cacen

建議中毒電腦別連上網路。
! r, F8 t! H* d+ D
# j' X6 ?/ w, o9 i用金山衛士？ 不是吧， 中毒了連explorer， task manager 都進不去怎麼安裝軟體？
, e: G8 {. I5 i1 q: `2 Q如果safemode，還是repair 界面進不去的話， 那該用光碟那一招了

dkcapital

0 w( e5 l, n/ O( w6 R1 G" g$ f
, [  U3 F, Y% |/ e3 q0 ]回復 11# sanmartin
8 X3 w0 Z7 \0 W; x& G2 ]* h) m3 Z8 i4 d& g; `) M2 S: ^# Y
這裡有提到多種方式 - 包括一些常用掃毒程式7 Z3 v, a1 Q* m6 [8 I: ~6 \
The ICE Cyber Crime Center – Virus Removal Guide
, H! o+ ~9 C+ Qhttp://malwaretips.com/blogs/ice-cyber-crime-center-removal/- f6 u& P1 N, I9 j! ]- d

, o+ [9 _5 W/ O, }( q9 E其實就用我上面提到的這個網頁的指示去做﹐8 c3 r7 {2 g" M: ~
Option 1 - 用第一個方法﹐系統還原操作﹐他的截圖是 windows 7﹐就跟你的貼圖一樣。
' |! `- t# @- W看過他的流程無誤﹐惟系統還原日期要選擇在中毒之前的日期﹐若不清楚什麼時候中的毒﹐# a  D* Q& I. o. x
就把日期挑遠一點﹐譬如說上個星期。
. K9 H8 ?# E0 N* A9 C, O. y( J3 I: u. z% i
系統還原不會丟失你的資料﹐所有資料仍在﹐就算是到病毒發作前的都會在﹐) l, Q( b7 \. c0 o8 r4 W
它還原的只是 windows 7作業系統﹐病毒程式就是改變了系統﹐才綁架了電腦的對外聯絡。4 f& E5 L* \3 C( S/ E  U8 n8 H$ Q/ S
我使用過這功能不少次﹐很確定是如此。
0 y, r% J1 g6 S$ a/ k/ o$ y
5 P6 d7 a. T' h: j, o0 ^/ y' r
. @! e$ J* g! j+ s: j) |你選用的是'Repair your computer'﹐(這個我不推薦﹐不用去浪費時間了)% B: e# \4 p- t! b# x
你的第二張截圖的意思﹐是要你選擇如何開機﹐依序是 -
! C7 \1 j/ [. o1 ~5 e, j' c(1)用光碟開機 - 這要有專門的開機光碟﹐就算開了後﹐還要再做一些選擇 ....( r/ @. Q* Z4 k, B* M) G6 E
(2)用硬碟開機 - 這是廢話﹐既已中毒﹐開出來還是綁架畫面。$ d* L2 [  C7 `! u* o
這修理方法﹐我試過很多次﹐浪費了很多時間﹐沒一次成功﹐& f3 }9 n( S- Y( f: Z  }
(過程中還有很多步驟﹐就不詳述了)2 j* \7 w+ a7 m; y  k* l3 g" I" V7 Y8 [3 P
我曾正式上過課﹐是考取證照的電腦修理工﹐尚且如此﹐何況是一般使用者。
) @9 w# o1 e# o9 H! P- {0 y這方法我還沒看過成功的例子﹐網路上很多只是轉貼﹐並不代表都有效。" x6 T. K, c+ H! v, x* A
雖然我是XP﹐ 但 7 應該也不會進步多少。
* n* t2 b: S1 a1 G" G4 `* v; Z3 Y+ P! Y

2 h6 Q8 ?% H. H# m如還有問題再貼出來研究。

sanmartin

回復  sanmartin 1 [" e$ g+ B* u4 Q

3 N; J% y) ?; K4 F; e  z這裡有提到多種方式 - 包括一些常用掃毒程式
. f7 g" H- T% p9 [  H# Q4 b+ }The ICE Cyber Crime Center – Virus R ...  x) j% E: M2 S, B* @
dkcapital 發表於 2013-8-3 06:09

