太相信防毒程式的下場
今天客戶有一台電腦的Avira小紅傘出現不能更新的狀況,查了一下防毒程式的記錄有抓到一隻隨身碟病毒,由於又送去一台新裝程式的電腦,所以就用新的電腦教客戶如何正確使用隨身碟:
2009/09/14更新:
如果你中了kavo這一系列的隨身碟病毒,請用隨身碟解毒程式 EFix解毒就OK了,還有防毒程式我目前推薦的是AVG Free 8.5中文版,改用這個就對了!
- 先按住【Shift】鍵再插入隨身碟或讀卡機。
- 打開「我的電腦」在隨身碟的代號按滑鼠右鍵選擇〔Scan selected files with AntiVir〕用小紅傘掃毒。
- 果不其然嗶嗶叫了幾聲:有抓到毒了。
- 掃完了之後移除隨身碟再重新插入(一樣按著Shift鍵)。
- 點擊隨身碟的磁碟代號,結果電腦停了一下子,然後小紅傘出現了以下的警告:抓到了一隻藏在「c:\windows\system32\drivers\klif.sys」這個檔案的病毒「RKIT/Agent4160」:
再點擊C磁碟、D磁碟都出現相同的警示,看來小紅傘這次又破功了,所以正確的隨身碟使用步驟請參考本文最後面的說明,現在就先來看一下這隻毒到底是怎麼入侵的...
找尋病毒本尊
首先由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」,輸入以下的指令:
c: cd \ dir /ah
點圖可放大
在這裡看到了兩個有問題的檔案,日期是昨天和今天,檔名是「6vu680.com」和「autorun.inf」,再輸入
type autorun.inf
看到了autorun.inf裡面就是去執行6vu680.com,所以你點擊C磁碟就中毒了!但這不是病毒的本尊,因為這只是一個用來下載最新病毒的下載程式(Downloader),或是是Rootkit隱身的檔案,所以防毒程式抓不到!
註:autorun.inf裡面所執行的程式檔名不會固定,就是在open=後面的檔名,所以請你記住你所看到的檔名作為下面刪除的依據。
一般的病毒都喜歡藏身在「c:\windows\system32」之下,所以在用以下的指令找找看:
c: cd \windows\system32 dir /ah
看到了沒?兩個新的檔案:「uret463.exe」和「lhgjyit0.dll」,這才是真正在記憶體中的病毒程式。
點圖可放大
再確認一下,在DOS視窗鍵入regedit開啟「登錄編輯程式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」這裡有「dorfgwe」機碼在開機時去自動執行上面找到的「uret463.exe」,至於其他的地方在沒有藏病毒檔呢?我找了一下沒發現,應該就是這兩個而已,不過那個.dll檔可能會有lhgjyit1.dll,lhgjyit2.dll...會衍生出來。
點圖可放大
難看的防毒成績單
還是先照「將可疑檔案上傳至virustotal.com分析」這一篇的方法將開始觸發的病毒檔「6vu680.com」傳上去分析,結果還是有大半的防毒程式都還不知道這隻毒!
點圖可放大
比較奇怪的是小紅傘知道是毒,但是擋不掉Orz!
手動解毒
如果你是第一次來到本站,建議你先看看「DOS指令 - 懷舊篇」以免誤殺無辜!
- 電腦重開機,在開機時趕緊按【F8】選擇第一個「安全模式」(如果安全模式進不去那只能有正常模式解,還是可以解掉,不過要解兩次)。
- 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
- 鍵入下列指令:
c: cd \windows\system32 attrib -s -h -r uret*.exe del uret*.exe attrib -s -h -r lhg*.dll del lhg*.dll cd \ attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 6vu*.com del 6vu*.com 〔還有你找到的其他病毒檔案也用相同方法刪除〕 d: 同以上c:作法刪除autorun.inf和6vu680.com e: f: g: 如果還有的話也一樣
註:因為在安全模式無法上網,所以請將上面的指令先存成純文字檔備用,另外這裡的檔名只是範例,請你先找出你的病毒檔名,用你找到的檔名來替換本例中的名稱。
- 用「regedit」開啟「登錄編輯式」,依序找到「HCU\Software\Microsoft\Windows\CurrentVersion\Run」,在「dorfgwe」這個機碼按右鍵〔刪除〕機碼。
- 重開機進入正常模式。
還沒完喔!隨身碟裡面的罪魁禍首還沒除掉呢!
