，
而且會產生wincfgs.exe、KB20060111.exe二個檔案。
但是這次不管重新開機幾次也都沒有看到記事本自動開啟，
硬碟任何地方也找不到這二個檔案。

後來想起蘇大哥似乎提到 usbmon.dll 有問題。後來發現這個檔案不是病毒，因為有沒有中毒，再接上隨身碟以後都會出現且 i386 資料夾中也有 usbmon.DL_ 的檔案。

執行病毒以後發現，除了 usbmon.dll 以外還有一個 usbmons.dll (多一個 "s")，丟給 Google 查詢後看到台大 PTT 上也有人用防毒軟體掃到這個檔案是木馬，跟這個關連的還有一個 kb2006a.exe。從 regedit 查詢發現與 USB 有關的如 USB Monitor 的登錄檔全部都有 usbmons.dll 的鍵值，所以開始懷疑是 usbmons.dll 連到 kb2006a.exe 在磁碟機上植入病毒。

將這二個檔案刪除，再把登錄檔修改了以後，重新開機以後接上隨身碟，沒出現 autorun.inf。

所以中毒的話，先刪除以下二個檔案：
C:\windows\system32\usbmons.dll
C:\windows\system32\kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)

接著點 開始 -> 執行 -> "regedit"，按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor ：Driver = "usbmons.dll"　　-> 改回正確的機碼 (刪掉 "s")
OpenSaveMRU ：a, b, c ... = "usbmons.dll" -> 刪除字串值

接下來刪除隨身碟中的病毒檔案。在接上隨身碟之前，請先關閉系統自動執行的功能！接上隨身碟後開啟我的電腦，在隨身碟的圖示上點滑鼠右鍵 ，千萬不可以直接點二下滑鼠左鍵，選擇「開啟(O)」，不要點選英文的「Open」。進入隨身碟後，刪除 autorun.inf 以及 RECYCLER 資料夾即可。