最近挺流行的USB病毒kavo.exe
中毒(kavo.exe&ntdelect.com&fly32.dll)和隱藏檔無法顯示的問題
kavo.exe具有唯讀、系統、隱藏的屬性,無法直接找到
並會在所有磁碟機中的根目錄中產生4個檔案
c:「autorun.inf 及 ntdelect.com」
這2個檔案的功能是一直複製自己到別的磁碟中
c:windows\system32「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。
檢查方法:開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:autorun.inf」→按下開啟,有開出東西就代表你中毒了。
接下來要看裡面寫的東西來判斷病毒是那一個,看底下的資料
open=ntdelect.com (可以確定這隻就是病毒)
★:千萬要小心不要刪到ntdetect.com刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這是病毒檔(在第3個步驟就會被刪除掉了)
ntdetect.com 這是系統開機會用到的檔案
接下來病毒的解法:
1.到這個網址下載「DelAutorun-Virus.bat」先執行,可以解決被病毒寫入AutoRun.inf的檔案(算是做個預防工作)。
http://ns2.ublink.org/phpbb/viewtopic.php?p=2072
目地:將所有根目錄中的autorun.inf檔給刪除掉,產生一個名為autorun.inf的資料夾,功能是防址病毒再度寫入autorun.inf的檔案
2.再開登錄編輯器搜索「kavo.exe」找到此機碼就刪除之後才重開機。
[HKEY_CURRENT_USER\Sof tware\Microsoft\Window s\CurrentVersion\Run]
"kava"="懂的人請將此病毒的機碼刪除(目前已不影響系統)"
3.用記事本寫一個批次檔來殺病毒檔,將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「del-kavo.bat」按下儲存後,再去執行這個檔案,病毒就被你殺掉了。
這只是一個快速刪除病毒檔的批次檔。(懂的人一樣可以用手動的方式刪)
-----------------分格線-----------------
attrib -s -h -r C:\WINDOWS\system32\kavo.exe
attrib -s -h -r C:\WINDOW\Ssystem32\kavo0.dll
del C:\WINDOW\Ssystem32\kav*.*
attrib -s -h -r C:\ntdelect.com
del C:\ntdelect.com
attrib -s -h -r C:\WINDOWS\fly32.dll
del C:\WINDOWS\fly32.dll
-----------------分格線-----------------
4.用記事本寫一個登錄檔來解決被病毒影響所造成的問題修復檔。
將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「xxx.reg」按下儲存後,再去執行這個檔案,會問你是否要匯入。
之後就可以開啟檢視隱藏檔的功能了。
-----------------分格線-----------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESO FTWAREMicrosoftWindo wsCurrentVersionExpl orerAdvancedFolderHi ddenSHOWALL]
"CheckedValue"=dword:00000001
-----------------分格線-----------------
5.最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄更好。
只要照步驟去操作就可以解決了!
另外要注意:你的隨身碟現在也是這隻病毒傳染媒體,請小心使用,參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」
★:隨身碟(含:隨身碟、數位相機、手機、記憶卡)插下去時要馬上按住「Shift鍵」不放,用意是防止他去跑autorun.inf,再來是開「檔案總管」再左邊的視窗點選你的隨身碟的磁碟機代號,再來將「autorun.inf 及 ntdelect.com」給刪除(前提是要開啟檢視隱藏檔及系統檔)
kavo.exe這個檔案的就是一直不斷的將你的系統「檢視隱藏檔」的功能給關起來,你要到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
將有kav*.exe的機碼給刪除掉,之後重開機,再操作我寫的第4個步驟就好了!
轉自http://city.udn.com/v1/blog/article/article.jsp?uid=henrytien&f_ART_ID=1209186
中毒(kavo.exe&ntdelect.com&fly32.dll)和隱藏檔無法顯示的問題
kavo.exe具有唯讀、系統、隱藏的屬性,無法直接找到
並會在所有磁碟機中的根目錄中產生4個檔案
c:「autorun.inf 及 ntdelect.com」
這2個檔案的功能是一直複製自己到別的磁碟中
c:windows\system32「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。
檢查方法:開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:autorun.inf」→按下開啟,有開出東西就代表你中毒了。
接下來要看裡面寫的東西來判斷病毒是那一個,看底下的資料
open=ntdelect.com (可以確定這隻就是病毒)
★:千萬要小心不要刪到ntdetect.com刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這是病毒檔(在第3個步驟就會被刪除掉了)
ntdetect.com 這是系統開機會用到的檔案
接下來病毒的解法:
1.到這個網址下載「DelAutorun-Virus.bat」先執行,可以解決被病毒寫入AutoRun.inf的檔案(算是做個預防工作)。
http://ns2.ublink.org/phpbb/viewtopic.php?p=2072
目地:將所有根目錄中的autorun.inf檔給刪除掉,產生一個名為autorun.inf的資料夾,功能是防址病毒再度寫入autorun.inf的檔案
2.再開登錄編輯器搜索「kavo.exe」找到此機碼就刪除之後才重開機。
[HKEY_CURRENT_USER\Sof tware\Microsoft\Window s\CurrentVersion\Run]
"kava"="懂的人請將此病毒的機碼刪除(目前已不影響系統)"
3.用記事本寫一個批次檔來殺病毒檔,將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「del-kavo.bat」按下儲存後,再去執行這個檔案,病毒就被你殺掉了。
這只是一個快速刪除病毒檔的批次檔。(懂的人一樣可以用手動的方式刪)
-----------------分格線-----------------
attrib -s -h -r C:\WINDOWS\system32\kavo.exe
attrib -s -h -r C:\WINDOW\Ssystem32\kavo0.dll
del C:\WINDOW\Ssystem32\kav*.*
attrib -s -h -r C:\ntdelect.com
del C:\ntdelect.com
attrib -s -h -r C:\WINDOWS\fly32.dll
del C:\WINDOWS\fly32.dll
-----------------分格線-----------------
4.用記事本寫一個登錄檔來解決被病毒影響所造成的問題修復檔。
將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「xxx.reg」按下儲存後,再去執行這個檔案,會問你是否要匯入。
之後就可以開啟檢視隱藏檔的功能了。
-----------------分格線-----------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESO FTWAREMicrosoftWindo wsCurrentVersionExpl orerAdvancedFolderHi ddenSHOWALL]
"CheckedValue"=dword:00000001
-----------------分格線-----------------
5.最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄更好。
只要照步驟去操作就可以解決了!
另外要注意:你的隨身碟現在也是這隻病毒傳染媒體,請小心使用,參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」
★:隨身碟(含:隨身碟、數位相機、手機、記憶卡)插下去時要馬上按住「Shift鍵」不放,用意是防止他去跑autorun.inf,再來是開「檔案總管」再左邊的視窗點選你的隨身碟的磁碟機代號,再來將「autorun.inf 及 ntdelect.com」給刪除(前提是要開啟檢視隱藏檔及系統檔)
kavo.exe這個檔案的就是一直不斷的將你的系統「檢視隱藏檔」的功能給關起來,你要到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
將有kav*.exe的機碼給刪除掉,之後重開機,再操作我寫的第4個步驟就好了!
轉自http://city.udn.com/v1/blog/article/article.jsp?uid=henrytien&f_ART_ID=1209186
全站熱搜
留言列表
