二、手動清理電腦
- 先檢查有沒有中毒:叫出執行視窗(Windows + R),並執行 Shell:Startup(此為開機後會啟動的程式有哪些),如果發現helper.vbs的捷徑,就是中毒了。(windows10可在工作管理員中的開機選單找到),請把helper.vbs捷徑砍了。
- 刪除病毒:病毒會藏在個人資料夾中(例如:C:\Users\使用者名稱\AppData\Roaming\WindowsServices中)
- 叫出執行視窗(Windows + R),並執行 %AppData%
- 從資料夾視窗上方的「檢視」中核取「隱藏的項目」,會發現在資料夾中多了一個 WindowsServices 的資料夾,資料夾內的病毒,例如:
- helper.vbs (文件檔、windows啟動夾可找到helper.vbs捷徑)
- installer.vbs (文件檔、在隨身碟建立.vbs病毒)
- movemenoreg.vbs (文件檔、將隨身碟搬到_資料夾中)
- 可能無法直接刪除資料夾(因為資料夾成了唯讀),先進WindowsServices 的資料夾內,將以上病毒刪除。(刪除請用shift+del複合鍵,做永久刪除)
- 重開機
- 重複前面動作,砍掉啟動時的helper.vbs捷徑、進入個人AppData資料夾內,砍掉WindowsServices 資料夾(這時候應該砍的掉)
- 搜尋可疑的.exe、.com執行檔,刪除!
- 重開機,檢查!
三、手動清理隨身碟
- 建議使用非windows系統(例如unix系統...)來刪除病毒,會比較安全和快速。
- 如使用windows刪除病毒,最好先安裝掃毒軟體(例如:avast掃毒)
- 從資料夾視窗上方的「檢視」中核取「隱藏的項目」,砍掉WindowsServices 資料夾。(裡面的病毒avast會把它病毒隔離)
- 刪除隨身碟代號的捷徑(例如:創見隨身碟為Transcend.lnk)
- System Volume Information資料夾內的IndexerVolumeGuid、WPSettings.dat(建議砍了,如果砍不了,先將資料改為everyone權限再砍掉)
- 把「_資料夾」內的資料移到上層後移除「_資料夾」。
四、停用Windows Script Host (windows執行scrip的程式簡稱WSH)
- 叫出執行視窗(Windows + R),並執行regedit
- 尋找「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings」的路徑,並在右邊空白處按下滑鼠右鍵。
- 新增一個 DWORD (32位元)值為0的「Enabled」數值名稱。
- 叫出執行視窗(Windows + R),並執行wscript.exe,如果無法使用即表示停用WSH成功。
- 要重新啟用,只要回到原路徑,將Enalbed 刪除即可。(本資料參考自 挨踢路人甲)