常见随身硬碟中毒处理以及资料救援实录教学
几周前,外甥女来电哭诉电脑中毒,电话中一个大女生哭得唏哩哗啦的,我初听电话,还以为发生了啥可怕的命案,努力地要她冷静下来,仔细地描述过程,供做是否能够救援的判断,在一番魔音传脑后,终于把事情给厘清。
原来小外甥女的随身硬碟装了这些年个人的回忆与各种资料、照片,她姊姊在无意的状况下,插上家里已经中毒的电脑,瞬间便看到所有资料夹突然消失无踪,由于数年之前也有一次这样的状况,她以为噩梦又得重来一次,所以当下就歇斯底里的放声大哭,姐姐眼见无法收拾,赶紧打电话给我讨救兵。
电话中的判断结果,应该只是隐藏档案型的随身碟病毒作祟,当下立马要姐姐拿来我处理,以下就是处理的详细经过,留作纪录,也给中类似病毒的网友一个救援的方向与方法,不致于真的真的格式化硬碟。
这就是中毒的随身硬碟,算是早期的机种了。
以以往的经验来说,WIN XP虽然比较容易中随身碟病毒,但是救援过程比较容易,所以此次救援使用安装WIN XP个人笔记型电脑来处理。
取出硬碟,将USB连接线准备好。
在插上随身硬碟前,我选择将防毒软体关掉,图中为AVAST家用版,原因是我担心防毒误判或是其他原因将原来存在的正常档案删掉,这样事情就真的大条了。
接著使用WIN XP里常用的密技,【奥义:真SHIFT无双】,ㄟ......就是按著SHIFT不放,再插入随身碟以防止系统执行或拨放随身碟内容的常见手法啦,这也是我选择用WIN XP解毒的原因,因为WIN 7这手法已经无用了,至于完整的解毒大法概念,请见另一篇拙作,【随身碟病毒完整清理教学(KAVO系列)】。
插入随身碟后,可以看到随身碟运作中,直到画面无任何反应才放开SHIFT键。
接下来,开启【档案总管】,而且全程都是使用档案总管来避开随身碟病毒自动拨放与执行。
很清楚地,请你全程点选左边的树状目录栏位以求避免中毒,右边的图示是绝对禁止点选的。
点选后可以看到右边的资料只剩下五个捷径跟一个AUTORUN.INF,正是最近常见的变种随身碟病毒特征。
档案总管--工具--档案夹选项,准备检查资料还在不在?
取消【隐藏保护的作业系统档案】以及勾选【显示所有档案和资料夹。】
可以看到原来的资料夹还在,档案理论上应该也还在,也就是说看的到的捷径都是导引你中毒的路径,就是病毒产生的假档,而真实档案病毒已经将其隐藏并唯读了。
记得全程使用左边的树状目录吗?这里也是,点选后,可以看到资料夹还在(并非捷径图示)。
可喜可贺,档案都还健在,这下子就容易多了。
我们来检查一下被隐藏的资料夹内容,检查看看属性被病毒做了啥手脚。
隐藏属性被选取而且还不能修改,唯读属性倒是没特别被限制。
那假档案的捷径内容又是如何呢?我们来检查看看。
可以看到它其实是导引到资源回收桶里面的某个exe档案。
把它复制到记事本看清楚一点,这就是病毒的真实位置以及开启方式。
我们来检查随身碟里面的资源回收桶,呃.......有个大屁股图示的病毒档就出现了......(记得,还是点选左边观看)
我们也来看看autorun.inf档里面到底塞了啥东西。
就是一堆程式码,基本上就是导引档就是了。
先把所有假档捷径全砍了(这个例子中,我是先全部移到某个资料夹慢慢研究)
剩下的工作就是把原来的资料夹恢复就可以了,变更资料夹属性的程式很多,我个人喜欢用这套,kavo_killer。
这是程式是由书维电脑工作室撰写的,由于没有取得同意以及个资保护法的原因下,我将该工作室的连络资讯打了马赛克,有兴趣的网友,应该能轻易搜寻到。
使用其【伪装资料夹病毒修复工具】
选对磁区,点选【开始修复】,并且不勾选【将autorun.inf删除并建立免疫资料夹】。
不过,这个例子中,这个资料夹还是跑出来了,别担心,这是正常的。
再次执行kavo_killer程式,此次点选【解除免疫】。
画面会出现提示,按照步骤执行即可。
已经解除免疫。
回来看看随身碟内容,YES~已经恢复正常。
顺手将随身硬碟的系统还原功能关闭,以防止病毒藏匿在这里。
这样一来,这个CASE就完全搞定了。
后记:在教学的生涯中,遇过不少这种例子,通常听到的是一些不懂得求救的朋友,在不是很清楚状况的朋友建议下,直接就忍痛将随身碟格式化后再继续使用,多少宝贵的资料就这样不见了,记住,下次遇到这种状况,别急著放弃以及乱了方寸。
