2014年6月13日 星期五

新型病毒「資料夾都變成捷徑」解決方法

最近開始蔓延一種特殊的病毒,學校許多老師、學生的隨身碟都中毒,症狀大概如下:
  1.  隨身碟裡面的資料夾都變成捷徑 (有的人還不知道那是捷徑)
  2. 每次要退出隨身碟都說「無法立即停止」
  3. 有的資料夾消失
 基本上前兩種症狀影響不大,往往都是出現第三種之後大家才會發現中毒。

比較麻煩的問題是,常見的掃毒軟體大多掃不掉(底下會說明原因),不過可以擋
自動執行 ( 隨身碟中的 autorun.inf )


 先來看一下,一般資料夾和捷徑有何不同:


上圖是模擬中毒的狀況,大家要注意的是:藍色箭頭處,有一個箭頭的小方塊圖示,
但有的電腦並不會顯示這個小方塊:參考這裡

如果是這種狀況,另一個可以注意的地方是,紅色箭頭的「捷徑」字樣,如果發現
隨身碟中的資料夾都變成這樣,就該注意一下了。

然而,其實真正的資料夾只是被隱藏起來了,只要顯示隱藏檔、系統檔
就可以看到原本的資料夾了:


使用者如果不小心點選了這個捷徑,其實也不容易看出來問題在哪,因為還是會一
樣開啟想開的資料夾,只是中間的過程被動了手腳:



上圖左邊是一般的捷徑檔案,右邊則是有問題的捷徑檔案,可以透過在捷徑上
點滑鼠右鍵 => 內容 觀察: (左邊是正常的)



【解決方法】

《一》
首先,先開啟工作管理員 ( Ctrl + Alt + Del 或者 Ctrl + Shift + Esc ),看看是否有
一個 wscript.exe 在執行:


這個 wscript.exe 本身沒有問題,他是用來執行 「js 腳本」( javascript ) 的
工具,有問題的是他所執行的腳本檔案,由於大部分的防毒軟體不會掃 .js
檔案,wscript.exe 本身也沒有問題,因此目前大部分的防毒軟體都抓不到。
( 加上這個 js 每次出現的內容都不同,要認特徵也很難,可以參考文末的檔案下載 )

如果有看到,就先強制結束這個程序(如果這個程式在執行中,就會造成隨
身碟要退出時出現無法立即中止的問題),接著等一下下,確認這個程式
有沒有自己再啟動。如果沒有材可以在往下,有的話,那就是又變種的病
毒了,要再找解法。

《二》
 接著按 「開始」 =>「執行」( 或者 Win+R 快速鍵 ),輸入 cmd 確定,
假設你的隨身碟是 F 槽,就在出現的小黑窗裡面輸入:
F:  (enter)
attrib -s -h /D /S (enter)
等待執行,一小段時間之後,隨身碟裡的檔案就都可以顯示了。
並注意,如果看到隨身碟裡面有 autorun.inf 的檔案,請把它刪掉。

《三》
接下來,注意隨身碟裡面是否有大約是四個左右的英數字組合的資料
夾,例如: e8e8 , c912c , iefei ... 等等,裡面有一樣是約五個英文數
字為檔名的 js 檔案,如果有,請將整個資料夾刪除


《四》
如同步驟 2,開始 => 執行 輸入 msconfig 確認;找到「啟動」項目找看看
裡面是否有出現 .js 結尾的項目: ( 或者你知道如何在登陸編輯器找到 Run )


將前面的勾勾拿掉 ( 登陸編輯器的話,就是將它刪掉 )


到這邊基本上就大功告成了,只要電腦有安裝防毒軟體,當中毒的隨身碟插
入的時候 ,都會擋住 autorun.inf 的自動執行,所以比較不用擔心再次中毒。

這邊是從中毒的電腦中取出的 js 腳本檔案,已經做過安全處理,不會中毒,
有興趣的人可以下載研究看看:Download

68 則留言:

  1. 很實用的文章 謝謝

    我想請問要是點了捷徑 會怎樣嗎?
    我電腦有安裝防毒 掃毒有救嗎?

    回覆刪除
    回覆
    1. 點了的話,掃毒基本上不一定掃得出來,上面有提到。
      解決方法也是一樣,先停止 wscript.exe , 找出有問題的 .js 檔案刪掉
      基本上就OK了。

      有防毒的話,隨身碟裡面的 autorun.inf 通常會被擋掉,比較沒問題,
      主要就是停止 wscript.exe 並找出有問題的 js 刪掉就OK了。

      刪除
    2. 超棒的文章!謝謝你!
      讓我這個電腦白癡救了自己的隨身碟
      超級感動!