+ g, L% e  P( {$ }

) F# Y. w$ ?: e% i
7 F: x: Z- J0 l6 T3 c    Option 1 - 用第一個方法﹐系統還原操作﹐他的截圖是 windows 7﹐就跟你的貼圖一樣。, B" r3 F  w" Y5 X: ]! E
) |; p1 ~1 T# r4 {看過他的流程無誤﹐惟系統還原日期要選擇在中毒之前的日期﹐若不清楚什麼時候中的毒﹐1 B4 a9 L+ }3 i  f2 G2 x; }+ J1 `5 g  n7 t
就把日期挑遠一點﹐譬如說上個星期。& T9 L2 {* I: C, g9 y1 u
1 _( ^& A/ f$ S3 y1 B3 |7 Z5 O/ h; M8 ~0 P
! w1 u% E* d; O3 F8 Z
5 E7 O/ F% H" L* c& y
現在我根本進不去下面畫面的第二個, 去還原日期....昨天搞了快3小時還是沒辦法 ....而且昨天我們網站有問題...進不去
) M$ |, N) K6 j, X% {0 P% Z; g5 q* @
$ t' i  @; P" j) @( E! o
3 b* S" ]; u" L& C

下載 (96.05 KB)

2013-8-3 08:30

+ T9 x2 o$ k& ?- g( |) j7 l, H+ w" q# p+ c* G# u, j
如果safemode，還是repair 界面進不去的話， 那該用光碟那一招了
9 V) T; d9 C0 b# n* B! }6 q4 C / {6 `' d3 M5 z: m( s( a
這招聽起來很難...看來我拿去修理好了

dkcapital

回復 18# sanmartin - l8 J$ A' Z$ s  c( \6 Z
# T/ T1 P$ ^* A' M% z
那個顯示字不是要完全一樣的
/ p/ V0 N$ g- {+ p! P5 V. m4 w- j1 Y
這個選項有吧 ﹖9 T$ K% U$ ]( b; m
Safe Mode With Command Prompt >> 按 Enter 鍵5 p3 k9 g9 l& s/ ~* {7 J
4 }- @+ i: F. j4 @2 P% X
到下一個畫面是
+ S  E8 B6 o) L8 [/ l# n1 pC:\Users\MalwareTips> rstrui.exe (然後Enter)1 L$ {" v9 H5 \- {5 V2 n
  ~$ i6 j# i% s! L
這個紅字部份不需要相同﹐那是他的電腦設定使用者名稱﹐3 z  r: J3 l& e4 Q4 ~* s( Q: [( T
你的電腦顯示出來的是你自己的電腦設定名稱﹐
) a" W; J) p- `主要是在後鍵入藍色的執行指令﹐那就是 windows 7裡的系統還原程式執行檔。
6 l% H4 N5 E' K' Y+ R* U3 f5 x
* W* r- k8 u& F( G7 z: c2 b! |在這部份有問題嗎﹖ 出來的畫面是什麼 ﹖

dkcapital

我剛才模擬了﹐它確實找不到執行檔案﹐正在找原因﹐會盡快反應。

dkcapital

, ]* E4 z/ q$ b- r: E; L/ {

' u1 n0 x' j# Z. m$ M$ Y應該是還原程式位置不對的問題﹐我找到了系統還原檔案位置﹐
& H  I  o9 I5 M- A並剛演練了一遍﹐在我的XP上是可以的。2 O# p7 f5 c; Q2 y/ F& {! H( B/ \4 M
# }) s) F" `: N* c+ \
你試試看 >>, W) a( V# }. d; x) i+ y3 w
- [, o3 i  B, o2 r3 T* Z
F8 後出來選項' I4 s8 m$ [3 y. J- S# U
Safe Mode
1 Z9 W  T7 z2 P/ b$ USafe Mode With Net working  (我用了這個安全模式﹐現在還是在這模式回帖)
7 o  I/ m9 y. u: W  [/ ~3 P3 n# s: h' s0 Y8 k
而後是安全模式的常態畫面﹐主要是要找到你的系統還原程式在哪裡﹐找到後跑這程式就可以出來了。4 I: D- S5 e) `1 k, q& o
我的程式位置是 >>    %SystemRoot%\system32\restore\rstrui.exe
+ ?3 L& q/ D  `$ w然後我 copy 到 Run 上去跑就出來了。
$ t( I6 f- t% u4 y

下載 (21.61 KB)

2013-8-3 10:06

) X7 f  \9 E" I0 E$ a# o! k, q# M( x1 e# A& L! ^

下載 (18.15 KB)

