圖檔
 
幾週前,外甥女來電哭訴電腦中毒,電話中一個大女生哭得唏哩嘩啦的,我初聽電話,還以為發生了啥可怕的命案,努力地要她冷靜下來,仔細地描述過程,供做是否能夠救援的判斷,在一番魔音傳腦後,終於把事情給釐清。

原來小外甥女的隨身硬碟裝了這些年個人的回憶與各種資料、照片,她姊姊在無意的狀況下,插上家裡已經中毒的電腦,瞬間便看到所有資料夾突然消失無蹤,由於數年之前也有一次這樣的狀況,她以為噩夢又得重來一次,所以當下就歇斯底里的放聲大哭,姐姐眼見無法收拾,趕緊打電話給我討救兵。

電話中的判斷結果,應該只是隱藏檔案型的隨身碟病毒作祟,當下立馬要姐姐拿來我處理,以下就是處理的詳細經過,留作紀錄,也給中類似病毒的網友一個救援的方向與方法,不致於真的真的格式化硬碟。



這就是中毒的隨身硬碟,算是早期的機種了。
圖檔


以以往的經驗來說,WIN XP雖然比較容易中隨身碟病毒,但是救援過程比較容易,所以此次救援使用安裝WIN XP個人筆記型電腦來處理。
圖檔


取出硬碟,將USB連接線準備好。
圖檔


在插上隨身硬碟前,我選擇將防毒軟體關掉,圖中為AVAST家用版,原因是我擔心防毒誤判或是其他原因將原來存在的正常檔案刪掉,這樣事情就真的大條了。
圖檔


接著使用WIN XP裡常用的密技,【奧義:真SHIFT無雙】,ㄟ......就是按著SHIFT不放,再插入隨身碟以防止系統執行或撥放隨身碟內容的常見手法啦,這也是我選擇用WIN XP解毒的原因,因為WIN 7這手法已經無用了,至於完整的解毒大法概念,請見另一篇拙作,【隨身碟病毒完整清理教學(KAVO系列)】。
圖檔


