作者e8859487 (shengfang)
看板NTUST_Talk
标题Re: [认真] 女宿楼下影印店中毒USB解法[完整版]
时间Sat Jul 19 10:24:06 2014
※ 引述《Lacos0918 (Lacos)》之铭言:
: 取之於PTT,用之於PTT,先跟大家抱歉把这老文章挖出来回覆
: 我今天也中这个病毒,已於10分钟前解决,但是状况稍有不同
: 我会先说整个事件过程,若无耐心的乡民,直接往下拉,我有保留原文
: 补充我碰到的不同之处
: 事件开始
: 昨天开始,某牌的32G随身硬碟从Win7点开时,只出现名为"Pictures"的影隐藏档
: 所有复制进去的资料都只剩捷径,我也有点开过,也无回应(当时完全没想到是中毒)
: 今天拿去该厂牌的销售中心,他试了一下果然不能开,二话不说,当场拆了一个新的给我
: (终身保固)
: 後来拿回家一插,同样的状况又发生了,我才意识到可能是中毒
: (此时约18:00)
: 接着上网开始Google
: 因为出现的资料夹叫Pictures,所以我的关键字是 "随身碟 Pictures"
: 然後就出现一堆随身碟的广告及图片=.=
: 後来改用"随身碟 隐藏档"才确定为中毒
: (此时约19:00)
: 试了网路上很多方法都无效
: 然後找到这篇文章,照步骤做了之後发现病毒的档名不一样,所以放弃
: (此时约20:30)
: 再找了很多的文章,也把做过的方法再试了一次,全部都没用
: 只有本篇文章发生的情况跟我一模一样
: 所以我就从头一个步骤一个步骤慢慢看慢慢做
: (此时约23:00)
: 结果花了10分钟解除病毒,过程一模一样,只是病毒名称不同
: 又花了20分钟测试(档案复制来复制去,电脑重新开机好几次)
: 在此跟该随身碟厂商致歉XD,随身碟不死,只是中毒,
: 让你换一个新的给我很抱歉Orz
: 20:00就能解决的事情拖到我快00:00(碎念中)
: =======以下为不同点=======
: ※ 引述《sc38514 (No.17)》之铭言:
: : 小弟我很不幸也遭受到了这个病毒攻击,
: : 研究了一下把资料保住了,也停止自我复制的症状。
: : 於是乎来分享一下解毒步骤:
: : 1. 当你发现USB档案都变成捷径时,请不要执行任何东西,
: : 万一你已经点了,请照下面步骤做,如果还好没点任何东西请跳到步骤3。
: : 2. 如果你点了捷径,那麽毒已经进入电脑,请先打开工作管理员
: : (CTRL+ALT+DEL),然後切换到第二分页「处理程序」
: : 关闭运行中的wscript.exe,如果没有就跳过。
: : 3. 打开USB资料夹,去「组合管理」里面找到「资料夹和搜寻选项」,
: : 然後前往「检视」分页滑到最下面将三个「隐藏.......」的选项取消勾勾
: : (Vista仅两个),并且选择「显示隐藏的档案、资料夹及磁碟机」。
: : 4. 回到USB资料夹,此时你应该可以看到原有的档案以及他的捷径(被病毒创造的)。
: : 把loopqa资料夹、autorun.inf资料夹、ynrhgwssck..vbs,以及所有捷径删除。
: (我的病毒档名是一串数字2xxxxxx...vbs,我就是看病毒档名不对
: 所以第一次google到此文章做到这步骤就放弃了)
: : 5. 到桌面左下角的开始,在搜寻栏输入cmd,可以找到cmd.exe,请对他点选右键,
: : 以管理员身分执行。如果没有直接左键执行即可。
: : 6. 这时候会跳出一个黑色视窗,请输入:attrib -H -S (USB槽英文字母):\*.*
: : 例如我的USB是F槽: attrib -H -S F:\*.*
: : 请注意格式要正确,不要遗漏空格。
: : 这个步骤是还原被病毒更动的档案属性。
: (我做此步骤时无明显反应)
: : 7. 接下来请到 C:\Users\(使用者名称)\AppData\Roaming\
: : Microsoft\Windows\Start Menu\Programs\Startup\
: : 找到并删除 ynrhgwssck..vbs,如果你一开始没有执行捷径的话不会产生。
: : 8. 接着请到C:\Users\(使用者名称)\AppData\Local\Temp\,
: : 找到并删除 ynrhgwssck..vbs。
: (病毒档名不一定一样,找跟步骤4一样的档名删除就是)
: : 9. 最後到桌面左下角的开始,在搜寻栏打上 msconfig.exe,并且点击
: : 打开他,切换到「启动」分页将「Microsoft (R) Windows Script Host」打勾取消。
: : 点选「套用」然後按下「确定」。到这里解毒步骤完成,此时会请你重新启动电脑,
: : 建议重新启动。
: : 请勿删除wscript.exe,他是Windows内建工具,只是被病毒借用了,依照步骤
: : 8、9即可解除。
: : 10. (选择性)依照步骤3将原先的隐藏设定改回去,以免更动到重要档案。
: : 11.这时候你的USB应该就没有问题了,试着把档案复制进去/插拔USB,应该都不会
: : 自动产生捷径了。
: : 我也是临时发现中毒,赶紧想办法处里,如果有遗漏什麽地方请帮忙补上,
: : 希望这篇能帮到需要的人。
: 除了档名不一样,其他步骤都相同
好可怕
--
Sent from my Android
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 42.71.31.240
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/NTUST_Talk/M.1405736647.A.A38.html
1F:推 FoxQ:我也觉得好可怕 07/19 10:56
2F:推 twpunkboy:吓死+1 07/19 11:26
3F:→ gmoonyh:其实你可以推文... 07/19 18:06
4F:嘘 e158420502:应该是手机推文按成回覆看板 07/19 20:51
5F:推 hongsiangfu: 应该是中毒造成的,好可怕! 07/19 22:46
6F:推 ccgp:XDDDDDDDDDDDDD 07/22 17:09
7F:推 JustinBieber:你用Android也让我觉得好可怕 07/24 20:11
8F:→ ypwalter:... 07/25 00:20
9F:推 newhampshire:应该中毒了= =y 08/08 20:23