昨日朋友來電求救~
說一進入Windows系統後,只剩下黑畫面與底下工作列
其他東西都消失了@@|||
好不容易利用遠端連線進去後,一看到就暸解了
又是這極可惡的流氓程式,一但被下載進入系統
會把所有檔案+目錄全部隱藏,還把工作管理員禁用
不給刪除這執行中可惡的程式,真的是很賤的強盜程式
看設計,應該是被設計成乖乖付錢後才會幫你把系統恢復回來
至於沒把網路系統停掉,是方便線上監控+連絡吧= =” (不然怎付$$)
如果有人不小心中了,也不要太擔心,其實這東西並沒有很強
只是恐嚇使用者說系統檔案故障,要回復才行(其實根本就沒故障)
中標畫面~
會一直出現恐嚇的錯誤,說系統延遲寫入失敗
Windows - Delayed Write Failed
不過這只是另一個程式做出的假訊息~
如果點擊右下 或是左下有個Windows 符號(白底的Windows 標誌)
就會出現底下主畫面,基本上我是不想理+分析裡面有什麼功能或是作用
因為最後一定會出現要怎付$的訊息,這是被侵入的第2個程式(上圖是第1個)
因為朋友急著要用裡面某個檔案,故直接拆硬碟接到正常電腦上去讀取資料
去除隱藏屬性後,其實裡面東西都沒動啦~ 請安心
不要急著洗掉重裝系統唷~
順便查了一下那些低級惡劣程式放在哪~
其實只是很小的2個程式,猜測應該是使用者進某些網站後,
點擊了某些視窗訊息之後,就被強制載入執行嚕
本次拆機主角 微星 MSI 的AP1920 AIO 主機
這機器的硬碟+記憶體真的是世界無敵好換的~
外蓋板螺絲2顆~硬碟螺絲2顆,就醬
比起之前Acer EZ1600 真的是天壤之別~
心得:
這可惡的強盜程式已經看到第2次了,如果系統不幸被侵占了
請不要重裝或是回復系統,只要處理一下系統就會完全恢復正常嚕
處理建議:
最好是拆硬碟接到別部正常機器上去處理比較快。因為全部檔案+目錄屬性都要重新設定
又直接刪除那2個檔案就可以,但原系統登錄檔(registry)很多要復原
至少需解除:1.工作管理員禁用 2.桌面禁用 3.桌布禁用
才能恢復桌面項目正常使用,但快捷列資料會被強盜程式清空,所以沒辦法恢復了
只能自己再把項目加回去嚕~
2011/10/25補充:
最近這隻還滿氾濫的= = (程式還會亂變檔名)
目前已經處理完 4部可憐的機器了
整理了一下必須刪掉的系統登錄值, 底下4項目刪掉就會恢復正常
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"HidNoChangingWallPaperden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=dword:00000001
又之前說快捷列會被刪掉, 後來發現連程式集很多都會不見
不過後來認真去查, 其實都還在, 只是被那賤程式偷移動到別處嚕
原來安裝到系統"所有使用者"的程式集
C:\Documents and Settings\All Users\「開始」功能表
都會被偷移動到底下目錄, 只要搬回去就好了
C:\Documents and Settings\"目前使用者名稱"\Local Settings\Temp\smtmp\
此目錄底下至少會有2個目錄, 1 個是上面系統"所有使用者"的程式集
一個是快捷列的內容~~~
...我有預感以後還是會繼續遇到這個討厭東西
喜歡我文章的朋友,歡迎給我意見和迴響。
按推或讚或廣告的朋友,也是對我小小的鼓勵。
分享 (3)
板大您好,我家電腦昨天也中標了,不知您有在幫人維修嗎?(付費的) 我住台北,非常感謝^^
是可以啦~ 只是由桃園上去 費用算起來比較不划算(對您而言啦) 如果不是很必要(沒甚特殊程式或是其他不能重裝的理由) 不是很建議這樣,畢竟外面??店 重安裝系統比較起來便宜很多唷 ^^"