none
如何确定是那个程序在访问U盘?U盘无法拔出 RRS feed

  • 问题

  • 有时候不知道那个进程是在访问u盘导致U盘不能正常拔出,不知道有没有什么脚本或程序能不能检测到呢?

    2009年7月9日 7:46

答案

全部回复

  • 你可以尝试使用WhoLockMe Explorer Extension,当然你可以直接注销一下,然后进系统就可以安全删除了.
    2009年7月9日 8:11
  • 建议装一个 Unlocker ,http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe 退出所有程序后如果仍然无法弹出U盘,直接在U盘上面点击右键,单击 “Unlocker” ,单击“全部解锁”。或者你在解锁之前退出列表里面显示的程序,再弹出U盘试试

    2009年7月13日 7:04
  • 在自己电脑上这个方法还好,注销的时间又不长,但是要是在别人电脑上用U盘的时候注销又不怎么好

    2009年7月14日 4:36
  • 装了Unlocker还是不行啊,曾经中了一个绿化.bat的病毒 ,现在U盘的rar文件都有绿化.bat这个文件,但是我又没运行啊
    Beep.sys ,svchost.exe ,绿化.bat清除
    2) 强行删除病毒衍生及下载的大量病毒文件
    %System32%\drivers\Beep.sys
    %Temp%\svchost.exe
    %Temp%\绿化.bat
    (3)删除病毒添加的注册表启动项及劫持的安全软件项
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
    删除Image File Execution Options键下被劫持的文件名
    病毒描述
    该病毒为下载者木马,病毒运行后,创建名为"u1s2a3f4e5n6o7w"的互斥量,防止病毒多次运行产生冲突,遍历进程查找"winlogon.exe"进程,找到之后打开该进程ID,动态将"sfc_os.dll"加载该进程中,获取该动态链接库基址,删除%System32%\dllcache、%System32%\drivers目录下的Beep.sys文件,衍生6611.tmp文件到%Temp%临时目录下,然后拷贝到%System32%\drivers目录下,该驱动文件主要行为:恢复SSDT躲避部分安全软件的主要防御提示,获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间,并打开BEEP服务、使用系统服务加载病毒驱动文件,通过遍历进程查找大量安全软件进程如存在则添加注册表映射劫持,遍历进程查找avp.exe、RStray.exe进程,找到发送关闭消息,创建病毒驱动设备名"\\.\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效,将kernel32.dll加载到该进程中,拷贝%System32%目录下的"urlmon.dll"到临时目录下,动态加载临时目录下的"urlmon.dll"文件,调用API函数连接网络读取信息下载大量恶意文件,监视部分安全软件窗体,如发送后则发送关闭消息,衍生svchost.exe、绿化.bat到%Temp%临时目录下,查找\WinRAR\Rar.exe安装路径,遍历查找所有分区的.rar,.zip,.tgz,.cab,.tar文件,找到后调用winrar命令"-ep a"执行 %Temp%\绿化.bat文件,通过内网ipc$共享传播自身。
    行为分析-本地行为
    1、创建名为"u1s2a3f4e5n6o7w"的互斥量,防止病毒多次运行产生冲突,遍历进程查找"winlogon.exe"进程,找到之后打开该进程ID,动态将"sfc_os.dll"加载该进程中,获取该动态链接库基址,删除%System32%\dllcache、%System32%\drivers目录下的Beep.sys文件。
    2、文件运行后会释放以下文件
    %System32%\drivers\Beep.sys (恢复SSDT躲避部分安全软件的主要防御提示)
    %Temp%\svchost.exe (通过内网ipc$共享传播自身)
    %Temp%\绿化.bat
    3、添加注册表映射劫持
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\被劫持的文件名\Debugger
    值: 字符串: "ntsd -d"
    360Safe.exe、360safebox.exe、360tray.exe、adam.exe、AgentSvr.exe、AntiArp.exe、AppSvc32.exe、arswp.exe、
    AST.exe、autoruns.exe、avcenter.exe、avconsol.exe、avgnt.exe、avgrssvc.exe、AvMonitor.exe、avp.com、
    avp.exe、CCenter.exe、ccSvcHst.exe、DrvAnti.exe、EGHOST.exe、FileDsty.exe、filemon.exe、FTCleanerShell.exe、
    FYFireWall.exe、GFRing3.exe、GFUpd.exe、HijackThis.exe、IceSword.exe、iparmo.exe、Iparmor.exe、
    isPwdSvc.exe、kabaload.exe、KASMain.exe、KASTask.exe、KAV32.exe、KAVDX.exe、KAVPF.exe、KAVPFW.exe、
    KAVSetup.exe、KAVStart.exe、KISLnchr.exe、KMailMon.exe、KMFilter.exe、KPFW32.exe、KPFW32X.exe、
    KPfwSvc.exe、Kregex.exe、KRepair.com、KsLoader.exe、KvDetect.exe、KvfwMcl.exe、kvol.exe、kvolself.exe、
    KVSrvXP.exe、kvupload.exe、kvwsc.exe、KvXP.kxp、KWatch.exe、KWatch9x.exe、KWatchX.exe、MagicSet.exe、
    mcconsol.exe、McNASvc.exe、McProxy.exe、Mcshield.exe、mcsysmon.exe、mmqczj.exe、mmsk.exe、
    MpfSrv.exe、Navapsvc.exe、Navapw32.exe、NAVSetup.exe、nod32.exe、nod32krn.exe、nod32kui.exe、
    NPFMntor.exe、PFW.exe、PFWLiveUpdate.exe、ProcessSafe.exe、procexp.exe、QHSET.exe、QQDoctor.exe、
    QQDoctorMain.exe、QQKav.exe、Ras.exe、Rav.exe、RavMon.exe、RavMonD.exe、RavStub.exe、RavTask.exe、
    RawCopy.exe、RegClean.exe、regmon.exe、RegTool.exe、rfwcfg.exe、rfwmain.exe、rfwProxy.exe、rfwsrv.exe、
    rfwstub.exe、RsAgent.exe、Rsaupd.exe、RStray.exe、rstrui.exe、Rtvscan.exe、runiep.exe、safeboxTray.exe、
    safelive.exe、scan32.exe、SelfUpdate.exe、shcfg32.exe、SmartUp.exe、SREng.exe、SuperKiller.exe、
    symlcsvc.exe、SysSafe.exe、taskmgr.exe、TrojanDetector.exe、Trojanwall.exe、TrojDie.exe、UIHost.exe、
    UmxAgent.exe、UmxAttachment.exe、UmxCfg.exe、UmxFwHlp.exe、UmxPol.exe、upiea.exe、UpLive.exe、
    USBCleaner.exe、vsstat.exe、webscanx.exe、WoptiClean.exe、zxsweep.exe
    描述:被劫持的文件列表
    4、获取user32.dll文件创建时间将该驱动文件设置为user32.dll文件创建时间,并打开BEEP服务、使用系统服务加载病毒驱动文件,遍历进程查找avp.exe、RStray.exe进程,找到发送关闭消息,创建病毒驱动设备名"\\.\PciFtDisk"判断%Windir%目录下的explorer.exe是否有效,将kernel32.dll加载到该进程中,拷贝%System32%目录下的"urlmon.dll"到临时目录下,动态加载临时目录下的"urlmon.dll"文件。
    5、监视部分安全软件窗体,如发送后则发送关闭消息,查找\WinRAR\Rar.exe安装路径,遍历查找所有分区的.rar,.zip,.tgz,.cab,.tar文件,找到后调用winrar命令"-ep a"执行 %Temp%\绿化.bat文件,通过网络ipc$共享传播自身。



