close
圖檔
 
幾週前,外甥女來電哭訴電腦中毒,電話中一個大女生哭得唏哩嘩啦的,我初聽電話,還以為發生了啥可怕的命案,努力地要她冷靜下來,仔細地描述過程,供做是否能夠救援的判斷,在一番魔音傳腦後,終於把事情給釐清。

原來小外甥女的隨身硬碟裝了這些年個人的回憶與各種資料、照片,她姊姊在無意的狀況下,插上家裡已經中毒的電腦,瞬間便看到所有資料夾突然消失無蹤,由於數年之前也有一次這樣的狀況,她以為噩夢又得重來一次,所以當下就歇斯底里的放聲大哭,姐姐眼見無法收拾,趕緊打電話給我討救兵。

電話中的判斷結果,應該只是隱藏檔案型的隨身碟病毒作祟,當下立馬要姐姐拿來我處理,以下就是處理的詳細經過,留作紀錄,也給中類似病毒的網友一個救援的方向與方法,不致於真的真的格式化硬碟。



這就是中毒的隨身硬碟,算是早期的機種了。
圖檔


以以往的經驗來說,WIN XP雖然比較容易中隨身碟病毒,但是救援過程比較容易,所以此次救援使用安裝WIN XP個人筆記型電腦來處理。
圖檔


取出硬碟,將USB連接線準備好。
圖檔


在插上隨身硬碟前,我選擇將防毒軟體關掉,圖中為AVAST家用版,原因是我擔心防毒誤判或是其他原因將原來存在的正常檔案刪掉,這樣事情就真的大條了。
圖檔


接著使用WIN XP裡常用的密技,【奧義:真SHIFT無雙】,ㄟ......就是按著SHIFT不放,再插入隨身碟以防止系統執行或撥放隨身碟內容的常見手法啦,這也是我選擇用WIN XP解毒的原因,因為WIN 7這手法已經無用了,至於完整的解毒大法概念,請見另一篇拙作,【隨身碟病毒完整清理教學(KAVO系列)】。
圖檔


插入隨身碟後,可以看到隨身碟運作中,直到畫面無任何反應才放開SHIFT鍵。
圖檔


接下來,開啟【檔案總管】,而且全程都是使用檔案總管來避開隨身碟病毒自動撥放與執行。
圖檔


很清楚地,請你全程點選左邊的樹狀目錄欄位以求避免中毒,右邊的圖示是絕對禁止點選的。
圖檔


點選後可以看到右邊的資料只剩下五個捷徑跟一個AUTORUN.INF,正是最近常見的變種隨身碟病毒特徵。
圖檔


檔案總管--工具--檔案夾選項,準備檢查資料還在不在?
圖檔


取消【隱藏保護的作業系統檔案】以及勾選【顯示所有檔案和資料夾。】
圖檔


可以看到原來的資料夾還在,檔案理論上應該也還在,也就是說看的到的捷徑都是導引你中毒的路徑,就是病毒產生的假檔,而真實檔案病毒已經將其隱藏並唯讀了。
圖檔


記得全程使用左邊的樹狀目錄嗎?這裡也是,點選後,可以看到資料夾還在(並非捷徑圖示)。
圖檔


可喜可賀,檔案都還健在,這下子就容易多了。
圖檔


我們來檢查一下被隱藏的資料夾內容,檢查看看屬性被病毒做了啥手腳。
圖檔


隱藏屬性被選取而且還不能修改,唯讀屬性倒是沒特別被限制。
圖檔


那假檔案的捷徑內容又是如何呢?我們來檢查看看。
圖檔


可以看到它其實是導引到資源回收桶裡面的某個exe檔案。
圖檔


把它複製到記事本看清楚一點,這就是病毒的真實位置以及開啟方式。
圖檔


我們來檢查隨身碟裡面的資源回收桶,呃.......有個大屁股圖示的病毒檔就出現了......(記得,還是點選左邊觀看)
圖檔


我們也來看看autorun.inf檔裡面到底塞了啥東西。
圖檔


就是一堆程式碼,基本上就是導引檔就是了。
圖檔


先把所有假檔捷徑全砍了(這個例子中,我是先全部移到某個資料夾慢慢研究)
圖檔


剩下的工作就是把原來的資料夾恢復就可以了,變更資料夾屬性的程式很多,我個人喜歡用這套,kavo_killer。
圖檔


這是程式是由書維電腦工作室撰寫的,由於沒有取得同意以及個資保護法的原因下,我將該工作室的連絡資訊打了馬賽克,有興趣的網友,應該能輕易搜尋到。
使用其【偽裝資料夾病毒修復工具】
圖檔


選對磁區,點選【開始修復】,並且不勾選【將autorun.inf刪除並建立免疫資料夾】。
圖檔


不過,這個例子中,這個資料夾還是跑出來了,別擔心,這是正常的。
圖檔


再次執行kavo_killer程式,此次點選【解除免疫】。
圖檔


畫面會出現提示,按照步驟執行即可。
圖檔


已經解除免疫。
圖檔


回來看看隨身碟內容,YES~已經恢復正常。
圖檔


順手將隨身硬碟的系統還原功能關閉,以防止病毒藏匿在這裡。
圖檔


這樣一來,這個CASE就完全搞定了。
圖檔


後記:在教學的生涯中,遇過不少這種例子,通常聽到的是一些不懂得求救的朋友,在不是很清楚狀況的朋友建議下,直接就忍痛將隨身碟格式化後再繼續使用,多少寶貴的資料就這樣不見了,記住,下次遇到這種狀況,別急著放棄以及亂了方寸。
arrow
arrow
    創作者介紹
    創作者 電腦怪咖 的頭像
    電腦怪咖

    電腦怪咖

    電腦怪咖 發表在 痞客邦 留言(40) 人氣()