原來小外甥女的隨身硬碟裝了這些年個人的回憶與各種資料、照片,她姊姊在無意的狀況下,插上家裡已經中毒的電腦,瞬間便看到所有資料夾突然消失無蹤,由於數年之前也有一次這樣的狀況,她以為噩夢又得重來一次,所以當下就歇斯底里的放聲大哭,姐姐眼見無法收拾,趕緊打電話給我討救兵。
電話中的判斷結果,應該只是隱藏檔案型的隨身碟病毒作祟,當下立馬要姐姐拿來我處理,以下就是處理的詳細經過,留作紀錄,也給中類似病毒的網友一個救援的方向與方法,不致於真的真的格式化硬碟。
這就是中毒的隨身硬碟,算是早期的機種了。
以以往的經驗來說,WIN XP雖然比較容易中隨身碟病毒,但是救援過程比較容易,所以此次救援使用安裝WIN XP個人筆記型電腦來處理。
取出硬碟,將USB連接線準備好。
在插上隨身硬碟前,我選擇將防毒軟體關掉,圖中為AVAST家用版,原因是我擔心防毒誤判或是其他原因將原來存在的正常檔案刪掉,這樣事情就真的大條了。
接著使用WIN XP裡常用的密技,【奧義:真SHIFT無雙】,ㄟ……就是按著SHIFT不放,再插入隨身碟以防止系統執行或撥放隨身碟內容的常見手法啦,這也是我選擇用WIN XP解毒的原因,因為WIN 7這手法已經無用了,至於完整的解毒大法概念,請見另一篇拙作,【隨身碟病毒完整清理教學(KAVO系列)】。
插入隨身碟後,可以看到隨身碟運作中,直到畫面無任何反應才放開SHIFT鍵。
接下來,開啟【檔案總管】,而且全程都是使用檔案總管來避開隨身碟病毒自動撥放與執行。
很清楚地,請你全程點選左邊的樹狀目錄欄位以求避免中毒,右邊的圖示是絕對禁止點選的。
點選後可以看到右邊的資料只剩下五個捷徑跟一個AUTORUN.INF,正是最近常見的變種隨身碟病毒特徵。
檔案總管–工具–檔案夾選項,準備檢查資料還在不在?
取消【隱藏保護的作業系統檔案】以及勾選【顯示所有檔案和資料夾。】
可以看到原來的資料夾還在,檔案理論上應該也還在,也就是說看的到的捷徑都是導引你中毒的路徑,就是病毒產生的假檔,而真實檔案病毒已經將其隱藏並唯讀了。
記得全程使用左邊的樹狀目錄嗎?這裡也是,點選後,可以看到資料夾還在(並非捷徑圖示)。
可喜可賀,檔案都還健在,這下子就容易多了。
我們來檢查一下被隱藏的資料夾內容,檢查看看屬性被病毒做了啥手腳。
隱藏屬性被選取而且還不能修改,唯讀屬性倒是沒特別被限制。
那假檔案的捷徑內容又是如何呢?我們來檢查看看。
可以看到它其實是導引到資源回收桶裡面的某個exe檔案。
把它複製到記事本看清楚一點,這就是病毒的真實位置以及開啟方式。
我們來檢查隨身碟裡面的資源回收桶,呃…….有個大屁股圖示的病毒檔就出現了……(記得,還是點選左邊觀看)
我們也來看看autorun.inf檔裡面到底塞了啥東西。
就是一堆程式碼,基本上就是導引檔就是了。
先把所有假檔捷徑全砍了(這個例子中,我是先全部移到某個資料夾慢慢研究)
剩下的工作就是把原來的資料夾恢復就可以了,變更資料夾屬性的程式很多,我個人喜歡用這套,kavo_killer。
這是程式是由書維電腦工作室撰寫的,由於沒有取得同意以及個資保護法的原因下,我將該工作室的連絡資訊打了馬賽克,有興趣的網友,應該能輕易搜尋到。
使用其【偽裝資料夾病毒修復工具】
選對磁區,點選【開始修復】,並且不勾選【將autorun.inf刪除並建立免疫資料夾】。
不過,這個例子中,這個資料夾還是跑出來了,別擔心,這是正常的。
再次執行kavo_killer程式,此次點選【解除免疫】。
畫面會出現提示,按照步驟執行即可。
已經解除免疫。
回來看看隨身碟內容,YES~已經恢復正常。
順手將隨身硬碟的系統還原功能關閉,以防止病毒藏匿在這裡。
這樣一來,這個CASE就完全搞定了。
後記:在教學的生涯中,遇過不少這種例子,通常聽到的是一些不懂得求救的朋友,在不是很清楚狀況的朋友建議下,直接就忍痛將隨身碟格式化後再繼續使用,多少寶貴的資料就這樣不見了,記住,下次遇到這種狀況,別急著放棄以及亂了方寸。