2013-8-3 10:06

. E: c4 _2 ?8 R4 C/ c9 L3 X% T
3 }5 T0 n& p. P. e$ V( W

下載 (16.67 KB)

2013-8-3 10:06

dkcapital

6 W1 F. Y  J  J+ e, h# g
( f! U' T4 E( M+ |6 n+ W  ~6 K( @如何找還原程式位置 (這是以我的XP做參考)* C3 G" s# j( }4 x/ g

3 j- z8 i1 [, f# J1 b9 v1 C

下載 (95.62 KB)

2013-8-3 10:19

8 O" K. S6 _+ I) t4 IAll Programs > Accessories > System Tools >
0 w* F3 H1 y9 J3 D3 S+ r0 gSystem Restore (按右鍵點﹐出來選單﹐點選最下面的Properties)3 P8 F& N, `3 z

1 j; \. |1 A' N# H3 K2 F0 R4 y
! s2 m4 L! J% x, k6 E4 m然後就出來下圖 -( b0 e& d! }1 I6 x5 v0 K
上面紅圈是系統還原程式的檔案位置﹐+ q+ C* J( n- T% V$ H! J' S

下載 (34.8 KB)

2013-8-3 10:26

: f5 U9 d. J; c$ }  K1 N

, H2 l0 k6 Q4 T5 D3 ~還有一個簡單的﹐就是雙擊上圖下方紅圈內的哪個 >> Find Target7 |# N- u) v7 t! o: Y, X' J. i$ q
就會直接開那還原程式所在的文件夾﹐點選執行 rsturi.exe 檔案就好了。" u1 t+ y. K$ V# B

下載 (31.45 KB)

2013-8-3 10:36

dkcapital

看到聖馬丁下線了﹐不要是等不及拿去修了吧﹐版上哪位同學可以及時聯絡上他﹐
* T$ m$ g/ o* P$ j請他先試一下我剛貼的方法﹐以免浪費時間及金錢。

cacen

! H3 x6 j. q  l2 V& J2 P) \& p" k
: N  Q* k, j2 m2 @& r
回復 23# dkcapital
0 |* E# R4 a0 a: i8 p大， 要是進不去safemode的話那些沒辦法， 有的病毒會刪掉safemode的一些configuration...0 e2 r; z) n- S% J2 b
restore 的話我就不知道了
+ I( S9 c5 M0 }( o# J
5 A5 k# |: U* U3 H9 F4 M3 ^- n回復 18# sanmartin , @1 K5 T% f) A0 d
其實也沒那麼難....
2 \7 D8 J1 R* x7 {- A. U! |這就像是弄一個bootable cd
' i; E' E# G9 k! C% W9 `5 h下載 http://www.surfright.nl/en/kickstart or https://support.kaspersky.com/viruses/rescuedisk
6 w' d; s: k  d5 Q選擇32BIT 或64Bit的， 用imgburn 還是nero 一些軟體製成cd5 L- Y. e" W4 v8 r2 X: n5 h' o
然後光碟放進電腦裡， 開機就選則cdrom
: C4 o$ L! v5 y) [* N% Z7 L& V(應該需要連上網路下載病毒資料庫）
' w- e" W. H, H然後就掃掃掃， 等等等。

sanmartin

F8 後出來選項# u4 I, Y. E. @* o# I6 R
6 a0 n0 d; K5 B9 b+ G9 A* RSafe Mode/ w( {6 o& \2 g
3 t2 X% V7 g2 RSafe Mode With Net working  
, a5 u$ _6 ]' F, i" x) Z# }# P
1 T/ s$ X. N4 D! k: N2 {- p我進去safe mode 後...就又跳到選使用者的畫面....
( j0 p3 E5 N- k; Z3 T. i3 _! o% \( h$ `4 I& j4 \
無法進入C:\Users\MalwareTips> rstrui.exe

sanmartin

Safe Mode With Net working  (我用了這個安全模式﹐現在還是在這模式回帖)# }+ L# Y7 C9 `5 H8 F2 d1 Y
我按上面後它就直接回到開完機要選使用者的畫面 (我有2個使用者,其中一個就是中毒,另一個使用者仍可用....但資料都在有中毒的那個使用者那邊)
$ A- q( C: H1 l! r
' P4 `. t% o: X* s* g; e6 d+ e4 S" o- V3 i而後是安全模式的常態畫面﹐主要是要找到你的系統還原程式在哪裡﹐# T3 F2 W2 Z" H3 M
如何找咧???