插入隨身碟後,可以看到隨身碟運作中,直到畫面無任何反應才放開SHIFT鍵。
圖檔


接下來,開啟【檔案總管】,而且全程都是使用檔案總管來避開隨身碟病毒自動撥放與執行。
圖檔


很清楚地,請你全程點選左邊的樹狀目錄欄位以求避免中毒,右邊的圖示是絕對禁止點選的。
圖檔


點選後可以看到右邊的資料只剩下五個捷徑跟一個AUTORUN.INF,正是最近常見的變種隨身碟病毒特徵。
圖檔


檔案總管--工具--檔案夾選項,準備檢查資料還在不在?
圖檔


取消【隱藏保護的作業系統檔案】以及勾選【顯示所有檔案和資料夾。】
圖檔


可以看到原來的資料夾還在,檔案理論上應該也還在,也就是說看的到的捷徑都是導引你中毒的路徑,就是病毒產生的假檔,而真實檔案病毒已經將其隱藏並唯讀了。
圖檔


記得全程使用左邊的樹狀目錄嗎?這裡也是,點選後,可以看到資料夾還在(並非捷徑圖示)。
圖檔


可喜可賀,檔案都還健在,這下子就容易多了。
圖檔


我們來檢查一下被隱藏的資料夾內容,檢查看看屬性被病毒做了啥手腳。
圖檔


隱藏屬性被選取而且還不能修改,唯讀屬性倒是沒特別被限制。
圖檔


那假檔案的捷徑內容又是如何呢?我們來檢查看看。
圖檔


可以看到它其實是導引到資源回收桶裡面的某個exe檔案。
圖檔


把它複製到記事本看清楚一點,這就是病毒的真實位置以及開啟方式。
圖檔


我們來檢查隨身碟裡面的資源回收桶,呃.......有個大屁股圖示的病毒檔就出現了......(記得,還是點選左邊觀看)
圖檔


我們也來看看autorun.inf檔裡面到底塞了啥東西。
圖檔


就是一堆程式碼,基本上就是導引檔就是了。
圖檔


先把所有假檔捷徑全砍了(這個例子中,我是先全部移到某個資料夾慢慢研究)
圖檔


剩下的工作就是把原來的資料夾恢復就可以了,變更資料夾屬性的程式很多,我個人喜歡用這套,kavo_killer。
圖檔


這是程式是由書維電腦工作室撰寫的,由於沒有取得同意以及個資保護法的原因下,我將該工作室的連絡資訊打了馬賽克,有興趣的網友,應該能輕易搜尋到。
使用其【偽裝資料夾病毒修復工具】
圖檔


選對磁區,點選【開始修復】,並且不勾選【將autorun.inf刪除並建立免疫資料夾】。
圖檔


不過,這個例子中,這個資料夾還是跑出來了,別擔心,這是正常的。
圖檔


再次執行kavo_killer程式,此次點選【解除免疫】。
圖檔


畫面會出現提示,按照步驟執行即可。
圖檔


已經解除免疫。
圖檔


回來看看隨身碟內容,YES~已經恢復正常。
圖檔


順手將隨身硬碟的系統還原功能關閉,以防止病毒藏匿在這裡。
圖檔


這樣一來,這個CASE就完全搞定了。
圖檔


後記:在教學的生涯中,遇過不少這種例子,通常聽到的是一些不懂得求救的朋友,在不是很清楚狀況的朋友建議下,直接就忍痛將隨身碟格式化後再繼續使用,多少寶貴的資料就這樣不見了,記住,下次遇到這種狀況,別急著放棄以及亂了方寸。
, , , , , , , , , , , , ,

電腦怪咖 發表在 痞客邦 PIXNET 留言(34) 人氣()


留言列表 (34)

發表留言
  • Sam
  • 請問在我還沒看到您這篇文章時已經不小心,將隨身碟插入另一台電腦,使用途中他掃出很多隔離檔,並顯示需重新開機,於是我就按下重新開機鍵,結果下面就一直擋在藍底白字的畫面上............再重新開機,按安全模式或上次良好開機....,都是一樣當在藍底白字上面,請問這該怎麼處理?
  • Sam
  • 請問在我還沒看到您這篇文章時已經不小心,將隨身碟插入另一台電腦,使用途中他掃出很多隔離檔,並顯示需重新開機,於是我就按下重新開機鍵,結果下面就一直擋在藍底白字的畫面上............再重新開機,按安全模式或上次良好開機....,都是一樣當在藍底白字上面,請問這該怎麼處理?
  • 依您的描述,作業系統已經有損毀,不適合您自己救援,我建議趕緊找電腦公司幫忙處理,以免越搞越糟。

    電腦怪咖 於 2013/10/02 00:10 回覆

  • 戴孟萱
  • 真是太有用了!!!感謝你>口<
    本來明天要專題審查
    拿隨身碟去輸出店印海報
    回到家後要繼續做明天審查的網站
    發現隨身碟裡有病毒 而且檔案全都消失了
    還以為這下玩蛋 準備被當掉了
    多虧你的文 我又看見明天的太陽了QQ
  • 有幫上您的忙,就是對我的最大鼓勵,感謝留言,
    下次到輸出中心時,要特別小心。

    電腦怪咖 於 2014/03/14 14:38 回覆

  • 訪客
  • 您的這篇文章真的是我的救星 TAT

    還好隨身碟內容有救回來.....不過我在系統還原找不到隨身碟可以進行還原耶?

