Board logo

標題: 中毒了重灌後d槽無法開啟 [打印本頁]

作者: ww9500     時間: 2007-9-12 10:34 PM    標題: 中毒了重灌後d槽無法開啟

中毒了重灌後,按d槽無法開啟,卻顯示選擇想要用來開啟這個檔案程式
電腦自動框選Internet Explorer執行,按確定鍵後就可以開啟d槽, 請各
位大大幫助是何原因,如何解決問題感謝啦
作者: a2213572     時間: 2007-9-13 12:01 AM
有可能是D 槽中毒.如果D 槽資料太多可以先燒成光碟.再完全格式化D槽.或是將D槽軟體先移至C 槽例如我的文件.再格式化D 槽.等恢復正常再將資料移回D 槽!
作者: ANDYLEE     時間: 2007-9-13 12:22 AM
我日前也中了這個AutoRun病毒,D:E:F:G:碟都要我使用程式開啟,後來在別的網站找到解決方法,按照方法解決了,現在已經可以正常開啟別的磁碟了。
現在把兩種解決方法列述如下,參考解決這個病毒吧!

kavo超討厭的病毒
有新變種喔!連KIS 6.0跟7.0都抓不到.....
目前知道的是這是一個隨身碟病毒,
跟kavo一樣會去更改檔案屬性及強制隱藏隱藏檔跟隱藏資料夾。
隨身碟裡面會有autorun.inf跟ntdelect.com兩個隱藏檔。
Autorun.inf內容如下:

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
-----------------------
朋友說有人寄笑話到yahoo給他
他不疑有鬼直接下載執行
然後就中了
(真是欠教育!!!)
-------------------------------------
完整解法:
這隻木馬還真麻煩-Kavo.exe-
(部分修改於20070906)
昨天為了一隻木馬-Kavo-奮鬥了一個小時,這是近日遇過最麻煩的木馬了,恨∼∼∼
這隻木馬很機車,它會進入regedit將「顯示隱藏檔」的功能鎖住,讓你無法顯示隱藏檔。
所以,必須先禁止它執行才能解決它,重點是要怎麼砍掉它在無法顯示隱藏的情況下
還好,dos時期就開始碰電腦了,先用dos指令解決隱藏檔的問題。


--------------------------------------------------------------------------------
第一種解決方法:

1.先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox(沒有也沒關係)
【步驟2~4請在命令執行視窗裡下指令】
2.執行attrib -A -S -H -R x:\autorun.inf
     執行attrib -A -S -H -R x:\ntdelect.com
     執行attrib -A -S -H -R c:\windows\system32\kavo*.*  
     注意:x代表自己的磁碟機,所有分割的磁碟機都要
3.del c:\windows\system32\kavo.exe
     del x:\autorun.inf
     del x:\ntdelect.com
     注意:x代表自己的磁碟機,所有分割的磁碟機都要
     注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5.執行regedit
6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值,砍了它,別客氣!
7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8. 用killbox將c:\windows\system32\kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了
9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功


--------------------------------------------------------------------------------
再重開機後試試看能不能「顯示隱藏檔」(本來木馬在的時候,就算選了顯示還是會跳回去),  
如果可以就是大功告成了!
如果還是不放心,就看看c:\windows\system32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔
後記:本機解毒成功後,請小心自己的「隨身碟」,也許隨身碟裡也藏有autorun.inf和ntdelect.com這兩個檔,如果這時把隨身碟插進主機......完了!再來一次吧!
補充說明:如果不確定自己的隨身碟有沒有東西,在插入隨身碟後,不要對隨身碟的磁區點擊兩下開啟。用視窗鍵(左下角alt的隔壁)+E,呼叫檔案總管,然後打開所有隱藏檔,在檔案總管的左邊分割視窗選隨身碟的磁區,然後到右邊分割視窗刪除木馬。千萬不要『點兩下開啟』!!
   
----------------------------------------

第二種解決方法:

前幾天我也中過kavo.exe
上網找解決方法.但都不是很完整.我猜這隻大概是變種型
以下是我砍掉kavo.exe的方法

1.按f8 進入安全模式選單
選擇:安全模式的文字模式

2.在文字模式c:\中打
dir /as
看看有沒有以下2個檔案
autorun.inf
ntdelect.com //注意不是ntdetect(為系統檔).不要砍錯
偽裝檔也有可能不是ntdelect.com ..可以用type指令.看看內容.內容就自已看了.
type autorun.inf //指令
下一步.把病毒相關檔砍掉.
先把唯讀檔解開.才能刪
attrib -r -s -h autorun.inf //以此類推
解開後就可以用del刪除了

3.刪除完偽裝檔還有c:\windows 裡的相關檔也要刪
c:\windows 裡
fly32.dll //這不一定有.有的話就砍了他吧.

\system32\裡有2個
kavo.exe
kavo0.dll //kavo0.dll 後面的0可能會是其他數字

\help\
e5ed8bc94a26.dll 此為亂數檔.有的話也砍了
解開唯讀檔如上步驟

4. 再來把病毒修改過的登錄檔改回來
先把病毒的登錄檔刪掉.用ctrl+f 搜尋 kavo.exe/kavo0.dll/fly32.dll 相關檔
刪除完之後修改登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001 把他修改為1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

這部分要注意一點就是CheckedValue類型為REG_DWORD. 如果發現不是的話.砍掉在重建一個

再補充一點..每個槽的autorun.inf跟病毒的偽裝檔都要砍掉阿.不然前功盡棄了.

步驟大概是這樣了.有錯的糾正一下
我總共花了6小時才把kavo.exe病毒砍掉.感覺重灌比較快

[ Last edited by ANDYLEE on 2007-9-13 at 12:25 AM ]
作者: ww9500     時間: 2007-9-13 06:37 AM
感謝ANDYLEE大大你詳細的解說,及教解決方法,來試看看,再次感謝已解決
作者: BBB888881     時間: 2007-9-13 10:05 PM    標題: 解決無法進入磁區

下載底下這個程式(123)解壓後按兩下執行(將xp程式光碟放入),應該就解決你問題了

http://www.badongo.com/file/3542139

[ Last edited by BBB888881 on 2007-9-13 at 10:06 PM ]
作者: wgw42016     時間: 2007-9-30 06:05 PM
非常感謝樓上提供檔案資訊.問題已解決,謝謝
作者: min0427     時間: 2007-11-28 02:16 AM
感謝3樓及5樓大大的解說
用3樓大大的方式終於將毒清除
用5樓大大的方式也可將其他槽開啟
太感動了,終於找到有效方式了
花了好幾個小時.又不想重灌或格式化
因為有些資料還需要
再次謝謝囉
作者: tkjh_10168     時間: 2008-1-11 03:26 PM
到論壇搜尋KAVO
有專用清除軟體
一鍵清除很方便




歡迎光臨 網際論壇 (http://centurys.net/) Powered by Discuz! 2.5