    这病毒太厉害了,U盘又很多重要文件不只那个被感染了。rar里的都被我删除了,没找到其他可疑文件,为什么每次U盘插了就提示其他程序在访问呢
    2009年7月14日 4:49
  • 不知道爲什麽現在的 U 盤好多都沒有寫保護開關了.
    Folding@Home
    2009年7月14日 6:17
  • "这病毒太厉害了,U盘又很多重要文件不只那个被感染了。rar里的都被我删除了,没找到其他可疑文件,为什么每次U盘插了就提示其他程序在访问呢"

    有無具體提示到底是什麽進程在訪問 U 盤? 可能是殺毒沒殺乾淨, 有惡意程序試圖將 U 盤的文件, 複製到一個隱蔽的文件夾.
    Folding@Home
    2009年7月14日 6:19
  • 你尝试更换几款杀软来清除病毒,尽量选择清除而不是删除,可以先用卡巴清除可清除的病毒,把隔离的还原,然后卸载卡巴,安装NOD 4.0,然后继续清除,如此操作和安装几款杀软清除病毒,把感染的文件尽量清除病毒,而不至于删除文件。

    2009年7月14日 9:44
  • U盘中的病毒清理干净后,一般会直接能拔出的。
    如果问题没有解决,还请继续跟帖讨论。
    2009年7月15日 16:39