隨身碟解毒
先聲明:隨身碟的解毒是要在你的電腦沒中毒之下才有用,如果你的電腦還是在中毒狀態下的話,是解不掉的!
- 先按住【Shift】鍵再插入隨身碟或讀卡機,等到「安全地移除硬體」圖示出現後再放掉【Shift】鍵。
- 打開「我的電腦」找到隨身碟的代號,我這裡用「G」來示範。
- 由【開始】→【所有程式】→【附屬應用程式】→【命令提示字元】開啟一個「DOS視窗」。
- 鍵入以下指令:
g: dir /ah
看看有什麼隱藏檔,一般的隨身碟不應該有隱藏檔,如果有像下面的autorun.inf或是副檔名是.exe, .com, .bat, .cmd的隱藏執行檔,應該都是病毒檔。
- 用下列的指令刪除病毒檔:
attrib -s -h -r autorun.inf del autorun.inf attrib -s -h -r 6vu680.com del 6vu680.com 還有其他的檔案...
- 用「安全地移除硬體」移除隨身碟,再重覆1-4的步驟,如果隱藏檔還在那就是毒還沒解掉。
點圖可放大
最後再匯入這個「恢復顯示隱藏檔」的登錄檔,完了之後看是不是可以顯示隱藏檔了(在「五個步驟,檢查你是否中了kavo病毒」有詳細的說明),如果看到了隱藏檔毒應該是解乾淨了!
至於另外一台小紅傘不能更新病毒碼的電腦也是中了相同的毒,同樣手動解毒之後,再移除小紅傘重裝就正常了。
最後再提醒大家:目前沒有一套防毒能有效防止新病毒的!本站有許多觀念性的文章你應該要好好看一看喔!(就在防毒教室最舊的那幾篇)
2009/02/23補充:如何使用隨身碟而不怕中毒請看「隨身碟的正確使用方法」
2009/03/13補充:今天客戶有一台電腦看到新的檔名,以下是autorun.inf的內容:
[AutoRun]
;idaaak73lwmsda2Ki5fJoSq0q
open=xe9fdii1.cmd
;k7ZoJJie4kDssjqS330kO
shell\open\Command=xe9fdii1.cmd
就是這個xe9fdii1.cmd,請大家注意
另外已經很久沒用的Symantec防毒,昨天就有一台電腦還是用這個防毒,本來以為這一台一定中毒很深,結果沒有中半隻毒,所以結論還是:「防毒觀念比防毒程式有效」。
真是太可怕了
防不勝防...
討厭的病毒
為什麼越來越多啊??~~
有人用病毒來賺錢啊!
應該說大多的病毒也許也是防毒軟體廠商自已開發出來的...
自創自解...
真的還蠻黑暗的...XD
也有可能,但是現在的毒所有的防毒都解不掉,這要怎麼解釋?
還是有其他的病毒不是防毒軟體廠商寫出來的...
只能這樣推測吧...
這是一個無解的問題
不好意思,想請問一下
我按照了上面的方法
在命令提示字元下
依序輸入了
attrib -s -h -r lhg*.dll
del lhg*.dll
可是仍然無法將lhgjyit0.dll
病毒給完全刪除。
請問是跟我防毒軟體有關係嗎?
我用的是NOD32。
謝謝。
你沒有進安全模式吧?
這個跟你的防毒沒有關係喔
如果沒有進安全模式第一次會刪不掉dll檔,但是重開機就應該可以刪掉了
您的文章真有用!謝謝!
我也該把我的病毒刪除(VD)程式更新了(加上刪除uret463)
下載網頁一樣是:http://sites.google.com/site/liyandewangye/
不好意思...
請問,按住SHIFT的用意是什麼?
越來越懷疑小紅傘是不是名過其實了
好像每次都擋不住
而且知道是毒還不能解......
但是其他家的好不到哪裡去,通通都解不掉!
因為現在病毒更新的速度太快了
恩,我有在安全模式下操作。
我為此重新開機過好幾次
反覆操作
好像是有刪除掉的
不過怎麼好像我打算要再重新正常使用的時候
他又會再跑出來
最後一次甚至連網路線都有拔除
還是跑出來了!
