取之於PTT，用之於PTT，先跟大家抱歉把這老文章挖出來回覆 我今天也中這個病毒，已於10分鐘前解決，但是狀況稍有不同 我會先說整個事件過程，若無耐心的鄉民，直接往下拉，我有保留原文 補充我碰到的不同之處 事件開始 昨天開始，某牌的32G隨身硬碟從Win7點開時，只出現名為"Pictures"的影隱藏檔 所有複製進去的資料都只剩捷徑，我也有點開過，也無回應(當時完全沒想到是中毒) 今天拿去該廠牌的銷售中心，他試了一下果然不能開，二話不說，當場拆了一個新的給我 (終身保固) 後來拿回家一插，同樣的狀況又發生了，我才意識到可能是中毒 (此時約18:00) 接著上網開始Google 因為出現的資料夾叫Pictures，所以我的關鍵字是 "隨身碟 Pictures" 然後就出現一堆隨身碟的廣告及圖片=.= 後來改用"隨身碟 隱藏檔"才確定為中毒 (此時約19:00) 試了網路上很多方法都無效 然後找到這篇文章，照步驟做了之後發現病毒的檔名不一樣，所以放棄 (此時約20:30) 再找了很多的文章，也把做過的方法再試了一次，全部都沒用 只有本篇文章發生的情況跟我一模一樣 所以我就從頭一個步驟一個步驟慢慢看慢慢做 (此時約23:00) 結果花了10分鐘解除病毒，過程一模一樣，只是病毒名稱不同 又花了20分鐘測試(檔案複製來複製去，電腦重新開機好幾次) 在此跟該隨身碟廠商致歉XD，隨身碟不死，只是中毒， 讓你換一個新的給我很抱歉Orz 20:00就能解決的事情拖到我快00:00(碎念中) =======以下為不同點======= ※ 引述《sc38514 (No.17)》之銘言： : 小弟我很不幸也遭受到了這個病毒攻擊， : 研究了一下把資料保住了，也停止自我複製的症狀。 : 於是乎來分享一下解毒步驟： : 1. 當你發現USB檔案都變成捷徑時，請不要執行任何東西， : 萬一你已經點了，請照下面步驟做，如果還好沒點任何東西請跳到步驟3。 : 2. 如果你點了捷徑，那麼毒已經進入電腦，請先打開工作管理員 : (CTRL+ALT+DEL)，然後切換到第二分頁「處理程序」 : 關閉運行中的wscript.exe，如果沒有就跳過。 : 3. 打開USB資料夾，去「組合管理」裡面找到「資料夾和搜尋選項」， : 然後前往「檢視」分頁滑到最下面將三個「隱藏.......」的選項取消勾勾 : (Vista僅兩個)，並且選擇「顯示隱藏的檔案、資料夾及磁碟機」。 : 4. 回到USB資料夾，此時你應該可以看到原有的檔案以及他的捷徑(被病毒創造的)。 : 把loopqa資料夾、autorun.inf資料夾、ynrhgwssck..vbs，以及所有捷徑刪除。 (我的病毒檔名是一串數字2xxxxxx...vbs，我就是看病毒檔名不對 所以第一次google到此文章做到這步驟就放棄了) : 5. 到桌面左下角的開始，在搜尋欄輸入cmd，可以找到cmd.exe，請對他點選右鍵， : 以管理員身分執行。如果沒有直接左鍵執行即可。 : 6. 這時候會跳出一個黑色視窗，請輸入：attrib -H -S (USB槽英文字母):\*.* : 例如我的USB是F槽： attrib -H -S F:\*.* : 請注意格式要正確，不要遺漏空格。 : 這個步驟是還原被病毒更動的檔案屬性。 (我做此步驟時無明顯反應) : 7. 接下來請到 C:\Users\(使用者名稱)\AppData\Roaming\ : Microsoft\Windows\Start Menu\Programs\Startup\ : 找到並刪除 ynrhgwssck..vbs，如果你一開始沒有執行捷徑的話不會產生。 : 8. 接著請到C:\Users\(使用者名稱)\AppData\Local\Temp\， : 找到並刪除 ynrhgwssck..vbs。 (病毒檔名不一定一樣，找跟步驟4一樣的檔名刪除就是) : 9. 最後到桌面左下角的開始，在搜尋欄打上 msconfig.exe，並且點擊 : 打開他，切換到「啟動」分頁將「Microsoft (R) Windows Script Host」打勾取消。 : 點選「套用」然後按下「確定」。到這裡解毒步驟完成，此時會請你重新啟動電腦， : 建議重新啟動。 : 請勿刪除wscript.exe，他是Windows內建工具，只是被病毒借用了，依照步驟 : 8、9即可解除。 : 10. (選擇性)依照步驟3將原先的隱藏設定改回去，以免更動到重要檔案。 : 11.這時候你的USB應該就沒有問題了，試著把檔案複製進去/插拔USB，應該都不會 : 自動產生捷徑了。 : 我也是臨時發現中毒，趕緊想辦法處裡，如果有遺漏什麼地方請幫忙補上， : 希望這篇能幫到需要的人。 除了檔名不一樣，其他步驟都相同 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.33.24.203 ※ 文章網址: http://www.ptt.cc/bbs/NTUST_Talk/M.1404317421.A.1C0.html