    有關係嗎?
  • 恭喜,至於還原選項,
    隨身碟是不會有該選項的,不需處理。
    (外接硬碟才會有)

    電腦怪咖 於 2014/05/10 23:57 回覆

  • 電腦怪咖
  • 若是【我的電腦】看的到隨身碟,點選卻沒有反應,的確是中毒的機會頗高
  • HUA
  • 我拿另一個沒中毒的隨身碟在插入電腦 結果又變成捷徑了 已有3個隨身碟中毒 是不是我的電腦已中毒了
  • 理論上是的,作業系統若是XP,請在插入隨身碟前按著SHIFT,直到系統沒任何其他訊息。

    電腦怪咖 於 2014/06/01 19:50 回覆

  • 訪客
  • 謝謝你~~
    資料救回來了!!
  • 有幫上您的忙,是我的榮幸。

    電腦怪咖 於 2014/08/22 00:50 回覆

  • JS
  • 你好 請問如果是WIN7該怎麼救
  • 步驟原理一樣,差別在WIN7無法停止隨身碟自動撥放罷了,
    過程中小心不要直接點選隨身碟開啟即可,使用檔案總管的樹狀目錄是無礙的。

    電腦怪咖 於 2014/11/07 13:55 回覆

  • 悄悄話
  • 妃
  • 謝謝你> <
    隨身碟終於救回來了!
  • 恭喜您,有沒有感覺自己能力又提升了一些?

    電腦怪咖 於 2014/11/16 23:25 回覆

  • 悄悄話
  • 鄭幼旻
  • 你好,我想請問一下。
    因為在看到文章之前,我已經將捷徑檔案打開使用,也將電腦與隨身碟掃毒,也發現許多病毒,並將它隔離移除。
    而之後才照您的步驟,找出病毒在哪個資料夾內,以下為捷徑裡的目標(%ALLUSERSPROFILE%\..\..\windows\system32\cmd.exe /c "%SystemRoot%\explorer.exe %cd%剪接音樂軟體 & attrib -s -h %cd%lyVKfht.exe & xcopy /F /S /Q /H /R /Y %cd%lyVKfht.exe %temp%\vqppq\ & attrib +s +h %cd%lyVKfht.exe & start %temp%\vqppq\lyVKfht.exe & exit")
    但是,我不曉得病毒在哪個資料夾內,也找不到導引檔。
    請問這樣該如何處理?麻煩您了,謝謝。
  • 你的狀況是已經將病毒感染到電腦了,此時此篇的掃毒就不是重點了,請你移駕另篇文章觀看,基本上是建議找電腦公司或是比較熟電腦掃毒的朋友處理。
    隨身碟病毒完整清理教學(KAVO系列):
    http://pcwack.pixnet.net/blog/post/28946445
    雖然是老文章,但操作及觀念差不多,祝好運。

    電腦怪咖 於 2015/01/24 20:31 回覆

  • 媚
  • 您好!其實我不知道我的隨身碟是否中毒。
    我的隨身碟是新的。
    要把資料移進去,但移進去的時候是捷徑。
    用了您教的方法,資料夾是有出現,但捷徑還是在,所以我很困惑
  • 隨身碟既是新的,理應不會有病毒,除非你的電腦本身有病毒,而將資料移進去,應該不會出現捷徑(以複製貼上來說),
    回憶一下是否操作步驟有誤?

    電腦怪咖 於 2015/03/14 19:51 回覆

  • 昇
  • 你好,照你的方法做已經成功把大部份的檔案找回來了,但還有一個資料夾仍然保持隱藏,請問有解決方法嗎? T^T
  • 你好,
    是否原來該資料夾就是隱藏屬型?無太多資訊無法給你建議,
    若可以,直接將裡面資料複製出來,刪掉該資料夾重新建立是最好也是最快的方式,
    甚至可以考慮格式化隨身硬碟。

    電腦怪咖 於 2015/03/24 10:24 回覆

  • 訪客
  • 如果記憶卡資料夾,顯示無法存取
    檔案或目錄損毀且無法讀取

    這樣該怎麼辦?

  • 那就...
    1.節哀順變,並且公布該記憶卡廠商,造福世人。
    2.送至該廠商處,並詢問該廠商有無付費救援服務?

