U盤病毒

那天，有個同僚拿個U盤過來跟我說打不開，能不能幫她看看，自恃電腦裡有Autorun病毒防禦者一直開着用來清除U盤木馬，沒出過差錯，就把她的U盤插入靜候它的佳音，一會兒它跳出：

發現病毒系統資料庫項:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\OnDesktop,值:rundll32.exe "browseiu.dll",explorer(Trojan-PWS.Win32.Agent.BU)，處理結果:清除成功

發現病毒檔案:I:\.vbs(Virus.VBS.AutoRun.ai)，處理結果:清除成功

發現病毒殘留目錄:I:\RECYCLER，處理結果:清除成功

對後面兩個“發現”是司空見慣的，第一個“發現”倒是第一次看到，有些疑惑，不過看到已經清除成功，也沒多大在意，看看U盤打得開了就再免疫了一下還給她，打發走人，順便把自己的電腦也查一下，呵~一查問題就來了，隻見它跳出：

發現病毒篡改系統資料庫項:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,值:c:\windows\system32\userinit.exe,rundll32.exe browseiu.dll explorer，處理結果:修複成功

還沒等我在一驚中回過神來，電腦已經快速關掉我桌面上所有正在操作的東西然後關機又重新開機了，進入桌面打開病毒防禦者先用掃描功能看了一下，暈~還在哇（呵~看來好事做不得，一做麻煩惹上身）！我要直接清除這木馬的話電腦肯定還會重新開機，那還是讓我重新開機直接進入安全模式去殺它，開始——關機——重新啟動，按着F8不放，選擇安全模式，然後在一片黑暗中等待着……快要看到黎明了，咦~怎麼又重新開機了啦，好哇~小樣，還不讓我進安全模式殺你，夠牛的，等着，趕緊在網上搜尋下“Trojan-PWS.Win32.Agent.BU”跟“browseiu.dll”，查了很久，網上沒有詳細的資料，看來必須自己手動清除了。 

    先在電腦上查到“browseiu.dll”是放在c:\windows\system32下打開c:\windows\system32把browseiu.dll删除（system32裡面有browseui.dll程式，千萬不能删錯，否則……呵呵~麻煩更大啦！），然後運作regedit，打開系統資料庫，進入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run裡的檔案OnDesktop删除,或者打開360安全衛士——進階——啟動項狀态裡删除OnDesktop，HKLM_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon裡打開Userinit,把數值資料c:\windows\system32\userinit.exe,後面的“rundll32.exe,rundll32.exe browseiu.dll explorer”删除，Oh My god！電腦又重新開機了，手動也不行？嗯，讓我再仔細想想，這木馬不讓我手動删除，又不讓我進安全模式，對了在安全模式下肯定能删除它，關鍵是怎麼進入安全模式，打開事件檢視器，有如下描述：

事件類型: 錯誤

事件來源: DCOM

事件種類: 無

事件 ID: 10005

日期:  2009-6-10

事件:  15:58:41

使用者:  NT AUTHORITY\SYSTEM

計算機: XXXXXXXXXXXXX

描述:

DCOM 遇到錯誤“不能以安全模式開始這項服務 ”，試圖以參數“”啟動服務 EventSystem 以運作伺服器:

{1BE1F766-5536-11D1-B726-00C04FB926AF}

     根據網上的有關資料解決這個問題：打開程式——控制台——管理工具——元件服務——計算機——我的電腦——DOCM配置,找到{1BE1F766-5536-11D1-B726-00C04FB926AF}，右點其屬性選“安全”頁籤，在“啟動與激活權限”欄目中點選“自定義”單選按鈕。接着點選“編輯”按鈕，在彈出的“啟動權限”對話框中，檢視下面四個的權限（如果沒有這四個就點選“添加”按鈕）

1.Administrators

2.Everyone

3.INTERACTIVE

4.SYSTEM

發現在Everyone中少個本地啟動，補勾上，确定，重新開機，順利進入安全模式，運作Autorun病毒防禦者進行清除，清除完畢沒有自動關機， 看來一切順利，重新開機打開系統資料庫看了那兩個地方，恢複正常，OK！