close

2007/04/07 更新


最近好像有氾濫的趨勢...
此病毒主要是透過隨身碟而感染的..
而且尤其是沒有安裝防毒軟體的電腦..
雖然我也沒裝 最後還是自己發現的XD...


如何確定中病毒了呢?


1.當妳按Ctrl+alt+del 時..在程序頁面...  有個algssl.exe程序...
2.在檔案總管 工具> 資料夾選項> 切換檢視頁面 
勾選靠近底下 顯示所有檔案和資料夾..按完確定後..  
再來相同步驟 如果中毒的話..那邊又回跳回系統預設 "不顯示隱藏檔案及資料夾"


原文方法如下...
有點複雜..




霆哥重新編輯過的方法

(跟下面的其實是一樣的 只是稍微簡單一點..且..名詞為正體中文)


1.先停止程序 按Ctrl+alt+del 切換程序頁面... 把algssl.exe程序 中止

2.開始>執行 REGEDIT

3.請手動點選左邊資料夾 如下面的路徑...
→HKEY_LOCAL_MACHINE 
→SOFTWARE
→Microsoft
→Windows
→CurrentVersion
→Explorer
→Advanced
→Folder
→Hidden
→SHOWALL  ←這個目錄底下
將右邊的 CheckedValue移除


**詳細位址在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL  **



4.剛才刪除那個位址..新建一個
DWORD
(在右邊視窗空白處按右鍵 新增 Dword)
名稱是
CheckedValue  點兩下 輸入1(不需管幾進位)
  



5.在檔案總管 工具> 資料夾選項> 切換檢視頁面 

勾選靠近底下 顯示所有檔案和資料夾 (此時就可以勾選了..)

刪除所有硬碟根目錄(如C:\ D:\等 隨身碟也會有)底下的autorun.inftel.xls.exe

並且刪除C:\Windows\system32 目錄下的msime80.exe、msfir80.exe


**注意** 切換硬碟過程中 "千萬"不要雙擊進入... 最好由檔案總管開啟..



6.開始>執行
REGEDIT 搜尋msime80.exemsfir80.exe
在同樣位置底下 把兩個msime80.exemsfir80.exe刪除..

或依下面 手動到該目錄 

→HKEY_LOCAL_MACHINE
→SOFTWARE
→Microsoft
→Windows
→CurrentVersion
→Run  ←這邊


位置在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run



7.開始>執行 msconfig   啟動頁面
msime80.exe和msfir80.exe程序都取消(有可能只會有其中一個而已)



接下來重新啟動..
試試看 確認中毒那邊的方法 看看 還有沒有病毒存在



下面是對岸網友的原始教學...


algssl.exe(tel.xls變種)病毒的手動清除
2006-12-22 17:58
       此病毒為tel.xls的最新變種,作為隱藏文件存在於盤符根目錄下。更可惡的是,由於病毒的原因,在「文件夾選項」裡的「顯示隱藏文件」選項無效,這讓手動刪除病毒更加困難。(諾頓、卡巴薩基對此病毒無效並可能被病毒強行關閉)

清除方法:
1、 首先在「任務管理器」中終止進程「algssl.exe」。
2、「開始」-「運行」regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
刪除病毒創建的字符串值"CheckedValue"="0" 新建DWORD值CheckedValue=1。
3、「控制面板」-「文件夾選項」 選擇「顯示隱藏文件,顯示系統保護的文件」。
4、「開始」-「搜索」-「搜索文件和文件夾」-選擇「搜索隱藏文件和文件夾」在每個盤的根目錄中的「autorun.inf」和「tel.xls.exe」都是病毒(徹底刪除,其他文件夾中的不是)。
5、進入C:\Windows\system32目錄,按「修改時間」排序,在後面找到algssl.exe文件以及生成的附屬病毒文件msime80.exe、msfir80.exe。
6、「開始」-「運行」regedi,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run中刪了所有msime80.exe與msfir80.exe的項。
7、「開始」-「運行」msconfig,「啟動」裡取消msime80.exe和msfir80.exe。
8、重啟,清除完畢。



 

 

解決後無法 直接雙擊硬碟...


中毒時 雙擊硬碟槽 無法進入
是因為這種隨身碟型的病毒
會把所有的槽 根目錄底下都植入
autorun.inf 是隱藏檔+系統+唯讀...
所以 你無法看到..

當你用記事本打開會發現他會執行相同目錄下的
某個檔案(也就是惡意程式)
一般防毒只會把惡意程式移除..
原來的autorun.inf 還是會存在者..

注意:下面方法只適用於
1.該惡意程式以被防毒軟體移除或隔離
2.或重灌系統 且尚未點擊其他硬碟
(因為病毒未刪除 一點又會中了)

方法一 (如果你是照上面手動解毒的步驟)

只要打開 "顯示所有檔案和資料夾"+"隱藏保護系統作業檔"
就可以直接看到 autorun.inf 
把所有硬碟裡面(包含隨身碟、MP3、記憶卡等)的autorun.inf 刪除
重開機 應該就可以了..


方法二

下載該問題回覆中的程式
執行就會自動移除了
但是預設只會移除硬碟C: D: E 裡面的autorun.inf

http://tw.knowledge.yahoo.com/question/?qid=1607011306695


方法三 (無法打開"顯示所有檔案和資料夾"請用此法)


見以下的方法(以D:\為例)

在開始>附屬應用程式>「命令提示字元」下
1.輸入 D: 切換到D:\>
2.輸入 dir/a 此時會在根目錄下看到 autorun.inf
3.輸入 attrib autorun.inf -s -h -r
去掉該檔案的「系統」、「唯獨」、「隱藏」屬性,
3.輸入「del autorun.inf 刪除該檔案。

然後 在重複者作 C: D: E:.... 直到把所以硬碟裡面的 autorun.inf 移除
重開機後  應該就可以雙擊進入了..




沒防毒軟體怎麼辦?

目前有很多免費的防毒
霆哥我是沒用過 是否能夠順利移除這種惡意程式
不過 你真的找不到防毒..
那就只好用用看嚕

以下是免費防毒

1.avast! Home Edition
需要用郵件申請註冊碼(免費的)
詳細教學請見 下面網誌作者所製作的教學 
瀟灑-PhotoImpact 12數位照片編修與運用範例

2.AntiVir Personal Edition
說明+教學

聽說超好用的免費防毒..
之前幫學校灌電腦 打算用
但是因為是英文介面..
怕到時候問題一堆




延伸閱讀:

軟體|防止隨身碟病毒-Wow! USB Protector

將kavo.exe病毒完整消滅?簡單又快速的方法 Kavo_killer 3.8

[小紅傘]最新版 Avira AntiVir Personal 8.1 免費防毒軟體

[小紅傘]如何讓AntiVir防毒軟體不出現廣告視窗?(免費防毒軟體)

防止隨身碟病毒的保護方法(PPT)


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 霆哥 的頭像
    霆哥

    沒風格就是我的風格~

    霆哥 發表在 痞客邦 留言(6) 人氣()