2009年7月30日 星期四

還原系統到EFix執行前的用法

這兩天有看一下,似乎有些人執行時還是有些問題.
雖然說不見得是EFix造成的,但我想一般都會以結果論來看吧.

這邊先提一個重點,在您執行EFix要清惡意程式的同時請不要忘記了,惡意程式他正在執行...
天曉得這惡意程式會有甚麼樣子的動作.

像之前所碰到的每個月3號和18還28號刪D,E槽全磁碟資料的惡作劇惡意程式他就是這樣幹.
當中這東西到了每個月3號的時候,就開始刪除D槽E槽的所有資料
刪除完之後再建立一個autorun.inf檔案以及,.exe檔案
此時D槽E槽就只剩下這兩個檔案...
而其中,.exe被刪除之後在使用者要開啟D槽或E槽的時候
就會出現磁碟點不開的情形,因為autorun.inf找不到所需要執行的檔案
所以使用者就會開始找軟體想辦法解決,而找到這裡或者是其他的一些清除軟體
然而執行完畢後autorun.inf刪除了,但使用者一開啟了D槽或E槽後發現
奇怪怎麼我的資料全部被刪光了?

而這時就會產生幾種情形.

1.使用者認為病毒砍了他全磁碟資料找復原軟體 (O)
2.使用者不知道發生甚麼情形以為他自己幹了啥事刪了全磁碟資料 (X)
3.使用者認為是EFix或者是清除軟體刪了他全磁碟資料 (X)
4. .......直接罵聲幹作清除軟體的人不得好死這一類的...

但前面病毒流程我已經說明了,而在這病毒剛出現的時候
很多人跟我反應為何執行了EFix之後發現他D槽或E槽資料都不見了?
有人還說小心路上不要被他碰到等等的...

連部分的解毒老手一開始也沒辦法得知這惡意程式的動作進而跟我反應說會刪除全磁碟資料
後來找到一個協助者取得了樣本後才知道原來那病毒會這樣幹...

那一段時間黑鍋可真的是背很大0rz
這是往事....就不管他了.

這邊提重點

如果說你覺得執行EFix後的結果讓你不滿意或者是覺得反而問題更多的話
您可以使用EFix裡面所建立的幾個還原方式去還原到執行EFix之前的狀態.

總共是以下兩種方式:

1.Windows內建的系統還原
首先如果你是第一次執行的話,假設你系統中的系統還原有開啟並且能夠正常動作
此時EFix會建立一個系統還原點,在當天第二次執行之後就不會建立了.除非又隔一天
而系統還原要怎麼使用?

按開始 -> 程式集 -> 附屬應用程式 -> 系統工具 -> 系統還原
點下去之後他就會有相關的還原選項讓您選擇
此時請注意EFix還原點名稱為EFix Created Point
如果只是要回復到執行EFix前的狀態,就請找這一項還原即可


2.登錄值備份和檔案備份

基本上檔案備份就看最後產生的報告為主
EX:
EF刪除的檔案備份位置列表:

C:\Windows\System32\kavo.exe => C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir

像這樣你就可以去找
C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir這檔案
將他複製到c:\windows\system32資料夾後,再將後面的副檔名.vir去掉
這樣檔案就回去了

而登錄值呢?

登錄值的話請你找C:\ef_backup\reg\erunt這一個資料夾
裡面有一個程式叫作erdnt
在執行他之後他會跳出視窗
請全部打勾之後在按下OK,該程式會要求您重開機
重開機之後登錄值就還原到最後一次執行EFix之前的狀態

以上這兩種方式為EFix對系統檔案的備份方式.
程式本身雖然在我這以及我周圍的電腦上面測試過都沒有太大的問題
但我並不能保證每一台電腦在執行上都不會有任何狀況,畢竟這變數太大
所以作這兩個還原方式讓系統有機會能夠還原到執行前的狀態.

只是現在的病毒....請自己多小心吧.
資料該作好備份和系統安全的部分就多加留意