我的步驟:
重開機→進入安全模式(還是要點選包含命令提示字元?不過有含沒含我都有試過)→開啟命令提示字元→cd\(退回C:\)→cd\windows\system32(進去資料夾才下指令)→attrib -s -h -r lhg*.dll→del lhg*.dll
像是真的刪除了。
然後再多按會說找不到檔案。
可是當重開機後,
只要不管有沒有動了什麼,
防毒就會跳出來說:可以刪除檔案。強烈建議你繼續清除前備份任何重要資料。 程式嘗試存取檔案時發生事件 C:\ ****
按了刪除就會跑出框框說:
檔案"C:\windows\system32\lhgjyit0.dll"將於下次重新啟動電腦時被刪除。
這樣反覆了N次的開關機及上述動作,還是同樣呢...
只能放著不管?還是要再度重灌一次呢?
[因為我是重新安裝後,且是在安裝掃毒過後(但是沒法子更新到最新版本之後才插上網路線),才插上網路線。就碰上病毒了!
看來有些嚴重,給你幾個方向參考:
1. 系統還原一定要關閉
2. 你的其他硬碟或是隨身碟都先不要接上
3. 換防毒
4. 先把防毒更新之後(如果還可以的話),重開機手動解毒之後先不要重開機,用滑鼠右鍵選防毒程式掃毒
5. 如果真的不行要重灌不是直接將原來的系統覆蓋,這樣還沒灌完毒又上身了,請照我的一篇:"重灌前的準備"將你的資料備份出來,再將整個硬碟格式化,這樣才是正確的重灌方式
6. 真的還不行就花錢請人幫你了,你的時間也是一種成本,當然如果你不在意的話那就另當別論
7. 根本解決之道還是要了解毒是經由哪一個管道進來的,用猜的沒有用,你看我的操作方式以為很普通,事實上那是時間的歷鍊所造就的功力,這是急不來的,要不然滿街都是可以幫人解毒的高手了
8. 有問題再問,但是先確定你的問題點在哪裡
就這樣
謝謝提供方法 昨日去朋友家用USB裝東西
今天一裝在家中就中毒了 方法很易懂
用KAVO跟上述方法就解決了 很感謝
看到卡巴斯基的電子報說按Shift只能關閉Autoplay,無法關閉Autorun 對於防範隨身碟病毒是無效的讓人看了很疑惑 版主能解釋嗎?
autoplay是你插入隨身碟時就會自動執行程式,所以我們按Shift不讓他不經由你的允許就執行,
而autorun則是你點擊隨身碟代號時還是會執行,所以我最原先的錯誤操作才會讓病毒跑進來,
因此我們先不要讓autoplay執行,然後採取一些必要的措施檢查及殺毒(不要指望防毒程式太多了,還是自力救濟比較實在),這樣子才是最安全的作法,
你說這樣子有效還是無效呢?
我知道我隨身碟中毒了
剛剛照著高老大的方法幫隨身碟解毒
隨身碟解毒的步驟一~六兩次
第二次確定cmd裡頭沒有了
就開啟隨身碟槽
發現那兩個毒好端端的還在那裡
還好防毒軟體有擋下來
現在格式化掉了 囧
毒沒解掉檔案刪了馬上就又生出來了
問題在你的系統磁碟,不是在隨身碟,應該還有我沒提到的檔案沒殺到
一個簡單的原則:用dos視窗查Windows之下的所有隱藏檔就對了
病毒檔案的日期應該都是最近的喔
可是我確定病毒只有留在隨身碟裡阿
今天帶著隨身碟出去影印和洗照片
看了這篇文章才照著步驟做
剛剛看了「HCU\Software\Microsoft\Windows\CurrentVersion\Run」裡頭
沒異樣 只有ctfmon & 有在用的minimem 呀
你可以殺掉之後等一下子再查看看,如果還會生出檔案就一定是你的系統有毒
我在想有軟體可以禁止隨身碟存取exe.bat.inf.bat.com等等的方式嗎
應用是沒有
今天掃到 6o0.bat 這個病毒 請問這是什麼呢
病毒每天都在更新,隨時都會有新的檔名出現
不過基本的原理在我文章裡面都說的很清楚了,自己試著殺看看吧
1.系統還原是監視器的那個沒錯吧?
有關了,仍然他還是拒絕我存取..
2.只有單一顆硬碟..還有一個外接隨身硬碟..
