2018/9/17更新
更新內容:開啟隨身碟只出現捷徑解決辦法-新增要刪除的地方,請參考6.7步驟
紅字為註記
隨身碟中毒如何解決?
當電腦中了隨身碟病毒時會又什麼症狀呢?
當隨身碟點開,發現你原本的資料都不見,然後出現以下兩種狀況:
一、隨身碟只出現一個捷徑
二、跟你資料相同名稱的資料夾,但是他的圖案非常怪,後面又是.exe執行檔
以上,就是隨身碟中毒的症狀
圖1 隨身碟資料全無只出現捷徑
圖2 隨身碟資料變成exe執行檔
開啟隨身碟只出現捷徑的解決辦法
那要如何解決隨身碟病毒呢?我們先來解決開啟隨身碟時只有一個捷徑的情況
(1)先點選檔案總管的組合管理→資料夾和搜尋選項→檢視→勾選顯示隱藏的檔案、資料夾及磁碟機
(2)在開啟你的隨身碟,此時應該會出現一個 “_”名稱的資料夾,裡面就是你原本的資料,先將裡面的資料拷貝出來至電腦(其他隱藏的資料夾不要去點選,那些都是有問題的檔案)接著再將你的隨身碟”完整”格式化
#資料拷貝出來,千萬別再將其他隨身碟插入電腦裡,以免繼續中毒,拷貝出來至電腦即可
#隨身碟格式化,將快速格式化勾消,不然資料會刪不乾淨
圖1
圖2
圖3
此時隨身碟格式化完之後,接著就要來清除從隨身碟裡跑至電腦的病毒了
1. 先確認此病毒有沒有跑至電腦裡。點選開始→執行(搜尋)(windows+R鍵)→輸入shell:startup,看看裡頭是否有個helper捷徑
#shell:startup這裡的意思是,在這個資料夾裡頭的檔案,都會再開機後去執行
#helper捷徑先不急著去刪除,我們必須先從捷徑裡去找到惡意檔案的源頭
2. 對著helper捷徑按右鍵→內容,將此捷徑的目標複製下來,此時,你會到WindowsService資料夾裡面,裡頭有3個vbs所寫的檔案,將3個檔案按【Shift+Delete】不經過垃圾桶、直接刪除,砍掉3個檔案後再刪除WindowsService資料夾
3. 到 C:\Users\使用者名稱\AppData\Roaming刪除WindowsServices資料夾按【Shift+Delete】不經過垃圾桶、直接刪除
#使用者名稱是你當前正在使用的使用者帳戶,如果不清楚的話,可以在圖4框選的位置查看
#如果出現檔案無法刪除的情況,代表處理程序正在背景執行,點選開始→執行(搜尋)(windows+R鍵)→輸入msconfig→點選啟動標籤,尋找名叫helper的處理程序將它取消勾選,重新啟動電腦後應該就可以刪除檔案
4. 此時,惡意檔案都移除完畢了,這時就可以回去shell:startup開機啟動的資料夾,將helper捷徑移除
5. 最後重開機,再確認隨身碟以及以上步驟的路徑裡,還有沒有重新產生的資料夾
6. 開啟→執行→regedit→進入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig底下,檢查startupfolder與startupreg這兩個地方有helper等字眼一律刪除
7. 檢查C:\windows\pss資料夾是否有helper的link連結,有的話一律刪除
圖4
圖5
資料夾是exe的解決辦法
通常以一般的方式去刪除exe檔或者是將隨身碟Format的話,原先的資料也容易受到影響,導致資料全毀,此時有幾個步驟可以解決此問題
#推薦使用方法二 曾經使用方法一 有導致資料損毀的經驗
方法一:
(1)先點選檔案總管的組合管理→資料夾和搜尋選項→檢視→勾選顯示隱藏的檔案、資料夾及磁碟機
(2)此時會出現隨身碟原先的資料,將原先的資料選取起來,右鍵→內容→取消隱藏
(3)備份電腦原先的資料檔案,將EXE執行檔砍掉後全面掃毒,或者是完整格式化隨身碟
方法二:
(1) 用命令提示字元的方式去解,開始→執行→輸入cmd
(2) 輸入cd C:\到C槽的根目錄→再輸入F: (進入中毒的裝置路徑)→下attrib –h –s *.* /s /d這個指令。
(3) 此時讓電腦處理一下就可以解開隱藏的檔,輸入dir就可以看見原先被隱藏的檔案,將被隱藏的檔案設定成不隱藏並備份出來,此時再砍掉EXE執行檔,最後再將隨身碟掃一次毒
#命令提示字元也可以從附屬應用程式那邊去開啟
#attrib就是改變檔案屬性 –意思就是解掉
若是勾選了顯示隱藏的檔案、資料夾選項以及命令提示字元的方式後還是找不到原先的資料,就是一個“autorun.inf“的病毒檔在搞鬼,因為病毒都是隱藏起來的,會把開啟隱藏檔的功能關掉!使用第三個方法
方法三:
(1) 開啟工作管理員→處理程序→結束處理explorer.exe程序(也就是桌面)→應用程式→新工作→瀏覽→開啟c:\windows\system32\explorer.exe確定後,可重新開啟桌面
(2) 接著到開始→執行→msconfig→啟動標籤,關閉病毒的處理程序(看起來特別奇怪的處理程序),確定後系統會要求重開機,此時先不重開機
(3) 再接著開始→執行→regedit→HKEY_LOCAL_MACHINE→滑鼠右鍵→尋找→輸入showall→將CheckedValue的值改為“1“(如果中了autorun.inf的毒,這時CheckedValue的值應該為“0“,正常為“1“),就可以開始隱藏檔
(4) 將隨身碟原先的資料備份出來並將惡意檔案shift+delete強制刪除
以上是本人常使用的解決方法SOP 備份在小屋上
LINE