asus710708
一般會員
積分 336
發文 32
註冊 2006-8-2
來自 德國
狀態 離線
|
#1 〔求助〕硬碟不能開啟???
請教各位大大..
我發生了一件很奇妙的事情..
剛剛要開啟我的硬碟..
他竟然出現一個視窗!!
說請選擇依個你想要用來開啟這個檔案的程式..
怎麼會這樣??
救救我!!!
|
To Be Or Not To Be That Is A Question |
|
2007-9-21 10:09 PM |
|
TCG
區版主
 
論壇我最老,人老心未老。
 
積分 14326
發文 895
註冊 2005-8-31
狀態 離線
|
|
|
2007-9-21 10:11 PM |
|
yakkk2000
中級會員
積分 931
發文 143
註冊 2006-10-7
來自 Canada
狀態 離線
|
|
|
2007-9-21 11:21 PM |
|
BBB888881
資深會員
積分 5195
發文 279
註冊 2006-7-22
狀態 離線
|
|
|
2007-9-28 08:17 PM |
|
baolai
VIP會員
積分 2747
發文 164
註冊 2006-9-5
來自 Taipei
狀態 離線
|
#5 參考:ANDYLEE的解答
我日前也中了這個AutoRun病毒,D:E:F:G:碟都要我使用程式開啟,後來在別的網站找到解決方法,按照方法解決了,現在已經可以正常開啟別的磁碟了。
現在把兩種解決方法列述如下,參考解決這個病毒吧!
kavo超討厭的病毒
有新變種喔!連KIS 6.0跟7.0都抓不到.....
目前知道的是這是一個隨身碟病毒,
跟kavo一樣會去更改檔案屬性及強制隱藏隱藏檔跟隱藏資料夾。
隨身碟裡面會有autorun.inf跟ntdelect.com兩個隱藏檔。
Autorun.inf內容如下:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
-----------------------
朋友說有人寄笑話到yahoo給他
他不疑有鬼直接下載執行
然後就中了
(真是欠教育!!!)
-------------------------------------
完整解法:
這隻木馬還真麻煩-Kavo.exe-
(部分修改於20070906)
昨天為了一隻木馬-Kavo-奮鬥了一個小時,這是近日遇過最麻煩的木馬了,恨∼∼∼
這隻木馬很機車,它會進入regedit將「顯示隱藏檔」的功能鎖住,讓你無法顯示隱藏檔。
所以,必須先禁止它執行才能解決它,重點是要怎麼砍掉它在無法顯示隱藏的情況下
還好,dos時期就開始碰電腦了,先用dos指令解決隱藏檔的問題。
--------------------------------------------------------------------------------
第一種解決方法:
1.先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox(沒有也沒關係)
【步驟2~4請在命令執行視窗裡下指令】
2.執行attrib -A -S -H -R x:\autorun.inf
執行attrib -A -S -H -R x:\ntdelect.com
執行attrib -A -S -H -R c:\windows\system32\kavo*.*
注意:x代表自己的磁碟機,所有分割的磁碟機都要
3.del c:\windows\system32\kavo.exe
del x:\autorun.inf
del x:\ntdelect.com
注意:x代表自己的磁碟機,所有分割的磁碟機都要
注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5.執行regedit
6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值,砍了它,別客氣!
7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8. 用killbox將c:\windows\system32\kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了
9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功
--------------------------------------------------------------------------------
再重開機後試試看能不能「顯示隱藏檔」(本來木馬在的時候,就算選了顯示還是會跳回去),
如果可以就是大功告成了!
如果還是不放心,就看看c:\windows\system32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔
後記:本機解毒成功後,請小心自己的「隨身碟」,也許隨身碟裡也藏有autorun.inf和ntdelect.com這兩個檔,如果這時把隨身碟插進主機......完了!再來一次吧!
補充說明:如果不確定自己的隨身碟有沒有東西,在插入隨身碟後,不要對隨身碟的磁區點擊兩下開啟。用視窗鍵(左下角alt的隔壁)+E,呼叫檔案總管,然後打開所有隱藏檔,在檔案總管的左邊分割視窗選隨身碟的磁區,然後到右邊分割視窗刪除木馬。千萬不要『點兩下開啟』!!
----------------------------------------
第二種解決方法:
前幾天我也中過kavo.exe
上網找解決方法.但都不是很完整.我猜這隻大概是變種型
以下是我砍掉kavo.exe的方法
1.按f8 進入安全模式選單
選擇:安全模式的文字模式
2.在文字模式c:\中打
dir /as
看看有沒有以下2個檔案
autorun.inf
ntdelect.com //注意不是ntdetect(為系統檔).不要砍錯
偽裝檔也有可能不是ntdelect.com ..可以用type指令.看看內容.內容就自已看了.
type autorun.inf //指令
下一步.把病毒相關檔砍掉.
先把唯讀檔解開.才能刪
attrib -r -s -h autorun.inf //以此類推
解開後就可以用del刪除了
3.刪除完偽裝檔還有c:\windows 裡的相關檔也要刪
c:\windows 裡
fly32.dll //這不一定有.有的話就砍了他吧.
\system32\裡有2個
kavo.exe
kavo0.dll //kavo0.dll 後面的0可能會是其他數字
\help\
e5ed8bc94a26.dll 此為亂數檔.有的話也砍了
解開唯讀檔如上步驟
4. 再來把病毒修改過的登錄檔改回來
先把病毒的登錄檔刪掉.用ctrl+f 搜尋 kavo.exe/kavo0.dll/fly32.dll 相關檔
刪除完之後修改登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001 把他修改為1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
這部分要注意一點就是CheckedValue類型為REG_DWORD. 如果發現不是的話.砍掉在重建一個
再補充一點..每個槽的autorun.inf跟病毒的偽裝檔都要砍掉阿.不然前功盡棄了.
步驟大概是這樣了.有錯的糾正一下
我總共花了6小時才把kavo.exe病毒砍掉.感覺重灌比較快
http://www.centurys.net/viewthre ... &extra=page%3D1
|
歡迎光臨寶來的紅色天葵子部落格
 |
|
|
2007-10-1 07:29 AM |
|