外接硬碟已經拔除
3.換成小紅傘會好些嗎?
因為最早之前我是用卡八..然後被癱瘓,緊急裝用小紅傘。
不過不知為什麼,我不能升級,一直在想是不是病毒的關係。
然後撐了好一段時間之後便重灌了,重灌之後改裝NOD32
有把之前的病毒給殺掉了。然後我這人太龜毛..,
因為覺得自己沒有安裝好,結果硬是又重灌一次,
導致變成這樣....。所以還要去找最新小紅傘來安裝嗎?
4.若是要重新安裝成小紅傘我會試試看這個方法。
5.檔案十分的多又大呢...,也沒個臨時空間這麼大能夠裝的所以...。
6.7.8.恩 不好意思,麻煩請教了這麼多,我會再努力試試看。謝謝。
系統還原:【我的電腦】→右鍵【內容】→【系統還原】把它關閉
至於換小紅傘是不是比較好,我想你也花了不少時間還是無解,不妨換小紅傘試試看,反正也不用你花錢
還是建議你換一個防毒吧!
感謝高登兄提供的這篇文章,我發現我果然是中獎了…
只是想請教,我能不能乾脆將高登兄所提供的那串DOS指令打包成bat檔?太久沒用,有點不太確定能不能這樣…(掩面)
--
一個在很久以前也用過DOS的潼恩留~囧a
可以將指令存成.bat執行,不過要小心不要誤刪檔案,而且檔名一直有變!
另外,再補充…
我的這個隨身碟病毒所產生的com檔名已經變了,開頭不是「6vu*.com」。
在type c:\autorun.inf後,open=v9l1l.com(這種小寫L和1混用的檔名最討厭…),shell\open\Command=v9l1l.com
所以大概還要加上請使用者type c:\autorun.inf之後找.com檔名的這一步?
好,我再來加一下,謝謝你!
高登兄的回覆速度真是有效率!
很抱歉沒有一起發文…
因為後來我又發現dgf.exe這個看起來怪怪的執行檔,上網查又發現是病毒... orz
不知道和這個uret病毒是否有親戚關係?解法是否延用
http://www28.discuss.com.hk/viewthread.php?tid=9078592&page=2&authorid=3203631
第四篇所述?
另外,關於不乾淨的註冊碼之清理,不知是否有好方法…(汗)
==
現在真的是電腦病毒的時代了~ orz
我文章裡面有提到dor開頭的檔名,這應該是同系列的變種
清除登錄表的話,用CCleaner就可以了,找一下我的文章吧
謝謝您 大師^^ 辛苦了
您的文章超級實用的
希望您能多發表此類文章 乾溫蛤^^
不客氣!
我會再努力發文的,謝謝!
要怎麼判別哪些是有問題的檔案呢?
把命令字元弄出來以後??
找windows,windows\system32和磁碟根目錄是不是有隱藏的.exe或.dll,而且檔案日期是最近的
忘了問大師,小紅傘跳出的警告視窗,隔離跟刪除病毒有什麼差別?@@
我好像都用隔離,怕刪除到什麼重要檔案,這樣的觀念正確嗎^^?
隔離還有機會救回檔案,刪除就沒機會了
所以重要的是要看一下防毒程式告訴你有問題的檔案是什麼,如果不能確定可不可以刪除的話,
就先選隔離吧!
問題解決了!
謝謝你的文章:)
我也很高興能幫得上你!
能否告知virustotal報告中,NOD32能否偵測到此病毒?
Avast呢?
軟脆公佈所有結果好了,讓我們看看各家防毒軟體的功力...
thanks!
這個結果是每天更新的,而每一個防毒軟體都有失誤的時候,去追究哪一個比較好是沒有意義的,
只有好的防毒觀念才是最佳的防毒保證!
您好~想請問一下~
我照上述的方法操作了~
病毒應該是刪掉了~
顯示隱藏檔的勾勾可以取消勾選了~
但是隱藏檔全都沒了耶~
ps:
我的open=後面是接的是「gnwav.exe」
system32:裡面有
godert1.dll
kacsde.exe
我也一起把它刪掉了耶~
是不是因為這樣所以隱藏檔全都不見了呀?
麻煩您一下啦!!......
不好意思啦~
我找到我隱藏檔不見的原因了~
現在好了~
還是很謝謝您喔!~
讓我能把病毒殺掉~
^______^~謝囉!!~
不客氣!
