以下文章內容資料來源:http://tsowen.pixnet.net/blog/post/450417473-%E9%9A%A8%E8%BA%AB%E7%A2%9F%E7%97%85%E6%AF%92%E5%87%BA%E7%8F%BE%E6%8D%B7%E5%BE%91%3F%E8%99%95%E7%90%86%E6%96%B9%E6%B3%95
連接隨身碟後,檔案總管畫面上僅出現隨身碟廠牌捷徑,如下圖
代表您的隨身碟中了惡意程式,此時請記得千萬…千萬…千萬…不要點此捷徑
link to http://tsowen.pixnet.net/album/photo/657004538
點捷徑後會執行這支檔案 movemenoreg.vbs(藏身在 WindowServices 目錄下)
接下來會將此檔案移植到您的電腦中…
C:\Users\使用者名稱\AppData\Roaming\WindowsServices
這時請不用著急,您的隨身碟並沒有壞,隨身碟上的檔案也沒有消失,只是被病毒惡作劇藏起來了,您只要跟著步驟做即可解除問題~
解除惡意程式步驟:
一、清理電腦
1. 開始–>(所有程式)–>執行–>輸入 shell:startup 後 Enter 檢查系統啟動目錄是否有【helper 捷徑】,若有代表該電腦已被植入程式
2. 刪除【movemenoreg.vbs】病毒
在捷徑上按右鍵查詢捷徑的路徑,會找到一個WindowsServices的資料夾,裡面會有 3 個 vbs 所寫的檔案,將檔案刪除即可
a.到 C:\Users\使用者名稱\AppData\Roaming\WindowsServices
b.刪除【WindowsServices】資料夾:按【Shift+Delete】不經過垃圾桶、直接刪除
3. 重開機後再去啟動目錄砍掉” helper ”捷徑
二、清理 USB
1-1.解開 USB 隱藏檔:可以開啟隱藏資料夾的功能
a.隨便開啟一個資料夾(WIN7 , WIN10 病毒存取路徑相同)
b. Win7 :左上角【組合管理】→【資料夾和搜尋選項】
c.【檢視】→【進階設定】:【顯示隱藏的檔案、資料夾或磁碟機】
※建議將副檔名也顯示出來
d. Win10 :【檢視】→【隱藏的項目】打勾
1-2.這樣子就可以看見 USB 裡面的全部資料夾
link to http://tsowen.pixnet.net/album/photo/657004541
2-1.刪除【WindowsServices】資料夾和隨身碟自己的捷徑。
2-2.開啟【_】這個資料夾,這裡存放著自己原本 USB 裡面的檔案。
2-3.將所有檔案搬回隨身碟根資料夾即可。
PS.
1. 若看不到檔案請開啟顯示隱藏檔
2. 若出現無法刪除【WindowsServices】這個資料夾
A. 先進入【WindowsServices】資料夾,將裡面的檔案全數刪除
B. 重新開機
C. 再次刪除【WindowsServices】資料夾,和啟動資料夾中的【helper】捷徑
D. 完成以上步驟,大功告成。
教務處資訊組敬上