隨身碟、隨身硬碟,反正最近這類方便的管道使得病毒到處流竄,快得很!
前一陣子,突然發現在公司電腦的隨身碟打不開,一直出現要你選擇開啟程式的軟體‥
上網查了一下,反正是有關於『ntdelect.com』和『autorun.ini』兩種挖溝的病毒,
稍微介紹一下,它是一隻變型的木馬,會主動要求執行,並且將自身設為隱藏,
中招的電腦,將無法正常開啟硬碟、資料夾等,要求選擇正確的程式開啟。

除了會上述這些症狀以外,電腦會變得很慢,最近還會出現使得即時通連不上線‥而且防毒軟體通通掃不到!就算找的到也刪不掉~總而言之,有毒就該殺!無意間殺完毒後,電腦變好快!哈哈~
原來差別 這 麼 大~
看了YAHOO公告,這個新病毒叫做Kavo病毒‥

2008/02/14 新增內容這邊分享的方法,對於第一代kavo病毒是有效的,最近kavo又有新變種,所以找了網上得方法,新增了另一種解法(附檔案下載)
有興趣的朋友也一併看看!:)
點我前往:kavo又有變種了! USB隨身碟 蠕蟲病毒清除精靈1.2.0.4(Kavo專殺)版 <新增>


若有上述狀況,以按以下步驟以快速清除此病毒(建議先用解法二,再用解法一)。

其實之前也有對於Autorun簡單的解決方法:
掃乾淨的磁碟中,設一個資料夾,名字取成AUTORUN.INF,這樣就可以解決了。
也就是利用簡單的檔名重覆使得病毒無法作用,而且資料夾不會再被病毒被覆蓋。
不過這樣掃不掉其他的,解完之後,雖然硬碟可以開了,但是電腦的速度完全沒差別!
而我只用了解法二,就已經贊到不行,電腦真的變好快‥大家也掃掃吧!掃毒速度也很快!
只要有用任何隨身碟,幾乎99%我遇到的電腦都是有中毒喔!
 

解法一

一、下載del_kavo.zip後解壓縮。

二、裡面有三個批次檔DEL_AutoRun.bat、解kavo步驟1.bat、解kavo步驟2.bat,其中DEL_AutoRun.bat執行後會自動清除磁碟機內被病毒寫入的autorun.inf,並產生一個autorun.inf的資料夾,以防止病毒再次寫入(參考隨身碟病毒免疫的文件)。

三、主要需先執行【解kavo步驟1.bat】,此步驟會:

  1. 刪除磁碟中的autorun.inf及ntdelect.com的病毒檔
  2. 建立名稱為autorun.inf的資料夾,防止病毒再度寫入

執行完畢後,請重開機

四、開機完後,執行【解kavo步驟2.bat】,此步驟會執行:

  1. 將登錄檔被鎖定的隱藏檢視功能開啟
  2. 刪除kavo.exe的病毒主程式

五、執行完畢後,請開啟您的防毒軟體,將系統全部掃毒,以防止有其他未被發現的病毒執行!


解法二(最簡單):

一、下載EFix.exe

二、執行前請先將所有程式(如word、瀏覽器…等)關閉掉

三、執行(按二下)EFix.exe,電腦畫面會消失,並僅會出現下列畫面,表示程式已在尋找電腦內有關KAVO.exe的病毒檔

四、若您的電腦之前有執行過【解法一】中的del_kavo.zip,因為此程式會在各磁碟機建立一個autorun.inf資料夾,以避免病毒寫入,故【解法二】的程式會偵測出並誤判,然後會出現【C:\autorun.inf\*,您確定要執行嗎(Y/N)】,請填【N】,因為此autorun.inf的資料夾已被解法一的程式改為唯讀了,您填Y的話,也無法刪除的。

五、直到最後出現【請按任意鍵繼續…】,即程式執行完畢!

六、完畢時,會出現一個掃毒的記錄檔,供高手參考用。


 解法三(限高手):

一、關閉系統還原 -> 不知怎麼關閉看http://support.microsoft.com/kb/310405/zh-tw

二、使用Hijackthis選取下列項次修復 (數字項次左邊打勾後按Fix Checked),04項看到kavo或kava就選取他按Fix checked

三、下載OTMoveIt ,或原始網站http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

四、複製下列文字
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo.dll
C:\WINDOWS\system32\kavo0.dll
C:\WINDOWS\system32\kavo1.dll
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
C:\ntdelect.com
D:\ntdelect.com
E:\ntdelect.com
↑有幾個硬碟槽,就複製多少(X:\ntdelect.com)
注意:是ntdelect.com不是NTDETECT.COM
刪錯了就會再起不能....

五、執行OTMoveIt主程式,並在左半邊視窗按右鍵選貼上後按MoveIt!

六、系統要求重開機就重開

七、另外,再分別到各磁碟下把它自動生出來的autorun.inf給殺掉

==================================================================
備註:開啟隱藏檔的辦法:
若開啟隱藏檔功能無法運作,請修改登錄檔
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\
\Folder\Hidden\SHOWALL下,
字串(DWORD)值Checkedvalue設為1


-----

薇朵兒❤朵貓貓 發表在 痞客邦 PIXNET 留言(0) 人氣()