解決了就好
我想請問一下 小雨傘顯示抓到病毒 TR/Frethog.C Trojan請問這類事什麼病毒 他導致我小雨傘就無法更新了 我嘗試用EF解決問題後 再次安裝小紅傘 之後一開始可以安裝且更新 但之後 TR/Frethog.C Trojan卻又在C:system volume information....RP18A00000421.dll中發現
還有請問技嘉網站中是不是有病毒阿 多謝高登大大
你的情形是病毒又從系統還原中回魂了,快關了它吧!
技嘉網站我看是沒問題,應該是你的毒正好在瀏覽他們的網站時跳出來而已
請問一下高老師我按照你的方法做了但在找尋病毒本尊裡我輸入type autorun.inf 結果它跑出純取被拒我該怎麼辦呢~我都看不到open=該怎麼辦呢?
還有在手動解毒中我輸入cd \windows\system32 它居然顯示系統找不到路徑耶~不之下一步驟要怎麼做??
請在DOS視窗輸入set
看SystemRoot= 後面就是你windows安裝的目錄,你的系統可能不是用預設值安裝的,目錄會不一樣
第一次聽到這樣子的情況,你可以進安全模式試看看
所以高登老大 我是病毒從系統還原中復原了 可是我要如何將她殺掉呢 因為小紅傘好像已經失效了 也禁止小紅傘更新
先將系統還原關閉,再用本篇的方法解毒,解完了移除小紅傘重裝
高登大的方法真的很有效..
我試了之後己經可以使用update了
但想請教一個笨問題!
請問:
我的環境習慣使用移動式硬碟
為防毒是否也可使用shift這招?
那因為硬碟空間大
所以每次使用別人硬碟時我都要先用小紅傘掃過
醬就要一直按著shift?
有沒有其他更好的招
還有...
我剛剛使用高登大的招時...
在第二個步驟
用隨身碟解毒來解我移動碟的毒時
發現...
我一直按著shift
在命令提示字元時
我不能按出/
這個...我只好先不要按著shift
醬才順利殺毒完成
但又擔心著...
是不是又會被感染
小女不才
請老大指示>_<
呵呵!誤會大了,Shift只是在插入隨身碟時按住不讓自動執行起作用,之後就可以放掉了,
關閉自動執行的方法是用gpedit.msc來修改,網路上應該有很多人有說明,請你在搜尋引擎找一下
新變種…在根目錄散佈著rf.cmd,與autorun.inf一同出現~
不過禍根還是沒變,到c:\windows\system32下打dir /ah,就會看到uret463.exe和他的朋友們一起出來打招呼 XD
雖然我想這病毒還是會一直變種下去,不過還是提供一下檔名做為參考…。_。a
謝謝你的提供
感謝高登大的方法,真的很有用!
已經成功將以下病毒刪除~謝謝您的幫忙
lhgjyit0.dll
uret463.exe
lhgjyit1.dll
kacsde.exe
ll.exe
不客氣
大大也可以參考這一篇喔~
http://ezused.googlepages.com/usbvirus.htm
我覺得不用學DOS不用學regedit也不賴
希望真的有效!?
用助教的電腦不幸中了這兩支病毒,看到您所po的文章實在是非常感謝,打算今天晚上回來操作一遍!
想再請問您是否知道ndmego0f.cmd這個病毒
我的隨身碟已經重新格式化了好幾次,但裡面還是有這隻和autorun.inf的病毒。
感謝你的解問。
因為你的硬碟的毒沒有解掉,所以格式化之後還是會再生出來,至於檔名是一直在變的,主要是要把c:\windows\system32裡面的毒清掉就好了
已照高登大的解法將autorun.inf及uret643.exe刪除,但兩個病毒衍伸出來的檔案,卻都顯示沒有這個檔案。但用命令提示字元搜尋,卻又都存在。是因為我把磁碟分割成四個,所以要將四個地方的autorun.inf都清掉了,才能刪掉他的衍伸檔嗎??
請高登大救援!!