    一般來說記憶卡,雖然終身保固很常見,但是始終還是消耗品,絕大部分的記憶卡,壽命一到發生故障,大概就都很難救了。

    電腦怪咖 於 2015/04/08 21:33 回覆

  • ruru
  • 我的隨身碟中毒,結果我把隨身碟資料備份到筆電,再把隨身碟格式化,結果檔案都打不開了,還有救嗎?
  • 我猜你不是備份檔案,
    你備份的應該是假檔,只是路徑罷了,
    請檢查檔案圖示是否有箭頭圖案。

    而你真正的檔案,已經被病毒隱藏,而你又格式化,
    那......就請搜尋網路上的隨身碟資料救援教學嘗試救看看吧。 如:Recuva

    電腦怪咖 於 2015/04/11 17:19 回覆

  • 月
  • 為什麼病毒一直捲土重來!?刪到快瘋了><是感染到電腦了嘛!?
  • 的確有可能是電腦已經中毒,你可以參考以下文章檢查電腦或是避免交叉感染:
    http://pcwack.pixnet.net/blog/post/28946445

    電腦怪咖 於 2015/04/18 13:22 回覆

  • 奈
  • 萬分感謝!我的資料救回來了))))
  • 恭喜你喔,是不是很有成就感呢?
    幫助大家自救就是這篇文章的最大用意,請不吝推薦本部落格喔。

    電腦怪咖 於 2015/04/18 13:24 回覆

  • Freya
  • 不好意思, 我的檔案都沒有甚麼捷徑的檔案,可是卻需要"取消保護的作業系統檔案" 用掉後才能夠看得到我的檔案,不知道怎麼做才會恢復正常呢@@?
    因為我怕我的這個狀況 跟你上面說的有出現竭盡的檔案的狀況不同。
  • 你指的應該是,在檔案總管理的檢視選項中,有個【隱藏保護的作業系統檔案】選項,不打勾(取消),
    這是指這些檔案,是屬於【作業系統的檔案】,本來就該隱藏看不見,系統怕你誤刪,所以隱藏,
    看不見本來就是正常的。

    若這些檔案,只是一般的檔案,那可能是被變更過屬性的結果,需要有更多的資料才能知道下一步怎麼做。

    電腦怪咖 於 2015/04/23 16:58 回覆

  • 小滴
  • 請問我的USB插入後,點他結果他問我"格式化"是什麼意思?我該怎麼辦?
    我的資料要如何救回呀???請幫幫我,謝謝!!!
  • 如果出現這個訊息,極有可能是隨身碟實體故障了,可能要尋求專門救援資料的廠協助了。(有些隨身碟廠商有提供付費救援)

    電腦怪咖 於 2015/05/17 13:42 回覆

  • 棠
  • 你好,有個小小問題想請教..
    我之前把隨身碟插入朋友家的電腦,我沒有直接開啟檔案,我先將我的隨身碟進行掃毒,結果發現一堆病毒,然後防毒軟體顯示要將病毒刪除隔離,我就按了,結果再次打開一看,裡面資料都不見,後來詢問另一朋友,他給我這篇文章讓我研究,目前的隨身碟並沒有上述所說有捷徑圖示,就是空的,但我還是依照步驟點選觀看,發現原來我的檔案也被隱藏,不過隱藏的小方框是可以選取把它點掉的,所以我就取消勾選隱藏,後來檔案就重新顯示在隨身碟裡,這樣,是有什麼問題嗎??病毒是不是真的被刪除了?以後出現這樣是不是我這樣做就可以,不用再去下載你說的那個偽裝病毒修復工具呢?不好意思麻煩您了!!
  • 您好,您描述得很詳細,判斷起來很清楚,理論上您隨身碟裡面的病毒(導引檔),應該都被您的電腦防毒擋下了,也砍了,目前看起來您的隨身碟是完全正常的。

