為何隨身碟資料夾都變成捷徑了? movemenoreg.vbs

-
最近經常到影印店列印資料,
發現檔案被莫名隱藏了,卻出現一個捷徑。
直覺上我中毒了......
記住不要執行捷徑喔,切記!!

還好先進找到了解決方式。

系統:Windows 7,10
病毒名稱:movemenoreg.vbs

電腦處理方式:(請先拔除usb之後再做)

  1. 先想辦法解除檔案隱藏,進入檔案總管>資料夾選項>點選【顯示所有資料夾與檔案】選項。
  2. 開始>(所有程式or按搜尋)>執行>填入 shell:startup 後按Enter 檢查系統啟動目錄是否有”helper”捷徑,若有代表該電腦已被植入程式
  3. 在捷徑上按右鍵查詢捷徑的路徑(win10叫做開啟檔案位置),會找到一個WindowsServices的資料夾,裡面會有3個vbs所寫的檔案,將檔案刪除即可
  4. 重開機後再去啟動目錄(上述的方法)砍掉”helper”捷徑

隨身碟處理方式:

  1. 先想辦法解除檔案隱藏,開啟【顯示所有資料夾與檔案】選項
  2. 在隨身碟中應該可以找到名為 _ 的資料夾,將裡面資料複製出來。
  3. 格式化隨身碟,或全部刪除。
  4. 將剛剛複製出來的資料再複製回來隨身碟即可。


【資料來源】https://www.crosslink.tw/topics/15761

這個網誌中的熱門文章

如何檢查電腦是否中了後門程式

-
由於各家防毒軟體都不能及時檢測出所有後門程式,因此我們可以透過以下方法來作自我檢測。 請將您的電腦重新開機,全部開機程序完成後,務必立即進行下一步驟 (不要做其他任何上網動作) 請點左下角[開始],[執行],輸入: cmd 進入<命令提示字元>系統後,輸入: netstat -no 此時會出現相關網路連線的列表清單,看看有沒有沒看過的,比如出現GOOGLE相關字樣的,應該可以放心,因為他可能是GOOGLE網路服務的連線而已。 Local Address:表示電腦自己本身的IP Foreign Address:表示您的電腦連到那兒去了 State:表示目前的狀態 PID:表示電腦啟動該程式的序號 如果出現可疑的連線時,例如:IP為66.249.89.99,則請輸入: tracert 66.249.89.99 (要記得空一格喔) 。 等待結束後,最後一行就是終點,我們可以由最後幾行看出那是連到那個國家或那個網站了,再判斷是否有危害性。 如果是我們熟悉的或我們有安裝的軟體,就不用擔心;萬一我們不知道它是不是被人家植入後門程式,該如何查呢? 請記下它的PID,再對照<工作管理員>的PID,然後把該程序終止執行,順便把檔案名稱記下。 用系統的[搜尋]功能,輸入剛剛記下的檔案名稱,尋找出來後,再把它更改名稱,重新開機即可。 如果有兩個以上名稱相同時,則使用GOOGLE搜尋,爬文看看要如何處理, 原則上相同檔名,儲存容量及位置也不會一樣的 ,請耐心處理。 【參考資料】 http://www.360doc.com/content/10/1024/17/163794_63615695.shtml
閱讀完整內容

Putty 白底黑字設定

-
用了幾天的Putty,黑底白字還不錯,不過綠字、藍字就真的是給他很不清楚, 年紀大了要凑近了才看的見,於是想更改成白底黑字的畫面... Putty--> Window-->Colours-->General options for colour usage 勾選 Use system colours 存檔後,再用Putty登入,就成了我要的白底彩字畫面了, 還不錯,比以前黑底看起來顺眼許多。 【參考】 http://zhwsh.itpub.net/post/7917/470161
閱讀完整內容