請參考上一篇留言的回覆
你好 我有按照你的步驟一步一步來
無法進入安全模式 所以在正常模式下處理的
del uret*.exe--------------------成功
del lhg*.dll---------------------找不到
del autorun.inf------------------無法存取
del 6vu*.com---------------------無法存取
「dorfgwe」這個機碼按右鍵〔刪除〕機碼。
但是現在無法開機了,一直卡在WINDOW登入中
請問大大是否有Idea
開機選"上一次的良好設定"看看,再不行就慘了XD
請問一下我把隨身碟插入筆電確認隨身碟沒毒,但插入到另一台電腦時,用命令提示字元檢查隨身碟,病毒又跑出來了這是怎麼一回事呢?
病毒:
autorun.inf
32o3.cmd
還有我在筆電都沒檢查出病毒,但另一台我在c:\的目錄沒找到autorun.inf但找到32o3.cmd,在 cd\windows\system32下沒找到這兩個檔案,要怎麼刪掉呢?我打
c:
attrib -s -h -r 32o3.cmd
del 32o3.cmd
它出現找不到耶~
因為毒沒有清乾淨!
我文章中的檔名只是範例,你要自己找你中的病毒檔名,這些檔案都會是隱藏檔而且檔案日期都是最近的,
另外你認為解乾淨了先不要插隨身碟,先用我解除隱藏檔的方法之後再重開機,如果還是看不到隱藏檔就是一樣毒還在,
等到隱藏檔定確定沒問題了,再用"隨物碟的正確使用方法"這一篇就可以把隨身碟的毒殺掉了,自己好好體會我說的是什麼,不懂的話相關的東西我之前都已經發過很多次了,請你自行爬文
高登兄,你好~潼恩又來請教了。
本次受害者仍然是我同事的電腦,因為許多同事老是在她電腦用隨身碟存入檔案,又不理會敝人的紙條,以致於…
這次比較奇怪的是,在根目錄下有個autorun.inf沒錯,檔案內容為:
[AutoRun]
;aeK1Il09jKseqfDsak2rm3dwdnw
open=rf.cmd
;falo4p0o2KKjrolCok
shell\open\Command=rf.cmd
不過,共同犯罪者的rf.cmd卻不知道跑到哪裡去。
而且在windows\system32下也不見uret家族執行檔及dll的芳蹤…
直接將所有autorun.inf刪掉後,重開機仍然會再重生,看來他們是找到新地方藏了。
不知高登兄是否可以給些提示,或許我應該要再到哪裡查看會比較好呢?
可能有.dll沒有刪掉,你可以在c:\windows\system32之下用dir /o-d/p看看最新的檔案是不是有什麼可疑的的,另外系統還原檢查一下是不是關了
請問這位大大 我也是插朋友的USB 不過中的毒不太一樣 麻煩這位大大解惑
特性: 隨便開啟一個資料夾 點工具 - (選項)選項不見了!!!!!
網頁跟其它程式的選項會在 遊戲或其他程式也都能正常跑
最大的特性是 只要開提示字元(DOS)就會自動開機= =
抓了很多解USB的程式來解都沒用 選項都沒出現
請問這是USB病毒嗎?? 還是別的??
還沒遇到這樣子的情形,所以不知道!這個只能從開機時執行的程式機碼去找看看,如果你會找的話不妨試試!
看來我所擔心的DOS模式被動手腳的手法已經出現了,顯然寫病毒的人是有在看我的網站的XD
我每次開啟資料夾時,會自動開啟[搜尋]的視窗,但不會開啟資料夾。
要怎麼辦?是中毒嗎?
應該是autorun.inf裡面的程式被防毒殺掉了才會這樣,確是毒都已經解掉之後還要把autorun.inf殺掉才會正常
我在掃毒的時候,一方面因為無知,一方面是心急,把ntldr和boot.ini和一個什麼東西都del掉了(這幾個檔案的時間都很新啊),現在開機時,螢幕只會出現ntldr is missing的訊息,連安全模式都無法進去。
請問要如何把ntldr救回來呢?boot.ini也需要救回來嗎?請高登大大幫忙救命了!謝謝!
用XP原版光碟開機進修復主控台打fixboot看看, 不行的話就要從別台電腦複製這兩個檔案了,不過你的硬碟已經無法開機是有一些難度的
感謝您的回覆。
請問如何複製?難度很高嗎?送修比較划算嗎?
