取之於PTT，用之於PTT，先跟大家抱歉把这老文章挖出来回覆 我今天也中这个病毒，已於10分钟前解决，但是状况稍有不同 我会先说整个事件过程，若无耐心的乡民，直接往下拉，我有保留原文 补充我碰到的不同之处 事件开始 昨天开始，某牌的32G随身硬碟从Win7点开时，只出现名为"Pictures"的影隐藏档 所有复制进去的资料都只剩捷径，我也有点开过，也无回应(当时完全没想到是中毒) 今天拿去该厂牌的销售中心，他试了一下果然不能开，二话不说，当场拆了一个新的给我 (终身保固) 後来拿回家一插，同样的状况又发生了，我才意识到可能是中毒 (此时约18:00) 接着上网开始Google 因为出现的资料夹叫Pictures，所以我的关键字是 "随身碟 Pictures" 然後就出现一堆随身碟的广告及图片=.= 後来改用"随身碟 隐藏档"才确定为中毒 (此时约19:00) 试了网路上很多方法都无效 然後找到这篇文章，照步骤做了之後发现病毒的档名不一样，所以放弃 (此时约20:30) 再找了很多的文章，也把做过的方法再试了一次，全部都没用 只有本篇文章发生的情况跟我一模一样 所以我就从头一个步骤一个步骤慢慢看慢慢做 (此时约23:00) 结果花了10分钟解除病毒，过程一模一样，只是病毒名称不同 又花了20分钟测试(档案复制来复制去，电脑重新开机好几次) 在此跟该随身碟厂商致歉XD，随身碟不死，只是中毒， 让你换一个新的给我很抱歉Orz 20:00就能解决的事情拖到我快00:00(碎念中) =======以下为不同点======= ※ 引述《sc38514 (No.17)》之铭言： : 小弟我很不幸也遭受到了这个病毒攻击， : 研究了一下把资料保住了，也停止自我复制的症状。 : 於是乎来分享一下解毒步骤： : 1. 当你发现USB档案都变成捷径时，请不要执行任何东西， : 万一你已经点了，请照下面步骤做，如果还好没点任何东西请跳到步骤3。 : 2. 如果你点了捷径，那麽毒已经进入电脑，请先打开工作管理员 : (CTRL+ALT+DEL)，然後切换到第二分页「处理程序」 : 关闭运行中的wscript.exe，如果没有就跳过。 : 3. 打开USB资料夹，去「组合管理」里面找到「资料夹和搜寻选项」， : 然後前往「检视」分页滑到最下面将三个「隐藏.......」的选项取消勾勾 : (Vista仅两个)，并且选择「显示隐藏的档案、资料夹及磁碟机」。 : 4. 回到USB资料夹，此时你应该可以看到原有的档案以及他的捷径(被病毒创造的)。 : 把loopqa资料夹、autorun.inf资料夹、ynrhgwssck..vbs，以及所有捷径删除。 (我的病毒档名是一串数字2xxxxxx...vbs，我就是看病毒档名不对 所以第一次google到此文章做到这步骤就放弃了) : 5. 到桌面左下角的开始，在搜寻栏输入cmd，可以找到cmd.exe，请对他点选右键， : 以管理员身分执行。如果没有直接左键执行即可。 : 6. 这时候会跳出一个黑色视窗，请输入：attrib -H -S (USB槽英文字母):\*.* : 例如我的USB是F槽： attrib -H -S F:\*.* : 请注意格式要正确，不要遗漏空格。 : 这个步骤是还原被病毒更动的档案属性。 (我做此步骤时无明显反应) : 7. 接下来请到 C:\Users\(使用者名称)\AppData\Roaming\ : Microsoft\Windows\Start Menu\Programs\Startup\ : 找到并删除 ynrhgwssck..vbs，如果你一开始没有执行捷径的话不会产生。 : 8. 接着请到C:\Users\(使用者名称)\AppData\Local\Temp\， : 找到并删除 ynrhgwssck..vbs。 (病毒档名不一定一样，找跟步骤4一样的档名删除就是) : 9. 最後到桌面左下角的开始，在搜寻栏打上 msconfig.exe，并且点击 : 打开他，切换到「启动」分页将「Microsoft (R) Windows Script Host」打勾取消。 : 点选「套用」然後按下「确定」。到这里解毒步骤完成，此时会请你重新启动电脑， : 建议重新启动。 : 请勿删除wscript.exe，他是Windows内建工具，只是被病毒借用了，依照步骤 : 8、9即可解除。 : 10. (选择性)依照步骤3将原先的隐藏设定改回去，以免更动到重要档案。 : 11.这时候你的USB应该就没有问题了，试着把档案复制进去/插拔USB，应该都不会 : 自动产生捷径了。 : 我也是临时发现中毒，赶紧想办法处里，如果有遗漏什麽地方请帮忙补上， : 希望这篇能帮到需要的人。 除了档名不一样，其他步骤都相同 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.33.24.203 ※ 文章网址: http://webptt.com/cn.aspx?n=bbs/NTUST_Talk/M.1404317421.A.1C0.html