    若擔心的話,使用防毒軟體再完整掃描一次即可。
    不需要再下載修復工具了,恭喜您。

    電腦怪咖 於 2015/05/27 00:51 回覆

  • 阿冰
  • 您好
    想請教您問題,我的隨身碟使用在同事電腦開啟檔案查看後關閉直接拔除,取回插入自己的電腦後都未自行執行動作,到"我的電腦"查看會出現F槽,點選跳出"請插入磁片",試過其它電腦反應一樣,心想是中毒吧?用電腦本身的OFFICE SACN掃描F槽顯示沒有病毒,但是查看"手動掃描結果"有掃描五萬多個檔案,這應該表示有掃到我的隨身碟嗎?重點是我還是依舊看不到隨身碟呀,((痛哭)),您的教學試過未能救回,期望您能指引明燈,感激不盡。
  • 若插入隨身碟並未跳出選單,而只能在【我的電腦】中看到它,甚至點選後會跳出【請插入磁片】,或是【需要格式化】的訊息,那跟中毒應該沒有直接關係,有極大的可能是隨身碟故障了,
    原因有很多,當務之急就是找其他電腦先測試看看,是否能正確找到並開啟隨身碟,後續動作要看你的測試才能給建議。

    電腦怪咖 於 2015/07/01 16:17 回覆

  • 訪客
  • 您好!
    如果您看到我以下訊息,請您儘快的回覆我!謝謝!
    今天早上大約是快九點的時候,我將外接式硬碟正常的插在電腦上使用,我要開啟一個作業的WORD檔,它一開始都是顯示找不到路徑檔,後來,我將資料夾關閉後,我又重新開啟外接式硬碟的資料夾,就發現硬碟裡的資料全部都不見了!整個硬碟裡都沒有半個檔案,可是,硬碟的容量卻不是整個空的!
    請問,我該如何找回自己的檔案呢?
    拜託您了!謝謝您!
  • 若排除是硬體故障的話,那就是這篇文章的描述了,【顯示找不到路徑檔】即是病徵,該如何找回檔案,就請你照整篇文章操作一次,理應就可以找回檔案。
    首先把隱藏檔案給打開吧。

    電腦怪咖 於 2015/09/24 12:48 回覆

  • foxconn2010
  • 這位大大你好!
    小弟的1T行動硬碟,它裡面的資料夾也都不見了,但是他的容量還在,但是快要塞爆成1T,之前我是有用這個軟體EaseUS Partition然後有把兩個槽用在一起,就是C跟D用在一起,然後我再用SD卡他就裡面的資料夾都是捷徑點下去它會跑出黑黑的然後就跳進去了檔案了,然後我把檔案都剪下,存在自己的電腦了,然後就SD卡在裝回相機,他給我寫讀不到資料夾,然後我就用相機格式化,然後相機就可以正常使用了!!接下我一樣用行動硬碟了,他也是裡面的資料夾都是出現捷徑的,然後點進去ㄧ樣向SD卡的ㄧ樣都是黑黑的然後就讀到了檔案,結果到後來,我都看不到那些資料夾了,但是裡面的容量還是ㄧ樣都滿的,我卻沒有格式化,拿去給商店看,他是說這個要資料救援,需要花一筆,還是要問大大,這個的情況我該怎辦,我有很多資料放在行動硬碟上都還沒備份>.<!!
  • 不好意思,雖然你很努力地描述了流程,但我實在看不太懂現在的狀況。

    若是現在隨身硬碟裡面都是捷徑,卻無法使用或開啟任何檔案,而觀看總容量卻似乎沒減少,那麼就是這個教學的範例。

    第一件事,找一台乾淨有防毒的電腦,照教學插上電腦後,開啟隱藏檔並且開始救援資料或清理病毒。

    電腦怪咖 於 2015/10/01 16:17 回覆

  • foxconn2010
  • #若是現在隨身硬碟裡面都是捷徑,卻無法使用或開啟任何檔案#(他現在連資料夾都沒看到了,總容量是沒改變)雖然小弟我已經很努力描述跟流程,但是小弟已經很感謝大大的回答,現在硬碟在朋友那邊,他拿去商店那邊的答案就是送修救資料,能回復多少資料算多少。只是還沒有在我手邊,所以先暫時沒辦法試看看。非常感謝大大慷慨的解答!!等到小弟硬碟回到手裡的時候有問題在提問了!!謝謝~~
  • 若是如此,就是此篇教學的內容阿,就如同上篇所言,
    第一件事,找一台乾淨有防毒的電腦,照教學插上電腦後,開啟隱藏檔並且開始救援資料或清理病毒。