我沒有開機光碟,當初是廠商幫忙灌的,現在保固過期了。
那可能就要送修了,會修的兩分鐘就解決了
決定送修了,希望碰到會修的人。
謝謝您的分享,我現在會自己殺掉隨身碟的毒了。
沒關係!過了這一關你就更厲害了
還有,因為這次掃毒掃到不應該刪的檔案,請問,怎麼知道哪些檔案是千萬不能刪的呢?是不是應該把它們記下來呢?因為很怕下次又犯同樣的錯誤啊!
這個是要靠經驗的累積,剛開始時作好完整的記錄是一個好習慣,另外在電腦沒問題時就要存一份檔案的清單以供比對也是一個方法
高大哥您好,不好意思我將這篇文章用網頁另存新檔的方式
要存至電腦時,小紅傘9.0版出現警示(下列)
"Contains recognition pattern of the HTML/Rce.Gen HTML script virus"
不知是否為誤判,還請您確認一下,麻煩您了,感謝~~~
我看了一下應該是文章中的Autorun.inf那一段程式碼被誤判為病毒, 不用擔心!
版大好
今天電腦教室dos下dir/ah發現autorun.inf 及 rbhpdax.exe 兩隻病毒,用attrib -s -h -r 它們,在del時卻回應都找不到。進安全模式亦然,且在d碟也有它們的蹤影。不知怎辦才好!請版大不吝指教!!!
autorun.inf及磁碟機根目錄的病毒執行檔是要病毒清掉之後才可能殺得掉的,你的情形應該是病毒還在記憶體中,所以你把隱藏解開了又馬上被病毒改回去了,先想辦法解掉c:\windows\system32中的毒,然後確定隱藏欄的選項可以打開之後再來殺autorun.inf吧!
你好
我按照你的方法刪除了autorun.inf ruet* lhg*
但是卻找不到us8amqf.exe這個檔
(type autorun.inf 裡面是寫open=us8amqf.exe)
在c:和system32也找不到
dorfgwe也刪除了
但還是不能打開隱藏檔
c: d: e:的autorun.inf這些檔已經不存在
所以要用什麼方法才能夠找到us8amqf.exe這個元兇
搞到我重灌完電腦又再跑回來
而且會灌不到主機版的dirve
(打開程式的時間會當掉)
元兇不是在根目錄的執行檔而是在system32裡面, 你找一下機碼HKU\Software\Microsoft\Windows\CurrentVersion\Run 裡面有位於system32的程式才是元兇
高大你好 我照你的方法自己手動把毒都清掉了 正當覺得很爽的時候 我重開機 沒想到 CD槽都不能打開 正常不是點二下左鍵 會打開嗎 我變成點二下 他出現 要選擇哪個程式打開 請問一下為什麼會變這樣? 是我不小心刪錯什麼東西嗎
剛剛忘記問 要怎麼找HCU\Software\Microsoft\Windows\CurrentVersion\Run 我找不到這個 我是直接去收尋dorfgwe 找到他 然後刪除 是因為這樣 所以會打不開嗎? 我現在病毒都刪除掉了 目前問題就剩下就個 麻煩幫解答 多謝!
不是這個原因,是因為還有autorun.inf還沒刪掉,請確定可以看到隱藏檔之後,照"隨身碟的正確使用方法"這一篇把它刪了,再重新開機就可以了
高大大 真的很感謝你的方法 現在已經都沒問題了 真的是學到了很多 感謝!!!
不客氣!
你好,想請問我DOS視窗鍵入regedit
開啟「登錄編輯程式」後,
卻找到不到高大說的「HCU\Software\Microsoft\Windows\CurrentVersion\Run」
請問我該怎麼辦?
(我的登錄編輯程式根目錄為我的電腦,接下來的子目錄都不為HCU)
HCU是HKEY_CURRENT_USER的縮寫
Dear 高大:
已照著你詳細的步驟做下去,
並參照五個步驟檢查,
第一二三五項都ok,
但第四項在windows\system32中dir /ah,
雖然沒有看到之前的.com檔,
但仍然出現godert0.dll,
請問這樣是清乾淨了嗎?
而且防毐軟體仍然會出現發現可疑檔案「c:\\windows\system32\godert0.dll」
在此先說聲抱歉了,
我本來是安裝小紅傘,
結果中了kavo,就換裝avast!
請問我現在該如何做呢?
