網際論壇 - 軟體使用求助區 - 中毒了重灌後d槽無法開啟

» 遊客: 註冊 | 登錄 | 會員 | 幫助

網際論壇 » 軟體使用求助區 » 中毒了重灌後d槽無法開啟

動漫分類：最新上架｜熱門連載｜全本小說｜最新上架｜玄幻奇幻｜都市言情｜武俠仙俠｜軍事歷史｜網游競技｜科幻靈異 ... 更多小說

ww9500
資深會員 Level：5 級

積分 3539
發文 652
註冊 2006-9-12
狀態離線

#1 中毒了重灌後d槽無法開啟

中毒了重灌後,按d槽無法開啟,卻顯示選擇想要用來開啟這個檔案程式
電腦自動框選Internet Explorer執行,按確定鍵後就可以開啟d槽, 請各
位大大幫助是何原因,如何解決問題感謝啦

2007-9-12 10:34 PM

a2213572
高級會員 Level：6 級

積分 7539
發文 1477
註冊 2006-5-20
狀態離線

#2

有可能是D 槽中毒.如果D 槽資料太多可以先燒成光碟.再完全格式化D槽.或是將D槽軟體先移至C 槽例如我的文件.再格式化D 槽.等恢復正常再將資料移回D 槽!

2007-9-13 12:01 AM

ANDYLEE
進階會員 Level：4 級

積分 2394
發文 270
註冊 2005-9-21
來自 taiwan
狀態離線

#3

我日前也中了這個AutoRun病毒，D:E:F:G:碟都要我使用程式開啟，後來在別的網站找到解決方法，按照方法解決了，現在已經可以正常開啟別的磁碟了。
現在把兩種解決方法列述如下，參考解決這個病毒吧！

kavo超討厭的病毒
有新變種喔！連KIS 6.0跟7.0都抓不到.....
目前知道的是這是一個隨身碟病毒，
跟kavo一樣會去更改檔案屬性及強制隱藏隱藏檔跟隱藏資料夾。
隨身碟裡面會有autorun.inf跟ntdelect.com兩個隱藏檔。
Autorun.inf內容如下：

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
-----------------------
朋友說有人寄笑話到yahoo給他
他不疑有鬼直接下載執行
然後就中了
（真是欠教育！！！）
-------------------------------------
完整解法：
這隻木馬還真麻煩－Kavo.exe－
（部分修改於20070906）
昨天為了一隻木馬－Kavo－奮鬥了一個小時，這是近日遇過最麻煩的木馬了，恨～～～
這隻木馬很機車，它會進入regedit將「顯示隱藏檔」的功能鎖住，讓你無法顯示隱藏檔。
所以，必須先禁止它執行才能解決它，重點是要怎麼砍掉它在無法顯示隱藏的情況下
還好，dos時期就開始碰電腦了，先用dos指令解決隱藏檔的問題。

--------------------------------------------------------------------------------
第一種解決方法：

1．先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox（沒有也沒關係）
【步驟2~4請在命令執行視窗裡下指令】
2．執行attrib -A -S -H -R x:\autorun.inf
   執行attrib -A -S -H -R x:\ntdelect.com
   執行attrib -A -S -H -R c:\windows\system32\kavo*.*
   注意：x代表自己的磁碟機，所有分割的磁碟機都要
3．del c:\windows\system32\kavo.exe
   del x:\autorun.inf
   del x:\ntdelect.com
   注意：x代表自己的磁碟機，所有分割的磁碟機都要
   注意：不要砍錯檔！ntdetect是winxp系統檔，ntde『l』ect才是木馬！
4．用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5．執行regedit
6．找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值，砍了它，別客氣！
7．找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8．用killbox將c:\windows\system32\kavo0.dll 刪除（選重開機後刪除），如果沒有killbox，就先重開機，在跑完BIOS畫面後一直按F8，選擇進入「安全模式」就可以刪除了
9．成功刪除 c:\windows\system32\kavo0.dll 後，再檢查一次第7步驟的值有沒有改成功

--------------------------------------------------------------------------------
再重開機後試試看能不能「顯示隱藏檔」（本來木馬在的時候，就算選了顯示還是會跳回去），
如果可以就是大功告成了！
如果還是不放心，就看看c:\windows\system32裡還有沒有kavo開頭的檔案，並利用顯示隱藏檔的方式，檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔
後記：本機解毒成功後，請小心自己的「隨身碟」，也許隨身碟裡也藏有autorun.inf和ntdelect.com這兩個檔，如果這時把隨身碟插進主機......完了！再來一次吧！
補充說明：如果不確定自己的隨身碟有沒有東西，在插入隨身碟後，不要對隨身碟的磁區點擊兩下開啟。用視窗鍵（左下角alt的隔壁）+E，呼叫檔案總管，然後打開所有隱藏檔，在檔案總管的左邊分割視窗選隨身碟的磁區，然後到右邊分割視窗刪除木馬。千萬不要『點兩下開啟』！！

----------------------------------------

第二種解決方法：

前幾天我也中過kavo.exe
上網找解決方法.但都不是很完整.我猜這隻大概是變種型
以下是我砍掉kavo.exe的方法

1.按f8 進入安全模式選單
選擇:安全模式的文字模式

2.在文字模式c:\中打
dir /as
看看有沒有以下2個檔案
autorun.inf
ntdelect.com //注意不是ntdetect(為系統檔).不要砍錯
偽裝檔也有可能不是ntdelect.com ..可以用type指令.看看內容.內容就自已看了.
type autorun.inf //指令
下一步.把病毒相關檔砍掉.
先把唯讀檔解開.才能刪
attrib -r -s -h autorun.inf //以此類推
解開後就可以用del刪除了

3.刪除完偽裝檔還有c:\windows 裡的相關檔也要刪
c:\windows 裡
fly32.dll //這不一定有.有的話就砍了他吧.

\system32\裡有2個
kavo.exe
kavo0.dll //kavo0.dll 後面的0可能會是其他數字

\help\
e5ed8bc94a26.dll 此為亂數檔.有的話也砍了
解開唯讀檔如上步驟

4. 再來把病毒修改過的登錄檔改回來
先把病毒的登錄檔刪掉.用ctrl+f 搜尋 kavo.exe/kavo0.dll/fly32.dll 相關檔
刪除完之後修改登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001 把他修改為1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

這部分要注意一點就是CheckedValue類型為REG_DWORD. 如果發現不是的話.砍掉在重建一個

再補充一點..每個槽的autorun.inf跟病毒的偽裝檔都要砍掉阿.不然前功盡棄了.

步驟大概是這樣了.有錯的糾正一下
我總共花了6小時才把kavo.exe病毒砍掉.感覺重灌比較快

[ Last edited by ANDYLEE on 2007-9-13 at 12:25 AM ]

2007-9-13 12:22 AM