    電腦怪咖 於 2015/10/01 22:53 回覆

  • cocofull88
  • 我的隨身碟 WORD檔案變成ENCRYPTED 都不能打開!
    朋友說 沒救了 他是被惡意加密 請問您所說的方法 救的回來嗎?
  • 你中的是最近很危險的【Crypt0L0cker 】病毒,加密勒索病毒,據我所知,以變種的居多,目前並無解開被加密檔案的方法,節哀。

    電腦怪咖 於 2015/10/24 23:50 回覆

  • marcoshkk2013
  • 我的隨身碟突然唔見了全部檔案,經大大的提示後於檔案總管內發現一個found.000的隱藏檔,這個檔內有很多很多個xxxxxx.chk尾的檔。請問我可否回復這個隨身碟的全部檔案呢?
  • found.000隱藏檔是系統在不正常開關機或是判斷檔案有問題而自動產生的資料夾,
    並非中毒,比較大的可能是隨身碟有問題。

    所以你的隨身碟資料不見,可能只是單純的硬體故障了,這個就很難救援了。

    電腦怪咖 於 2015/12/26 13:52 回覆

  • 99998
  • 可以幫忙嗎TaT
  • sos
  • 請教如果是電腦中毒(公司電腦),後來打開D槽90%的資料都不見了,後來先進行掃毒,再用救援軟體把資料救回,但是外表看起來好像都救回,也有顯示檔案大小,實際點開卻沒有一個能開,都顯示可能已毀損、或什麼不正確。是不是救不回來了.......是公司資料,真的狠苦惱。是WIN 7請問還有辦法嗎謝謝
  • 若是公司電腦,建議不要再自行處理,將硬碟拆下或整台電腦送到專業的電腦公司付費處理才是上策。
    祝好運。

    電腦怪咖 於 2016/04/22 13:11 回覆

  • 雪
  • 謝謝你
    你是我的救星👍👍
  • 有幫上忙才是這篇文章的主要用意。

    電腦怪咖 於 2016/06/23 00:01 回覆

  • 33
  • 我自己電腦不知道去那裡用隨身碟染到USB 捷徑那個新病毒 我那時候不知道按下去了 可是電腦差隨身碟就會有捷徑 那是我電腦中毒了???? 怎麼處理??
  • 處理方式就是這一篇文章的內容阿,就請你實際做一次試試。

    電腦怪咖 於 2016/06/23 00:02 回覆

  • 玉米就是我
  • 大大您好您的解毒方式是否適用,資料夾內的資料消失,但種容量不變型的病毒,我接到一個朋友送來的隨身蝶內部只剩下資料夾但內部的資料都消失,也一樣式按這種方式處理嗎?
  • 是的,你可以嘗試看看。

    電腦怪咖 於 2016/09/06 11:14 回覆

  • 驚魂未定的媽
  • 請問版主,如果總容量不變,部份資料夾不見、仍存在的資料夾中檔案全數消失,在使用您的救援方法之前有使用其他data recovery的軟體,只找回了一些原本就已刪除的檔案,再使用您的方法後不僅看不到隱藏的檔案或資料夾,還多了一個"system information"的資料夾,不曉得是何原因?救援方法會因為windows版本不同而有所不同嗎?不見的都是工作上要使用的檔案,突然不見真是很傷腦筋的ㄧ件事,請求幫幫忙了,謝謝!
  • 您好,應該是System Volume Information 資料夾吧?那是系統產生的還原用資料夾,並無直接關係,無須理會。
    假如您觀看硬碟的佔用資料仍然存在,比如500GB硬碟,已使用300GB之類的,那麼資料應該還在,大概是你操作流程有誤,或是有其他原因,由於是公司重要資料,建議還是送往電腦公司讓專業的人員處理吧。
    PS:不要再對隨身硬碟存資料,以免破壞救援機率。

    電腦怪咖 於 2016/11/24 15:38 回覆