kim222
中級會員
 
積分 1350
發文 320
註冊 2005-9-6
狀態 離線
|
#1 〔已解決 感謝 BBB888881)C,D槽打不開
請教一下各位大大,我的硬碟C,D槽,不能開啟,開啟就跑出電話撥接設定,不知有何方法解決謝謝........
[ Last edited by kim222 on 2007-10-7 at 09:28 PM ]
|
|
2007-10-7 05:01 PM |
|
BBB888881
資深會員
積分 5195
發文 279
註冊 2006-7-22
狀態 離線
|
 #2
掃掃毒吧 應該是中毒了
第1種解決方法:
下載底下這個程式(123)解壓後按兩下執行(將xp程式光碟放入),應該就解決你問題了
http://www.badongo.com/file/3542139
第2種解決方法:
1.先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox(沒有也沒關係)
【步驟2~4請在命令執行視窗裡下指令】
2.執行attrib -A -S -H -R x:\autorun.inf
執行attrib -A -S -H -R x:\ntdelect.com
執行attrib -A -S -H -R c:\windows\system32\kavo*.*
注意:x代表自己的磁碟機,所有分割的磁碟機都要
3.del c:\windows\system32\kavo.exe
del x:\autorun.inf
del x:\ntdelect.com
注意:x代表自己的磁碟機,所有分割的磁碟機都要
注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5.執行regedit
6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值,砍了它,別客氣!
7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8. 用killbox將c:\windows\system32\kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了
9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功
--------------------------------------------------------------------------------
再重開機後試試看能不能「顯示隱藏檔」(本來木馬在的時候,就算選了顯示還是會跳回去),
如果可以就是大功告成了!
如果還是不放心,就看看c:\windows\system32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔
後記:本機解毒成功後,請小心自己的「隨身碟」,也許隨身碟裡也藏有autorun.inf和ntdelect.com這兩個檔,如果這時把隨身碟插進主機......完了!再來一次吧!
補充說明:如果不確定自己的隨身碟有沒有東西,在插入隨身碟後,不要對隨身碟的磁區點擊兩下開啟。用視窗鍵(左下角alt的隔壁)+E,呼叫檔案總管,然後打開所有隱藏檔,在檔案總管的左邊分割視窗選隨身碟的磁區,然後到右邊分割視窗刪除木馬。千萬不要『點兩下開啟』!!
----------------------------------------
第3種解決方法:
前幾天我也中過kavo.exe
上網找解決方法.但都不是很完整.我猜這隻大概是變種型
以下是我砍掉kavo.exe的方法
1.按f8 進入安全模式選單
選擇:安全模式的文字模式
2.在文字模式c:\中打
dir /as
看看有沒有以下2個檔案
autorun.inf
ntdelect.com //注意不是ntdetect(為系統檔).不要砍錯
偽裝檔也有可能不是ntdelect.com ..可以用type指令.看看內容.內容就自已看了.
type autorun.inf //指令
下一步.把病毒相關檔砍掉.
先把唯讀檔解開.才能刪
attrib -r -s -h autorun.inf //以此類推
解開後就可以用del刪除了
3.刪除完偽裝檔還有c:\windows 裡的相關檔也要刪
c:\windows 裡
fly32.dll //這不一定有.有的話就砍了他吧.
\system32\裡有2個
kavo.exe
kavo0.dll //kavo0.dll 後面的0可能會是其他數字
\help\
e5ed8bc94a26.dll 此為亂數檔.有的話也砍了
解開唯讀檔如上步驟
4. 再來把病毒修改過的登錄檔改回來
先把病毒的登錄檔刪掉.用ctrl+f 搜尋 kavo.exe/kavo0.dll/fly32.dll 相關檔
刪除完之後修改登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001 把他修改為1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
這部分要注意一點就是CheckedValue類型為REG_DWORD. 如果發現不是的話.砍掉在重建一個
再補充一點..每個槽的autorun.inf跟病毒的偽裝檔都要砍掉阿.不然前功盡棄了.
步驟大概是這樣了.有錯的糾正一下
我總共花了6小時才把kavo.exe病毒砍掉.感覺重灌比較快
|
|
|
2007-10-7 08:32 PM |
|
kim222
中級會員
積分 1350
發文 320
註冊 2005-9-6
狀態 離線
|
#3
BBB888881大大!非常感謝你熱心詳細的教導,我用第一個方法一下子就解決,再次感謝你 ...........
|
|
|
2007-10-7 09:26 PM |
|
|
