作者e8859487 (shengfang)
看板NTUST_Talk
標題Re: [認真] 女宿樓下影印店中毒USB解法[完整版]
時間Sat Jul 19 10:24:06 2014
※ 引述《Lacos0918 (Lacos)》之銘言:
: 取之於PTT,用之於PTT,先跟大家抱歉把這老文章挖出來回覆
: 我今天也中這個病毒,已於10分鐘前解決,但是狀況稍有不同
: 我會先說整個事件過程,若無耐心的鄉民,直接往下拉,我有保留原文
: 補充我碰到的不同之處
: 事件開始
: 昨天開始,某牌的32G隨身硬碟從Win7點開時,只出現名為"Pictures"的影隱藏檔
: 所有複製進去的資料都只剩捷徑,我也有點開過,也無回應(當時完全沒想到是中毒)
: 今天拿去該廠牌的銷售中心,他試了一下果然不能開,二話不說,當場拆了一個新的給我
: (終身保固)
: 後來拿回家一插,同樣的狀況又發生了,我才意識到可能是中毒
: (此時約18:00)
: 接著上網開始Google
: 因為出現的資料夾叫Pictures,所以我的關鍵字是 "隨身碟 Pictures"
: 然後就出現一堆隨身碟的廣告及圖片=.=
: 後來改用"隨身碟 隱藏檔"才確定為中毒
: (此時約19:00)
: 試了網路上很多方法都無效
: 然後找到這篇文章,照步驟做了之後發現病毒的檔名不一樣,所以放棄
: (此時約20:30)
: 再找了很多的文章,也把做過的方法再試了一次,全部都沒用
: 只有本篇文章發生的情況跟我一模一樣
: 所以我就從頭一個步驟一個步驟慢慢看慢慢做
: (此時約23:00)
: 結果花了10分鐘解除病毒,過程一模一樣,只是病毒名稱不同
: 又花了20分鐘測試(檔案複製來複製去,電腦重新開機好幾次)
: 在此跟該隨身碟廠商致歉XD,隨身碟不死,只是中毒,
: 讓你換一個新的給我很抱歉Orz
: 20:00就能解決的事情拖到我快00:00(碎念中)
: =======以下為不同點=======
: ※ 引述《sc38514 (No.17)》之銘言:
: : 小弟我很不幸也遭受到了這個病毒攻擊,
: : 研究了一下把資料保住了,也停止自我複製的症狀。
: : 於是乎來分享一下解毒步驟:
: : 1. 當你發現USB檔案都變成捷徑時,請不要執行任何東西,
: : 萬一你已經點了,請照下面步驟做,如果還好沒點任何東西請跳到步驟3。
: : 2. 如果你點了捷徑,那麼毒已經進入電腦,請先打開工作管理員
: : (CTRL+ALT+DEL),然後切換到第二分頁「處理程序」
: : 關閉運行中的wscript.exe,如果沒有就跳過。
: : 3. 打開USB資料夾,去「組合管理」裡面找到「資料夾和搜尋選項」,
: : 然後前往「檢視」分頁滑到最下面將三個「隱藏.......」的選項取消勾勾
: : (Vista僅兩個),並且選擇「顯示隱藏的檔案、資料夾及磁碟機」。
: : 4. 回到USB資料夾,此時你應該可以看到原有的檔案以及他的捷徑(被病毒創造的)。
: : 把loopqa資料夾、autorun.inf資料夾、ynrhgwssck..vbs,以及所有捷徑刪除。
: (我的病毒檔名是一串數字2xxxxxx...vbs,我就是看病毒檔名不對
: 所以第一次google到此文章做到這步驟就放棄了)
: : 5. 到桌面左下角的開始,在搜尋欄輸入cmd,可以找到cmd.exe,請對他點選右鍵,
: : 以管理員身分執行。如果沒有直接左鍵執行即可。
: : 6. 這時候會跳出一個黑色視窗,請輸入:attrib -H -S (USB槽英文字母):\*.*
: : 例如我的USB是F槽: attrib -H -S F:\*.*
: : 請注意格式要正確,不要遺漏空格。
: : 這個步驟是還原被病毒更動的檔案屬性。
: (我做此步驟時無明顯反應)
: : 7. 接下來請到 C:\Users\(使用者名稱)\AppData\Roaming\
: : Microsoft\Windows\Start Menu\Programs\Startup\
: : 找到並刪除 ynrhgwssck..vbs,如果你一開始沒有執行捷徑的話不會產生。
: : 8. 接著請到C:\Users\(使用者名稱)\AppData\Local\Temp\,
: : 找到並刪除 ynrhgwssck..vbs。
: (病毒檔名不一定一樣,找跟步驟4一樣的檔名刪除就是)
: : 9. 最後到桌面左下角的開始,在搜尋欄打上 msconfig.exe,並且點擊
: : 打開他,切換到「啟動」分頁將「Microsoft (R) Windows Script Host」打勾取消。
: : 點選「套用」然後按下「確定」。到這裡解毒步驟完成,此時會請你重新啟動電腦,
: : 建議重新啟動。
: : 請勿刪除wscript.exe,他是Windows內建工具,只是被病毒借用了,依照步驟
: : 8、9即可解除。
: : 10. (選擇性)依照步驟3將原先的隱藏設定改回去,以免更動到重要檔案。
: : 11.這時候你的USB應該就沒有問題了,試著把檔案複製進去/插拔USB,應該都不會
: : 自動產生捷徑了。
: : 我也是臨時發現中毒,趕緊想辦法處裡,如果有遺漏什麼地方請幫忙補上,
: : 希望這篇能幫到需要的人。
: 除了檔名不一樣,其他步驟都相同
好可怕
--
Sent from my Android
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.71.31.240
※ 文章網址: http://webptt.com/m.aspx?n=bbs/NTUST_Talk/M.1405736647.A.A38.html
1F:推 FoxQ:我也覺得好可怕 07/19 10:56
2F:推 twpunkboy:嚇死+1 07/19 11:26
3F:→ gmoonyh:其實你可以推文... 07/19 18:06
4F:噓 e158420502:應該是手機推文按成回覆看板 07/19 20:51
5F:推 hongsiangfu: 應該是中毒造成的,好可怕! 07/19 22:46
6F:推 ccgp:XDDDDDDDDDDDDD 07/22 17:09
7F:推 JustinBieber:你用Android也讓我覺得好可怕 07/24 20:11
8F:→ ypwalter:... 07/25 00:20
9F:推 newhampshire:應該中毒了= =y 08/08 20:23