2019年3月5日 星期二

藉由隨身碟而感染的捷徑(movemenoreg.vbs、vbe)病毒解決方法

一、隨身碟捷徑病毒之症狀


二、手動清理電腦
  1. 先檢查有沒有中毒:叫出執行視窗(Windows + R),並執行 Shell:Startup(此為開機後會啟動的程式有哪些),如果發現helper.vbs的捷徑,就是中毒了。(windows10可在工作管理員中的開機選單找到),請把helper.vbs捷徑砍了。
  2. 刪除病毒:病毒會藏在個人資料夾中(例如:C:\Users\使用者名稱\AppData\Roaming\WindowsServices中)
    1. 叫出執行視窗(Windows + R),並執行 %AppData%
    2. 從資料夾視窗上方的「檢視」中核取「隱藏的項目」,會發現在資料夾中多了一個 WindowsServices 的資料夾,資料夾內的病毒,例如:
      • helper.vbs (文件檔、windows啟動夾可找到helper.vbs捷徑)
      • installer.vbs (文件檔、在隨身碟建立.vbs病毒)
      • movemenoreg.vbs (文件檔、將隨身碟搬到_資料夾中)
    3. 可能無法直接刪除資料夾(因為資料夾成了唯讀),先進WindowsServices 的資料夾內,將以上病毒刪除。(刪除請用shift+del複合鍵,做永久刪除)
  3. 重開機
  4. 重複前面動作,砍掉啟動時的helper.vbs捷徑、進入個人AppData資料夾內,砍掉WindowsServices 資料夾(這時候應該砍的掉)
  5. 搜尋可疑的.exe、.com執行檔,刪除!
  6. 重開機,檢查!
三、手動清理隨身碟
  1. 建議使用非windows系統(例如unix系統...)來刪除病毒,會比較安全和快速。
  2. 如使用windows刪除病毒,最好先安裝掃毒軟體(例如:avast掃毒
  3. 從資料夾視窗上方的「檢視」中核取「隱藏的項目」,砍掉WindowsServices 資料夾。(裡面的病毒avast會把它病毒隔離)
  4. 刪除隨身碟代號的捷徑(例如:創見隨身碟為Transcend.lnk)
  5. System Volume Information資料夾內的IndexerVolumeGuid、WPSettings.dat(建議砍了,如果砍不了,先將資料改為everyone權限再砍掉)
  6. 把「_資料夾」內的資料移到上層後移除「_資料夾」。
四、停用Windows Script Host (windows執行scrip的程式簡稱WSH)
  1. 叫出執行視窗(Windows + R),並執行regedit
  2. 尋找「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings」的路徑,並在右邊空白處按下滑鼠右鍵。
  3. 新增一個 DWORD (32位元)值為0的「Enabled」數值名稱。
  4. 叫出執行視窗(Windows + R),並執行wscript.exe,如果無法使用即表示停用WSH成功。
  5. 要重新啟用,只要回到原路徑,將Enalbed 刪除即可。(本資料參考自 挨踢路人甲