非常感謝你。
重開新進安全模式重覆以上的步驟,重點是要抓出在登錄裡面run的.exe自動執行檔,先把這個斷頭就可以清乾淨了
Dear 高大:
可是我依你的步驟在命令提示字元下Dos指令,
在c:\並沒有看到檔名是「xxx.com」和「autorun.inf」,
在c:\windows\system32也沒有找到「uret463.exe」和「lhgjyit0.dll」,
登錄編輯程式裡也沒有「dorfgwe」,
那請問我到底要斷哪一個頭??
在第四張圖regedit那裡一定有執行什麼程式,路徑在c:\windows\system32裡面,但是檔名是一直在變的,這一篇是四個月之前發的,現在的檔名應該會不一樣,而有問題的檔案應該都是隱藏檔而且檔案的日期都是最近的,很好找的!
您好!
我想要向你請問一下,我想要修改一下我的登錄檔,但是我點"開始"-->"執行"-->鍵入"regedit"後,視窗就關閉了,我的電腦沒有任何反應或是錯誤的顯示,想詢問為什麼這樣?
我嘗試過:
1.進入安全模式掃毒。
2.安裝過木馬清除大師和小紅傘來進行掃毒。
可是都沒有掃出病毒。
網路上大多的方式我都嘗試過了,也還是失敗。
可以請您給我一點意見!(除了"重灌"和"還原"的方法。)
試著先開命令提示字元再打regedit,這樣才能看到錯誤訊息
我按照方法後
找到了843wee0.dll這個檔案
他的日期是新的,也有佔用位元組
請問他是病毒嗎?
一看檔名就知道不是正常的檔案,殺了吧!
謝謝~
高登大,你好
我的防毒軟體是使用小紅傘8.0
我懷疑我的電腦中毒了,因為在我沒刪除檔案的情況下,我桌面上的幾個檔案莫名的消失了!!為了慎重起見,我上了微軟的官網http://onecare.live.com/site/en-us/default.htm去做線上掃描,但是一樣顯示正常,所以就不當一回事了
直到我同事借我的電腦使用隨身碟(他的隨身碟已在他的電腦掃過毒且正常可使用的),他的隨身碟回到他的電腦後卻出現了「是否要格式化」的字樣,請問這樣是我的電腦有中毒嗎?那他要如何救回他的隨身碟的資料呢?
我該如何找出這個病毒?
我做了以下的檢測
c:\底下沒發現autorun、XXX.cmd、XXX.dll
c:\windows\system32 dir /ah 沒發現可疑檔案
c:\windows\help dir /ah 沒發現可疑檔案
登錄檔
「HCU\Software\Microsoft\Windows\CurrentVersion\Run」
底下只有 C:\WINDOWS\system32\ctfmon.exe 這個檔案
看你的描述應該不是中毒,只是恰好隨身碟壞掉了而已!
至於問你要不要格式化就不是很妙了,這個可能比較不好救檔案
高登大~謝謝你的快速回覆
也許他的隨身碟真的很不湊巧的掛了,好險後來他有將資料救回
但是我的疑惑是「在我沒刪除檔案的情況下,我桌面上的幾個檔案莫名的消失了」為了找回他們,我還使用了finaldata去找當天日期,但是還是沒找回來,那為什麼會發生這樣的情況呢?請問你有遇過嗎?
我曾一度亂亂想認為我是被駭了....
不管是隨身碟或是硬碟壞了最常見的就是最前面的檔案配置表壞了,而finaldata的功用就是找出可能的檔案配置表,但是並不一定能成功.
至於硬碟中的檔案除非你出狀況之後不再之使用這一台硬碟開機,不然Windows系統是會寫入許多暫存檔的,而如果你要救的檔案正好被新的檔案蓋掉了,就算是找FBI來也沒用
我有一篇介紹HD Tune的文章你可以安裝看一下你的硬碟是不是快掛了?
高登大~
不好意思,這麼晚才回報HD TUNE的檢測結果
結果就是~~我的硬碟是健康滴~
那至於為什麼會發生上述的問題,到現在依然是一團謎....
anyway,高登大還是要再次感謝你的仗義相助!感恩吶~
不用客氣!
一般會遇到這種情形都是使用者的設定檔出問題,系統自動幫你新增一個使用者帳號才會這樣,而使用者的桌面檔案都在c:\documents and settings\使用者名稱 之下,或許你可以在這裡找看看
感謝你
我因為這一篇文章解決了我的問題
不客氣!有空多來逛逛吧!