      刪除
  2. 謝謝你提供解決方法,確實有用。
    但下次再開電腦,再次使用隨身碟時,又變捷徑了。這是為什麼呢? 請大大指點~

    回覆刪除
    回覆
    1. 如果是這樣的話,就表示:
      1. 電腦上的毒沒有清乾淨
      2. 隨身碟上的毒沒有清乾淨

      當然也可能兩邊都沒清乾淨

      一般來說電腦上的比較難清,可以再仔細找看看

      刪除
  3. 問一下唷
    我的隨身碟也都變捷徑
    然後用你的方法後
    檔案都有出現了
    但是沒有找到autorun.inf的檔案
    這樣還是有病毒在裡面嗎?

    回覆刪除
    回覆
    1. 沒有 autorun.inf 是好事,以這個狀況來說,所謂病毒的定義其實很模糊,
      主要有三個部分:

      1. 有惡意內容的 js 檔案,但他自己不能執行,只是一個文字檔案
      2. wscript.exe 是正常的 windows 程式,可以執行 js 檔案
      3. 讓 wscript.exe 執行惡意 js 檔案的設定

      第一項只要不讓 wscript 執行他就沒事;
      第二項本身就沒問題
      所以重點應該是第三項,只要沒有第三項,一和二都無大礙。

      而 autorun.inf 屬於 3 , msconfig 或者 regedit 的設定也屬於 3
      所以你問的還有病毒在裡面嗎.... 就是要看還有沒有 3 和 1 了吧。


      刪除
  4. 大哥 大哥 我USB是救回來了了 可是控制台卻打不開 打開會發生停止運作 在重這個毒之後發生的

    回覆刪除
  5. 個人也玩過程式一陣子,
    我有點好奇大大做的安全處理是?
    難道只是把有害的程式碼摘除而已?
    但是各大防毒廠商對於autorun.inf的定義很模糊
    他應該算是win內建程式中處於灰色地帶的東西...
    雖然之後有取消,但是他的功能至少現在(win7)沒取消...
    現行大型廠商得處理不是封鎖就是刪掉...
    至於大大說得 msconfig他是win裡面頗重要的東西...
    他是處於許多大廠商的保護對象之一...
    因為他的保護機制薄弱...所以當然容易中毒A_A

    回覆刪除
    回覆
    1. 你指的是取出的 js 腳本檔案吧?
      我把所有有害的程式碼,都註解起來了,不小心執行倒也不會 run 到有害程式碼。

      基本上只要不 "執行",就沒事。

      刪除
  6. 作者已經移除這則留言。

    回覆刪除
  7. 我的登陸編輯器打不開怎麼辦

    回覆刪除
    回覆
    1. 這可能是其他問題了,例如權限不足

      刪除
  8. 用了這個方法之後隱藏的檔案的確都出現了,但只要電腦重新開機之後再把隨身碟插進去,就發現檔案又都隱藏了,請問怎麼會這樣?

    回覆刪除
  9. 登陸編輯器打不開應該是權限問題,試著用 administrator 之類的帳號進去看看

    Yu-Han Hung , 這樣有可能你的隨身碟裡面有母病毒 (產生、執行這些 js 的病毒)

    回覆刪除
  10. 你好!
    請問最後發現有捷徑的資料還在,就直接把它刪掉就好了嗎??

    回覆刪除
  11. 求救求救
    我找不到wscript.exe
    然後USB裡也沒有autorun.inf
    不過在搜尋電腦時找到一個叫autorun.inf的圖片檔,但打開來是文字文件,而且修改日期是2006(那時我家電腦應該還躺在賣場......0.0)

    回覆刪除
    回覆
    1. 打開來是文字檔通常不是甚麼正常的東西,顯示圖片檔案應該是你的電腦把 inf 當作圖片檔。

      修改日期是可以偽造的

      刪除
  12. 救回來了~~感謝~~只是我找不到最後步驟裡面的.JS檔

    回覆刪除
    回覆
    1. 檔案可能有被隱藏,基本上只要不被重新執行,就沒關係

      刪除
  13. 謝謝板主!!救回隨身碟了! 不過我的是出現26705857_Desktop的檔案,不知道是不是同類型,不過照著上面步驟就找回原來的檔案夾了

    回覆刪除
  14. 大大您好,我沒有找到wscript.exe,也沒有看到autorun.inf,然後按照你的方法,把檔案都叫回來了感謝!!
    不過我的隨身碟退出時,還是會講"無法立即停止",捷徑也沒版法刪乾淨,甚至我把H曹資料夾關閉在開啟,剛剛刪除的捷徑又出現了,請問接下來該怎麼做,謝謝

    回覆刪除
    回覆
    1. 代表有其他宿主也在執行中,病毒並沒有清除乾淨(可能不在隨身碟裡)

      刪除
  15. 請問一下如果直接格式化後再開啟隨身碟,有辦法刪除這種病毒嗎?

    如果不點擊捷徑,用路徑的方式把需要的資料先拉出來再格式化請問會感染嗎?

    回覆刪除
  16. 請問找不到wscript.exe
    怎麼辦??