cacen

8 \3 K" n* ^/ U, m
: J) `0 c0 T6 X8 e  ]回復 26# sanmartin
. {' F1 ~$ h+ g+ z& y5 O7 I" G這個可以登錄的是 administator 帳號嗎？+ E4 b- W4 ^/ G  n
4 F) T. x: c& m+ ^
如果要用restore的話+ _, M: y1 z% t$ x" j5 N( x( x
直接 Win + R 後打 rstrui, Enter

dkcapital

- s  @3 ?- Z: Y. I: f# \- m% _

1 A+ ?# E7 H  a0 f. z回復 26# sanmartin 1 }7 }8 V5 l/ c& i* x$ @& F
5 k! ?, d0 P8 Y, o3 |3 U, R
安全模式的常態畫面﹐主要是要找到你的系統還原程式在哪裡﹐如何找咧???. W% u8 z( [$ O" p

& @- X) q) E+ L2 d. p1 p' k/ }$ A. d" n& ]
先找到C盤  點Search 得下圖5 D* ^5 X/ k& V, u9 G1 U) \

下載 (20.25 KB)

2013-8-3 12:27

& q1 ?# D4 ]% s9 G

! i. `7 L( _, ?# `/ s( @& |5 N- W: r* _: x0 L+ W5 t2 W
選 All File and Folders
1 K) }! A- P! N. m  ^

下載 (15.76 KB)

2013-8-3 12:27

( P4 u3 F& P+ C2 h4 E( T3 @! D# `* ?1 Y' D; ]# P1 j+ A

0 F& M0 H5 `- b7 D1 `7 f3 o打入rstrui.exe0 Q' i* Q4 E4 D& d: t, W

下載 (16.46 KB)

2013-8-3 12:27

) H" }' E2 h- C# p, [* C8 |
& P* e  p7 U& {

& M4 ]7 a+ S: {# _8 n' U8 q( a得到還原程式位置﹐直接雙擊打開
0 ~" d( i1 G- L% }& Z- x; @要開第二個 system32\restore 那個 ! V" P, _: z  [4 q9 y. _5 f" ]

下載 (40.64 KB)

2013-8-3 12:37

sanmartin

我的電腦的system restore 好像不一樣咧...無法找到restore system 的 property
9 Q+ o$ l4 T# e
+ ^! I) {+ _+ c% E7 q! k' o" n5 Q* r& U# U6 U& C1 Q+ d

下載 (229.01 KB)

2013-8-3 12:37

8 _4 b$ z0 X& A- `

# W/ f5 k1 c- D9 X, m2 q" B4 K# h- D+ O$ c7 e( G1 A! g) P

下載 (304.04 KB)

2013-8-3 12:39

sanmartin

回復  sanmartin
. }6 i) Z+ d- t" {這個可以登錄的是 administator 帳號嗎？  U# f  t  s0 n1 R- t. }8 B& f

0 y. J1 Q6 O6 Y- Z如果要用restore的話& h# }5 a2 Z, U, P0 r
直接 Win + R 後打 r ...
- Z7 x/ {* u+ C6 O' ?( @cacen 發表於 2013-8-3 12:05

$ H  A: U6 g/ X0 [2 t& y4 M1 `) N3 B( L9 U& z8 V
, x& K9 V2 N( C/ W' [2 n- \& d# w
   2 w+ E; q6 b/ C( V" s回復 26# sanmartin ) E% Z) @" _! F* k$ u2 o- V! b+ \
$ n. m7 ]. g- f! ?$ x! ]" x這個可以登錄的是 administator 帳號嗎？; b" D5 |% a6 ?( z2 E
3 R, m3 q3 U+ T0 ~& m/ K如果要用restore的話
' }" |6 `! \8 \! b2 ~4 P. X直接 Win + R 後打 rstrui, Enter) h) y- X/ L9 e" g* Z

5 O. Z8 q% p; ~! J8 z用cacen 的方法.....也是如下圖....我用的是沒中毒的帳號(我的管理者的帳號是中毒的那個帳號)
9 Z/ s% F, W  W: Z

下載 (189.66 KB)

2013-8-3 12:43

2 I8 x& s+ ]; K