Home 電腦硬體與軟體電腦病毒與解毒 所有的檔案都被覆寫,變成小惡魔exe檔

所有的檔案都被覆寫,變成小惡魔exe檔

by 唐先生
Published: Updated:

所有的mp3、音樂、文字檔及程式都變成小惡魔!

這是這幾天看到一個有趣的病毒,這台中毒的時候的情況和之前「電腦資料備份,jpg變成.jpg.vbs的慘痛案例」有點類似,.jpg.vbs的情況是所有的jpg及mp3檔都會被覆寫,而這一次看到的這個小惡魔它和這個情書病毒(LoveLet)比起來可就更殘忍了,它不只會將.mp3及.jpg覆寫而已,就連.txt文字檔、.exe程式執行檔或安裝檔…幾乎所有的檔案全都都會被覆寫成有「小惡魔」圖案的exe執行檔,我那時唯一沒看到被覆寫的檔案種類為.rmvb檔而已。

還好我這位客戶的這些資料在另一台電腦上有相同的東西,要不然珍貴的相片就全都泡湯了,所以在這裡還是再三的強調,重要資料請馬上備份,不要等到全都沒了,才在那邊哭天喊地的。

以下這張圖片就是小惡魔的圖片,他拿著叉子刺住微軟的視窗圖片,看起來似乎是恨透了微軟了。

 

以下這張就是所有檔案都變成小惡魔的樣子。

GHOST失效?

我這位客戶自己使用了我幫他們製作的Ghost還原片,結果還原後還是一樣一再的中毒,當這個客戶告訴我這個情形時,我心裡就有底了,一定是D槽的根目錄底下被放了autorun.inf的檔,所以一旦開啟了D磁碟,就又會再中毒。除了這個之外,由於所有的檔案都已經被重新覆寫成新的.exe檔,所以一旦又去執行了這個檔案,一定也會再中毒。

我的解決方法就是,先用WinPE這類的光碟開機,然後先將D磁碟這些中毒的檔案刪除乾淨,當然把D檔所殺了是最快的方法,然後再使用原有的還原程式還原就好了。

以下是這個Autorun.inf檔案的內容,這個GuessNum.exe就是罪魁禍首。

 

autorun.inf

[AutoRun]
Open=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
shell\open\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
shell\explore\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE
shell\find\Command=/RECYCLER.{645FF040-5081-101B-9F08-00AA002F954E}/GUESSNUM.EXE

也許您會喜歡

16 comments

changyang319 2011-07-23 - 08:08:56

我是覺得沒救了,但網路上,我曾經有看過有人可以解決,但他也是費了好大一番功夫,而這種狀況的電腦我只碰過一次而已,後來就都沒有客戶有碰過這種情況了。

Reply
Jennifer 2011-07-22 - 08:54:05

資料夾變成EXE檔,到了2011年還有救嗎??

Reply
changyang319 2010-06-19 - 23:46:04

就如上一個回答的問題一樣,基本上是沒什麼救了。

Reply
HELP 2010-06-18 - 21:51:50

我是資料夾變成EXE檔
無言~~都打不開
為什麼會這樣= =
要怎麼辦!!!

Reply
changyang319 2010-01-30 - 10:18:23

中了這個幾乎可以說是沒有救了,但我在爬文時,也曾看過有人救回來。如果你覺得裡面的資料很重要的話且還想救的話,就是立即將這顆硬碟拔起來,不要再讓它開機了,然後去找人幫你救回來,也許下重金會有人相助吧!

Reply
路人‧甲 2010-01-29 - 22:14:33

中了小惡魔病毒,有救嗎?

Reply
手足無措 2009-02-04 - 15:34:43

不好意思在多問一個問題
就是如果說我的電腦是中毒的狀態
那在中毒的電腦格式化隨身碟有用嗎?
THANK YOU SO MUCH

Reply
手足無措 2009-02-04 - 15:32:43

@@但我不久前才重灌我的電腦
所以說我的隨身碟有毒的狀態下
我重灌完電腦再插上隨身碟
電腦還是會再中毒的意思嗎@@

Reply
changyang319 2009-02-03 - 22:20:07

格式化之後隨身碟一定會是乾淨的。
你會有這樣的問題,是因為你自己的「電腦」本身有病毒,所以導致一格式化完了之後,又馬上被病毒補了一刀。

Reply
手足無措 2009-02-03 - 21:14:57

不好意思可以請問你一個問題嗎
我的隨身碟不知道是不是中毒了
我格式化之後
他還是會一直出現三個{,{{,{{{的資料夾
如圖http://photo.xuite.net/cindy1988225/1411141/2.jpg
但是他副檔名是.exe

謝謝你

Reply
changyang319 2007-11-16 - 18:26:00

會出現那個框框是因為autorun.inf裡所指定的程式不見了,通常這個有可能是隨身碟病毒的ntdelect.com程式已經被防毒軟體清除了。所以只要清掉你C、D槽的autorun.inf檔案,然後重新開機就好了。但最快的方法請你參考這篇解隨身碟病毒的文章「https://mrtang.tw/blog/post/9211590」
去下載delkavo的批次檔,它會幫你解決這個問題,你只要執行它,完畢後再重新開機就好了。

Reply
Gobiy 2007-11-16 - 15:36:07

你好,我中木馬之後,我就一直刪除病毒,到最後,就變成c、d槽不能點兩下就開啟,會先跳出一個框框(裡面有許多程式),再按確定後,才能開啟c、d槽,請問該怎麼回復

Reply
changyang319 2007-09-22 - 22:34:22

情書病毒是使用Outlook中的,而這隻可就不是使用Outlook了哦。

Reply
2007-09-20 - 18:53:01

這位大大真的很強呀!肯定是搞電腦專業的
或許是我沒用過outlook吧,這些病毒對我其實蠻陌生的,第一次看到有這麼搞怪的病毒
平常中中小木馬就覺得很嚴重了,其實自己蠻幸運的呀~

Reply
changyang319 2007-09-11 - 15:14:21

謝謝你的誇獎。

Reply
DragonLee 2007-09-10 - 22:11:32

真是實用的新知~您真厲害~ ^^

Reply

Leave a Comment

這個網站使用cookies來改善您的瀏覽體驗。我們預設您同意此設定,但如果您不希望使用cookies,您有權選擇退出。 接受 詳細內容