八月中的某一天晚上,我正在上網瀏覽網頁的時候,突然有一個sidebar.exe (自windows/TEMP)跳出來要求使用者允許執行,不管怎麼按“否”都還是會跳出來詢問。事後想想應該就這個軟體有問題吧。
五分鐘後,跳出Windows自行修復的程式(英文),顯示系統有六項致命的錯誤:
*Hard drive doesn't respond to system commands.
*Boot sector of the hard drive disk is damaged.
*Read time of the hard drive clusters less than 500ms.
*Bad sectors on hard drive or damaged allocation table.
*30% of HDD is unreadable
(圖片取自網路)
其他症狀還有:
*硬碟內容看不到,其實是被設成隱藏檔
*因此桌面也看不到各種捷徑,桌布一片黑
使用外接硬碟備份C槽,外接硬碟也受害,檔案看不到。
最恐怖的是關機後,外接碟還會發出喀喀聲 (讀取頭一直跑??),嚇得我連第二顆內接硬碟也拔掉,只留系統碟來修。(怕硬碟被病毒的頻繁讀取操到爆。)
外接硬碟接上筆電,檢查災情才發現不是檔案消失,是變隱藏。因為我個人習慣資料夾顯示副檔名以及隱藏檔案,只有系統檔隱藏,一讀取硬碟就看到檔案了。
由於剛剛跳出來的sidebar.exe很可疑,先朝中毒方向處理,使用小紅傘掃毒。沒想到掃毒十分鐘左右,各種系統錯誤就再度跳出來,放著不管繼續掃毒的話,最終會由於RAM使用率飆高導致系統重新開機。
在電腦重開機三次之後,我就放棄掃毒,決定重灌了。
此時硬碟已有40%無法讀取。
事後想想,這些症狀應該都跟病毒大量修改檔案屬性有關吧。
***
既然知道檔案沒有受損,只是被改成隱藏檔,重灌前當然要來備份一下。
現在Windows沒辦法撐過30分鐘,在Windows系統下進行備份也會因為RAM使用率過高而重開機,只好更換作業系統進行備份。
我使用的是我比較熟悉的Ubuntu安裝光碟,光碟提供暫時安裝在RAM裡面試用系統的功能。使用臨時系統開了電腦,把硬碟的檔案備份出來。
(也可以選擇拆硬碟到別台電腦,但要注意感染擴散的風險。)
這時候發現系統順利運作,顯示硬體方面(RAM跟硬碟 )沒有問題,確定是中毒。
剛好最近也覺得C槽有點滿,重灌的時候順便改變硬碟分割。
重灌前:160G硬碟:系統+P2P、640G硬碟:資料儲存
重灌後:160G硬碟:P2P、640G硬碟:系統、資料儲存
重灌完,硬碟格式化,安裝小紅傘後,小紅傘一直跳出說sda0的MBR(主要開機磁區)有毒,選清除也沒反應,無法殺毒。(我不確定如果重灌在同一硬碟上會不會蓋掉MBR內的病毒)
至少知道了病毒是BOO/Tdss.D
上網搜尋同症狀的問題(磁碟內容被隱藏+TdssD in MBR),得到:
討論區上的人是教他安全的做法(貼log給板友幫忙判斷,以免誤殺)
我抓了上述的卡巴tssd removal tool,跑完重開機讓他修正就解決了。
***
這次重灌弄了兩天半.....
安裝win7大概只花了一小時吧。
其中有一天半是在備份檔案跟存回去,
(還好最近買了1TB硬碟,有充足的空間備份;只是USB2.0不夠快)
剩下一天是在跑windows更新,為什麼不一次跑完啊…
重開機了好幾次還有更新= =+