    回覆刪除
    回覆
    1. 真的確定找不到,就有可能是變種,或者不是這種病毒,只是行為類似

      刪除
  17. 這些東西都沒有出現:wscript.exe autorun.inf 約五個英文數
    字為檔名的 js 檔案 .js 結尾的項目
    隨身碟的捷徑刪不掉

    回覆刪除
    回覆
    1. 那可能病毒已經清除掉了,或者有其他變種情況

      刪除
  18. 這些東西都沒有出現:wscript.exe autorun.inf 約五個英文數
    字為檔名的 js 檔案 .js 結尾的項目
    隨身碟的捷徑刪不掉

    回覆刪除
  19. 請問有最新的解決方法嗎?

    回覆刪除
    回覆
    1. 不好意思,最新版的沒有樣本可以看,所以不確定是哪種狀況

      刪除
  20. 所以要插進桌電就會中毒?
    那插進手機呢?手機也會嗎?

    回覆刪除
    回覆
    1. 插進電腦不一定會立刻中毒,要執行到那些捷徑之後才會。
      手機和電腦系統不同,這種病毒對手機沒有影響

      刪除
  21. attrib -s -h /D /S (enter)
    等待執行,一小段時間之後,隨身碟裡的檔案就都可以顯示了。
    並注意,如果看到隨身碟裡面有 autorun.inf 的檔案,請把它刪掉。
    打了第一句的後~再打第二句~
    他出現不是可執行的程式是甚麼意思?

    回覆刪除
  22. 我直接銷毀它應該可以吧inf的資料夾

    回覆刪除
    回覆
    1. 直接刪除 OK
      另外不太確定「打了第一句的後~再打第二句~」第二句是指?

      刪除
  23. 我想請問如果是整個隨身碟被變成捷徑呢?點開就只看到隨身碟的捷徑

    回覆刪除
    回覆
    1. 這是另外一種病毒,我有遇過,它的原理也差不多,只是不是長這樣。
      解決方式同樣把資料夾與檔案的隱藏和系統屬性解除就可以看到了。
      attrib 那個指令

      刪除
  24. 版主你好:
    我目前wscript.exe關閉後會自動重啟,也就是中了變種病毒.....
    請問有什麼方法解決嗎?

    回覆刪除
    回覆
    1. 不一定是變種,可能的原因是有病毒有別的程式會讓他再生。

      刪除
  25. 作者已經移除這則留言。

    回覆刪除
  26. 真的是太感謝你了~~~找的回檔案瞬間熱淚盈眶!!!

    回覆刪除
  27. 想請問一下,如果開啟捷徑裡面的檔案後檔案本身會有病毒嗎?如果講他轉存到另一個隨身電病毒會跟著轉存嗎?

    回覆刪除
    回覆
    1. 這個病毒不會,其他的不一定,但理論上不會

      刪除
  28. wscript刪掉後又出現的話要怎麼處理?

    回覆刪除
    回覆
    1. 可能的原因是有病毒有別的程式會讓他再生

      刪除
  29. 作者已經移除這則留言。

    回覆刪除
  30. 請問有WIN8.1的教學嗎
    wscript.exe win8.1中是要強制關閉哪一個?

    回覆刪除
    回覆
    1. 理論上都是相同的方式處理,應該和版本無關

      刪除
  31. 請問~我都照這個指令輸入了,但得到的回應"不是內部或外部命令,可執行的程式或批次檔"這樣的意思是???

    回覆刪除
  32. 謝謝版主
    請問本文可以分享嗎?

    回覆刪除
  33. 請問要怎麼知道我電腦的毒掃掉了?
    因為我照做可是都沒看到那些檔案

    回覆刪除
    回覆
    1. 只要沒有奇怪的事情發生理論上就應該沒問題了

      刪除
  34. 不好意思 我想請問一下 如果不小心中了這種毒,會造成區網內的其他電腦也跟著中獎嗎?

    回覆刪除
    回覆
    1. 這個我不確定,比較凶猛的病毒有可能會

      刪除
  35. 雖然我也沒有看到解決方法一的檔案
    但是用方法二竟然救回了
    還好我有等他一段時間
    覺得很感動
    非常非常感謝你

    回覆刪除
  36. 我照這樣打完好像沒有甚麼反應
    http://i.imgur.com/gB5jWLP.png

    再發生情況時我先將隨身碟格式化了,是因為這樣所以沒辦法找到嗎?

    回覆刪除
    回覆
    1. No news is good news , 沒有消息就是好消息。
      最後一個打的指令是成功的,如果沒看到任何檔案,有可能:
      1. 不是這種病毒
      2. 病毒已經沒清除了
      3. 病毒本身又將其變回原樣

      刪除
  37. 請問完成後的 System Volume Information 怎麼隱藏?

    回覆刪除
  38. 您好,請問我已按照上述步驟刪除檔名為js的檔案了,但後來卻會偶爾出現一個視窗寫著「無法找到Script檔 C:\Users\User\AppData\Local\Temp\Rundll32.js」,這樣是甚麼問題呢?

    回覆刪除
  39. 我的寫存取遭到拒絕耶
    怎麼辦

    回覆刪除