回覆給:幼稚園殺手
剛剛幫你找到的...我要澄清我的掃毒沒有發現kavo.exe的病毒!
它會在你的所有磁碟機中的根目錄中產生4個檔案
c:\「autorun.inf 及 ntdelect.com」
這2個檔案的功能是一直複製自己到別的磁碟中
c:\windows\system32\「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。
檢查方法:開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:\autorun.inf」→按下開啟,有開出東西就代表你中毒了。
接下來要看裡面寫的東西來判斷病毒是那一個,看底下的資料
open=ntdelect.com (可以確定這隻就是病毒)
★:千萬要小心不要刪到ntdetect.com刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這是病毒檔(在第3個步驟就會被刪除掉了)
ntdetect.com 這是系統開機會用到的檔案
接下來解毒吧!
1.到這個網址下載「DelAutorun-Virus.bat」先執行,可以解決被病毒寫入AutoRun.inf的檔案(算是做個預防工作)。
「裕笠科技討論專區」http://ns2.ublink.org/phpbb/viewtopic.php?p=2072
目地:將所有根目錄中的autorun.inf檔給刪除掉,產生一個名為autorun.inf的資料夾,功能是防址病毒再度寫入autorun.inf的檔案
2.再開登錄編輯器搜索「kavo.exe」找到此機碼就刪除之後才重開機。
★:不會操作登錄編輯器的人請照這裡的方式操作,將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「kavo.reg」按下儲存後,再去執行這個檔案,會問你是否要匯入,選是之後開機就不會去執行這隻病毒了。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSof twareMicrosoftWindow sCurrentVersionRun]
"kava"="懂的人請將此病毒的機碼刪除(目前已不影響系統)"
3.用記事本寫一個批次檔來殺病毒檔,將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「del-kavo.bat」按下儲存後,再去執行這個檔案,病毒就被你殺掉了。
這只是一個快速刪除病毒檔的批次檔。(懂的人一樣可以用手動的方式刪)
attrib -s -h -r C:\WINDOWS\system32\kavo.exe
attrib -s -h -r C:\WINDOWS\system32\kavo0.dll
del C:\WINDOWS\system32\kav*.*
attrib -s -h -r C:\ntdelect.com
del C:\ntdelect.com
attrib -s -h -r C:\WINDOWS\fly32.dll
del C:\WINDOWS\fly32.dll
4.用記事本寫一個登錄檔來解決被病毒影響所造成的問題修復檔。
將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「xxx.reg」按下儲存後,再去執行這個檔案,會問你是否要匯入。
之後就可以開啟檢視隱藏檔的功能了。
-----------------分格線-----------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESO FTWAREMicrosoftWindo wsCurrentVersionExpl orerAdvancedFolderHi ddenSHOWALL]
"CheckedValue"=dword:00000001
5.最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。
只要照步驟去操作就可以解決了! 注意:你的隨身碟現在也是這隻病毒傳染媒體,請小心使用,參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」
★:隨身碟插下去時要馬上按住「Shift鍵」不放,用意是防止他去跑autorun.inf,再來是開「檔案總管」再左邊的視窗點選你的隨身碟的磁碟機代號,再來將「autorun.inf 及 ntdelect.com」給刪除(前提是要開啟檢視隱藏檔及系統檔)
解決這個問題很簡單~~只要下載並執行以下這個批次檔就可以解決了
死馬當活馬醫...用用看??
http://tw.knowledge.yahoo.com/question/?qid=1607113000110 | 
楼主
发表于 2007-12-2 09:25:40
