2 月 1 日 Wave Radio結束,現在 i radio 在 FM 96.3 繼續未大家服務。
徹底的失敗
前幾週在台中已經遇到一台「可以看到安全模式選單」但是「BIOS」抓不到的硬碟,朋友說應該是中毒才會這樣的……廢話,哪個傢伙會沒是把自己電腦搞爆,除了我以外。
試過很多方法,但是安全模式進不去,WindowsXP 的開機光碟也一樣找不到硬碟。但是很神奇的是 SPFDisk 和 Ghost 居然抓的到!沒辦法,先用 Ghost 把資料燒進 DVD 裡在想辦法處理這個硬碟。接下來用 SPFDisk 重新分割硬碟以後,BIOS 居然又可以找到硬碟!然後繼續我重灌+製作還原光碟的步驟,安安穩穩的結束。
這件事讓我覺得莫名其妙,第一次看到 BIOS 抓不到的硬碟可以讀取資料。把經過丟到數位男女上面,結果那邊的回覆實在讓我很不爽,不是 SATA 的問題就是我 jumper 的問題,重新強調一次可以重灌不是硬體問題,他們還是硬說不可能,像是我沒頭腦部長眼睛似的。
回到高雄把工具準備好修那台已經上年紀的 Aspire,結果發現症狀居然一模一樣。這下可好,我高雄這台電腦沒有 DVD 燒錄機,30G 的資料用 CD 備份少說也要四十來片,這還不包括燒錄失敗的部分。
另外買了一顆硬碟來就資料,準備用 Ghost 做映像檔。Ghost 抓的到沒有錯,但是備份過程一直卡死在檢查資料結構,讀了時多分鐘一樣沒有回應。好吧,用第二顆硬碟安裝好 WinXP 當作開機硬碟再試一次,沒想到開機的時候因為 Windows 嘗試要掛載那顆已經中毒的硬碟而停止回應,看來真的中毒中的很深啊。
用開機光碟再試一次,很幸運的進入了命令模式並執行 chkdsk,哈,在 50% 停了半小時。看來這個病毒是針對檔案目錄下手的 (Linux 的 inide?),開機區和磁碟分割區都沒有被損毀。
最後一招,SPFDisk 把硬碟重新分割,果然 BIOS 恢復正常,Windows 開機也順利進入桌面。要讓硬碟能使用當然要先格式化,所以先把硬碟作快速格式化 (完整格式化相當於將硬碟每個 block 都喜乾淨,這樣就完全不用就資料了),接下來就換 FinalData 上場。
過了六小時,FinalData 已經讀完硬碟每區的資料,但是每操作一步就會等他重新讀取硬碟資料等將近十分鐘,最後連 explorer.exe 一起炸掉……。到了晚上十一點,我已經不想再繼續耗下去了,只好放棄資料準備重新格式化。
這次是我修電腦最失敗的一次吧,花了這麼多時間不但病毒沒找到,連所有的資料都沒了,實在是賠了夫人又折兵。不過學到了二件事:第一,重要的資料絕對不要和 Windows 的作業系統放在同一個磁碟分割內;第二,如果硬碟中有重要的資料要銷毀,請記得使用「完整」格式化,不然就請你從網路上下載這支病毒並且執行它。
第一次修電腦修到東西散在地上
八年前的主機板內真的是很擠
風扇直接用螺絲釘所在散熱板上 Orz
I love OIT
哈!趁半夜大家都不在偷偷照幾張。不用擔心,因為手抖所以影像模糊,不會有任何機密資料外洩~
左方有窗子,可以從三樓往外眺望
忙了一天懶得清桌面
不過比我宿舍的環境好多了
BIOS ACPI
ACPI = Advanced Configuration & Power Interface
http://support.ceci.org.tw/directory/worldwide/zh-tw/faq/6485.htm
關機以後不會自動斷電的罪魁禍首………
研究完在慢慢補齊 (這句話打的很心虛 XD)
隨身碟病毒 usbmons.dll kb2006a.exe 解毒
不想看廢話請參考「隨身碟病毒解毒(usbmons.dll、kb2006a.exe)」。
這隻病毒把資訊處搞的雞飛狗跳,從一台電腦中毒,馬上就由隨身碟散播感染,不到一週就有另外五台電腦遭殃、一台電腦重灌,今天不睡就直接跟他拼了!
這個病毒會先在所有可移動式的磁碟機建立一個 autorun.inf 和一個 RECYCLER 的隱藏資料夾(資源回收桶圖示),當這個磁碟機被接上電腦,作業系統就會去讀取 autorun.inf 檔,內容如下:
[autorun]
open=.RECYCLERRECYCLERautorun.exe
shell1=Open
shell1Command=.RECYCLERRECYCLERautorun.exe
shell2=Browser
shell2Command=.RECYCLERRECYCLERautorun.exe
shellexecute=.RECYCLERRECYCLERautorun.exe從上面可以看到這會讓系統自動執行 RECYCLERautorun.exe。執行後就會讓系統感染病毒。
這個病毒似乎是變種病毒,由 Kaspersky 掃毒後得到的病毒名稱是 Worm.Win32.Delf.aj,用這個名稱在網路上查詢會找到一個蠕蟲,特徵是開機時會自動開啟記事本,而且會產生wincfgs.exe、KB20060111.exe二個檔案。但是這次不管重新開機幾次也都沒有看到記事本自動開啟,硬碟任何地方也找不到這二個檔案。
後來想起蘇大哥似乎提到 usbmon.dll 有問題。後來發現這個檔案不是病毒,因為有沒有中毒,再接上隨身碟以後都會出現且 i386 資料夾中也有 usbmon.DL_ 的檔案。
執行病毒以後發現,除了 usbmon.dll 以外還有一個 usbmons.dll (多一個 “s”),丟給 Google 查詢後看到台大 PTT 上也有人用防毒軟體掃到這個檔案是木馬,跟這個關連的還有一個 kb2006a.exe。從 regedit 查詢發現與 USB 有關的如 USB Monitor 的登錄檔全部都有 usbmons.dll 的鍵值,所以開始懷疑是 usbmons.dll 連到 kb2006a.exe 在磁碟機上植入病毒。
將這二個檔案刪除,再把登錄檔修改了以後,重新開機以後接上隨身碟,沒出現 autorun.inf。
所以中毒的話,先刪除以下二個檔案:
C:windowssystem32usbmons.dll
C:windowssystem32kb2006a.exe
(無法刪除可使用 Unlocker 解鎖)
接著點 開始 -> 執行 -> “regedit”,按 Ctrl+F 搜尋關鍵字「usbmons.dll」。應該會出現在二種不同的機碼內。
USB Monitor :Driver = “usbmons.dll” -> 改回正確的機碼 (刪掉 “s”)
OpenSaveMRU :a, b, c … = “usbmons.dll” -> 刪除字串值
接下來刪除隨身碟中的病毒檔案。在接上隨身碟之前,請先關閉系統自動執行的功能!接上隨身碟後開啟我的電腦,在隨身碟的圖示上點滑鼠右鍵 ,千萬不可以直接點二下滑鼠左鍵,選擇「開啟(O)」,不要點選英文的「Open」。進入隨身碟後,刪除 autorun.inf 以及 RECYCLER 資料夾即可。
