接到客戶來電,家裡電腦桌面資料都消失了,想說只是動到設定,到了現場一看,

發現所有的開始功能表項目、硬碟資料檔案等等,都被隱藏起來了,只能執行程式,而且還是很不完整

 

還會出現很多~Windows-Delayed Write Failed的方塊

 

基本上第一個判斷,就是中毒了,不過還好是可以上網,找了一下資料。

 

當時在工作管理員和啟動項目裡面有看到亂碼的程式

搜尋了一下電腦,發現了幾個疑點程式 G開頭亂碼的EXE檔案,還有這支..System Recovery

 

上網查了一下,發現趨勢官方有相關的資料

 

以下為趨勢官方的資料連結

連結點我唷!!!

簡單地把重點提出來

 

若您的電腦感染 Fake AV 後無法點選開始功能表或檔案總管執行 FakeAV Remover

請依照下列步驟執行:

  1. 使用快捷鍵 Windows 鍵(鍵盤上有 Windows 視窗符號的按鈕) + 英文字 R 鍵可開啟執行視窗
  2. 輸入 cmd 後按 Enter
  3. 在命令提示字元中輸入 ”%Programfiles%\Internet Explorer\iexplore.exe” 然後按 Enter
  4. 瀏覽器開啟後輸入下述網址
    http://solutionfile.trendmicro.com/solutionfile/EN-1056510/EN/svchost.exe
  5. 將檔案儲存到C:\ (Windows 7無法儲存至C:\,請改存放至其他暫存目錄)
  6. 回到命令提示字元視窗,輸入 C:\svchost.exe 並按 Enter
  7. 執行掃描或選擇需要掃描的處理程序進行清除與修復

 

另外,這兩個連結也可以修復相關問題

FakeAV Remover工具下載

修復登錄檔

 

以下擷取於趨勢科技網頁

趨勢信件內容:

新病毒警訊通知-TROJ_FAKEAV

發布日期:2011/10/21(五)

趨勢科技近期發現有新的FakeAV變種病毒,該病毒已經偵測為TROJ_FAKEAV.DSL與TROJ_FAKEAV.DSM。感染病毒後會有以下行為出現:

1. 桌面會跳出偽冒防毒軟體或系統修復自動掃描的視窗,並會顯示許多系統錯誤、磁區損毀、或感染病毒等的錯誤訊息

2. 桌面圖示全部消失

3. 開始功能表中的程式集消失

4. 檔案全部變成隱藏屬性

5. 工作管理員無法開啟

6. 我的電腦中看不到磁碟機

請更新最新版的病毒碼即可偵測與清除此病毒,由於FakeAV在感染系統的同時會對系統設定進行變更,您可使用趨勢科技所提供的FakeAV Remover工具進行FakeAV的掃描與系統的還原。Fake AV Remover工具的使用方式可參考本篇技術通報
若使用過Fake AV Remover工具仍無法完全還原被病毒修改過的部分,您可依照以下步驟進行手動還原:

1. 重新開機進入安全模式(含網路功能)

2. 點選開始 > 滑鼠右鍵點選程式集 > 點選檔案總管

3. 在檔案總管中執行C:\windows\system32\cmd.exe

4. 在命令提示字元中依序輸入以下指令
attrib –h C:\*.* /s /d
attrib –h D:\*.*/s /d
若有其他磁碟機,變更磁碟機代號重複執行指令即可

5. 在檔案總管即可看到大部分的資料,請試著打開以下路徑:
C:\Documents and Settings\All Users\Application Data
C:\ProgramData
刪除可疑的亂碼程式,例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe

6. 下載修復登錄檔,解壓縮後執行restore_RET.1.reg

7. 重新開機回正常模式,調整開始功能表的設定

8. 檢查桌面、程式集、磁碟機、工作管理員等功能是否已恢復正常

趨勢科技建議您,FakeAV的感染途徑通常是由網頁或電子郵件散播,請勿瀏覽來路不明的網站,也不要任意執行不明郵件的附加檔案,更不要隨意在網路上搜尋來路不明的防毒軟體或移除工具,使用OfficeScan的客戶可啟用WRS服務以便降低感染FakeAV的風險。

趨勢科技敬上

 

 

**如果在掃毒過程中有自動關機或是其他不正常因素,建議可以在電腦開啟後F8,進入安全模式下去做掃毒和更換的動作

*目前得知好幾位USER是誤點了 FACEBOOK的連結就中了大獎,所以不正常的連結請勿亂點唷!!

 

 

**如果還是不行,另外在知識家也有找到類似的案例,有另種解決方式

 

引用自 http://tw.knowledge.yahoo.com/question/question?qid=1011102402421

我今天早上就中了這病毒,他這病毒俗稱流氓病毒的一種,
會先說你硬碟壞掉然後幫你掃描後會顯示一個視窗,
內容主要是說要付錢才能解決這問題,不過都是英文,我也是大致上看一下,
之後我就去爬文了一下,發現最近很多人都有中這病毒,大多人採用把重要資料移出來後(因為資料只是被隱藏,不是被刪除,所以在資料夾那邊調整成"顯示所有檔案"就找的到)就重灌這方法,不過我最不喜歡重灌,因為有很多重要的資料,雖然也是因為下載那些資料導致我中毒...反正我就找到下面這
網頁的解決方法,那網頁圖文並茂,解釋的不能在更清楚了。
若英文看不太懂沒關係,我稍微整理了一下,不是那麼全面,因為我英文不太行,重點有2個步驟,先下載
Malwarebytes Anti Malware 掃毒程式,進去點"Downloading now"就可以下載了,若是只有一台電腦,因為中毒的關係找不到IE或其他瀏覽程式,可以在左下"開始"點選裡面的"控制台"或其他資料夾,在他上面的名稱那邊打網址就好,程式應該會自動幫你打開瀏覽程式,軟體是多國語言的,所以安裝完有繁體中文,安裝後快速掃描即可,掃完刪除病毒重開機,會發現已經不會有出現那些奇怪的視窗了,但是所有檔案還是呈現隱藏狀態,所以下載這個Unhide.exe,之後執行他,若你檔案很多,他會執行很慢,主要呈現是"Processing X...",X是你的硬碟代號,等他跑完應該就正常了,這軟體主要是把你隱藏的東西顯示出來,桌面也許就要重新調整了。

, , , , , , , ,

台北電腦維修 發表在 痞客邦 PIXNET 留言(0) 人氣()