作者CassSunstein (Pm)
看板AntiVirus
标题Re: [问题] 怎麽处置被复原的「IDP.ALEXA.51」病毒?
时间Thu Dec 27 05:21:01 2018
※ 引述《CassSunstein (Pm)》之铭言:
: 请问,我现在该怎麽抓到不知被「复原」到我电脑中的哪儿的这个病毒呢?
: 感谢指点。
: ps.我查了一下,网路上说「movemenoreg.vbs」是病毒,
: 可是我的扫毒软体的隔离区目录明明写的是「movemenoreg.vbe」,
: 所以我一头务水。病毒也的确会自行建立「WindowsServices」隐藏资料夹於D槽或E槽。
向大家报告至今的思考进度。
我误打误撞叫出Win10的「工作管理员」,在其中乱看,在「开机」程序中发现
「helper.vbe」。因为这个档名先前也在防毒软体的隔离区看到,加上副档名是「vbe」,
跟「movemenoreg.vbe」的副档名相同。但身为麻瓜的劣势就显现了,这时我思考钝住:
因为我看网路上是说副档名「vbs」是病毒的徵兆;可是副档名是「vbe」的程式是不是
必然是病毒?我完全不清楚,不知有无哪位网友惠予解答呢?所以我假设它有嫌疑好了。
接着我对「helper.vbe」这个开机程序栏按滑鼠右键,发现有个「开启档案位置」选项,
我正想知道有无哪些线索,所以我就点下去,然後画面跳出一个新的小视窗画面(类似档
案总管画面),在小画面右半侧展示区发现了「movemenoreg.vbe」与「helper.vbe」。
然後小画面左半侧的位置树状表中,显示它俩一起位於「WindowsServices」这个资料夹、
which位於「roaming」资料夹内、which位於「AppData」、which位於「使用者代号」等等
,亦即找到了「movemenoreg.vbe」的位置。不过还是没有发现「IDP.ALEXA.51」躲在哪。
但如上所述,它的副档名是「vbe」不是「vbs」,所以这两个被我找到的程式,需要整个
连同「WindowsServices」档案夹一起删除、或做什麽处置呢?砍掉「WindowsServices」
这个「资料夹」应该没问题吧(是被病毒创建的资料夹?应该不是系统本身资料夹吧?)
以及,当然要停止「helper.vbe」作为开机程序(如果不打算砍掉「helper.vbe」的话)
吗?
在依照D大的网页解毒文着手前,我想先请教大家上述两个被我发现的「嫌疑」(但麻瓜
的我不是百分百了解这两个档案,所以赶紧请教网友们)程式,要怎麽处理或不需处理?
感谢大家的指点~
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.137.133.122
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1545859264.A.C44.html
1F:→ whatisapity: 副档名只是用来给作业系统判断要用什麽程式开启的 12/27 07:33
2F:→ whatisapity: 跟有没有毒完全无关 12/27 07:33
3F:→ whatisapity: vbe就是加密过的vbs 12/27 07:33
4F:→ whatisapity: 你的问题几乎都是Google十秒内能找到答案的 12/27 07:33
5F:推 DINJIAPC: vbs.vbe两个解法与是一样的。只是名称不一样而已。若你 12/27 08:19
6F:→ DINJIAPC: 看不到资料夹请你用解压缩软体去开启目录然後在滑鼠删 12/27 08:19
7F:→ DINJIAPC: 除。 12/27 08:19
8F:→ DINJIAPC: 就是开启工作管理员 删除helper 切到启动标签 对lnk结尾 12/27 08:38
9F:→ DINJIAPC: 的项目做删除 名称一样就全部照做 12/27 08:42
12F:→ DINJIAPC: 真这麽不会如老人 那用ipad就好了 也不用管xp能不能用 12/27 08:48
13F:→ DINJIAPC: 好吧岁月不饶人 你需要的是去诚品 弄几本电脑概论的书 12/29 20:45
15F:→ DINJIAPC: 还有50-60岁的乡民是让人敬佩的 图书馆还常去的话 12/29 21:03
16F:→ DINJIAPC: 省钱还是可以看几期 PCHOME 电脑家庭或者PC DIY 12/29 21:04
17F:→ dennisxkimo: 上篇推文他自称文科背景 非资讯工科都也不见得能自解 01/02 16:42
18F:→ dennisxkimo: 怎麽会觉得病毒可以靠网路大大们回覆步骤解毒... 01/02 16:43
19F:推 DINJIAPC: 因为他50来岁 当完兵时世界就从bbs进化到浏览器了 01/02 17:52