隨身碟病毒與無法顯示隱藏檔?
現在隨身碟病毒氾濫的程度真的是令人難以想像,幾乎是人人有獎,相當的可怕,當你的隨身碟發生打不開、或無法開啟時,也許就是中了隨身碟病毒了。
這個隨身碟病毒主要有三個檔案,分別為kavo.exe、autorun.inf及ntdelect.com,利用登錄檔上的kava鍵值 (kavo.exe) 及autorun.inf來達成生生不息寄生在每個人的硬碟之中,它將自己的檔案屬性設定成隱藏屬性及系統屬性,並將「顯示所有檔案和資料夾」的功能給鎖住,讓你怎麼改資料夾選項的設定也改不了,你就是永遠都沒辦法在視窗的狀況下看到這些「隱藏檔」,讓你殺也殺不了,而且就算是清掉之後又很容易又再度感染。
但這些無法顯示的隱藏檔在「命令提示字元」之下卻是無所遁形的,只要打指令「dir/a」就可以看到所有的檔案清單包括隱藏檔,可見能學會一點簡單的Dos指令是有多重要的一件事。
這篇文章接下來將教大家使用
「方式一、整合怪貓批次檔的移除法(Delkavo)」、
「方式二、手動移除「隨身碟病毒」的流程」
等三種方式,來移除kavo的木馬程式。
方式一:整合怪貓批次檔的移除法(Delkavo)
一、關閉系統還原:
Step 1. 開啟【開始功能表】->【控制台】->【系統】。
Step 2. 等待「系統內容」對話盒跳出來後,點擊〔系統還原〕活頁標籤,勾選「關閉所有磁碟上的系統還原」,並點擊下方的〔確定〕,最後再按下〔是〕即完成關閉系統還原的動作。
二、清除IE(Internet Explorer)的暫存檔案:
Step 1. 開啟【開始功能表】->【控制台】->【網際網路選項】。
Step 2. 點擊「Temporary Internet files」方框的〔刪除檔案〕。
Step 3. 在跳出的「刪除檔案」對話盒上勾選「刪除所有離線內容」,最後點擊〔確定〕。
三、清除系統的暫存檔案:
Step 1. 開啟【開始功能表】->【所有程式】->【附屬應用程式】->【系統工具】->【清理磁碟】。
Step 2. 在跳出的「選擇磁碟機」對話盒中,選擇「C:」,接著點擊〔確定〕。
Step 3. 出現「(C:)磁碟清理」的對話盒後,將「要刪除檔案」裡的所有項目”全部勾選”,最後按下〔確定〕。
Step 4. 接下來會跳出「您確定要執行這些動作嗎?」對話盒,請點選〔是〕。
Step 5. 請重覆Step 2->4的動作,將電腦中每一部「磁碟機」都做過一次。
四、執行怪貓的解毒批次檔(bat file) -「DELKAVO批次檔」
Step 1. 下載「DELKAVO批次檔」,將delkavo.bat批次檔解壓縮出來。
Step 2. 將電腦重新啟動後,開進「安全模式」 (於進入安全模式請參考「電腦中毒了要怎麼辦?處理流程教學總整理」)。
Step 3. 最後再執行「delkavo.bat」檔即可。
這個批次檔是怪貓所寫的,你壓縮檔案之後檔名為「delkavo.bat」,直按雙點這個批次檔即可,雙點之後,如果出現下面這個「Windows-沒有磁片」的視窗時,請你一直的按「取消」來關掉這個警告視窗,這個取消按鈕,也許需要按個幾次。
上面的訊息為:「刪除完成,kavo的病毒已成功解除,各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的!要接上外接磁碟時請先開啟【檔案總管】再將裝置接上一定要按住【SHIFT鍵】以防止再次中毒。再從【檔案總管】的左邊點選該裝置後,再建立一個【autorun.inf】的資料夾,才安全。解毒完成,請將此畫面【關閉】後就可正常使用了,怕的話請將病毒碼更新後再做一次全系統的病毒掃描。」
老貓很細心的為每個資料夾加上「autorun.inf、kavo.exe、kavo0.dll、kavo1.dll、avp.exe」的資料夾,以免止autorun.inf檔案會再度被執行到,這些資料夾請使用者不要去刪掉它們。這個部份神雕蝦也曾經提過「最簡單的隨身碟病毒防制方法」。
資料來源:怪貓的部落格
方式二:手動移除「隨身碟病毒」的流程
也許你會覺得我已經按照我的流程都做過了,為什麼還是沒有用,的確,我這個方法的確不一定有用遇到比較麻煩的情況時,確實是沒有用。但是有一次,我曾經請一位沒有Dos經驗的人輸入這些命令,我發現他在輸入指令時,會和我教的有出入。
小心,輸入這些指令是不能打折扣的,多一個斜線,少一個斜線都是不行的,而且必需小心的打完整行的指令才可以打Enter鍵下達命令,要是輸入命令之後,出現「' xxx' 不是內部或外部命令、可執行的程式或批次檔。」時,就代表你指令已經打錯了,請你看清楚再打。
第一步:先開啟附屬應用程式裡的「命令提示字元」。如下圖:
第二步:先檢查一下我的電腦裡的每一個磁碟槽,如C與D槽,至於怎麼檢查,只要輸入指令:
dir c:\ /a/w
若是要檢查D槽的話,就輸入
dir d:\ /a/w
第三步:當發現到有「autorun.inf」與「ntdelect.com」時,在刪除它們之前,要先對它們兩位仁兄先消除「系統」、「隱藏」及「唯讀」等三種屬性。假設我們先要清除C磁碟上的檔案,所要輸入的指令如下:
attrib -s -h -r c:\autorun.inf
attrib -s -h -r c:\ntdelect.com
若是要清除D磁碟上的autorun.inf及ntdelect.com的屬性,就輸入
attrib -s -h -r d:\autorun.inf
attrib -s -h -r d:\ntdelect.com
第四步:當清完屬性之後,就可以刪除這些寄生在每個磁碟的兩位仁兄,分別要輸入的指令如下:(這裡最重要的就是別殺到檔名為NTDETECT.COM這個重要的開機系統檔,為什麼病毒的名字要取作ntdelect.com,就是為了要和NTDETECT.COM魚目混珠,只差了一個字母)
del c:\autorun.inf
del c:\ntdelect.com
若是要刪除D磁碟的檔案,指令如下:
del d:\autorun.inf
del d:\ntdelect.com
果然還是有人不小心殺到了(Gina<-),我把這個正版的「ntdetect.com」放在Hinet空間上,若是不小心殺到,請先不要重開機,若是重開機了,就要想辦法把這個檔放進C槽根目錄底下即可。
>>Windows XP Professional版的ntdetect.com<<
第五步:解決完「autorun.inf」及「ntdelect.com」之後,接下來就輪到「kavo.exe」了,要解決kavo.exe有兩個動作要做,第一個:刪除位於C:\windows\system32裡的kavo.exe;第二個再接著清除位於登錄表上的kava鍵值。接下來我們先從第一個刪除kavo.exe做起,一樣我們還是在「命令提示字元」裡完成這個動作,第一步要執行的指令和之前的一樣,都是要先解決kavo.exe的防護罩,也就是附在它身上的那三個屬性,請你執行指令:
attrib -s -h -r c:\windows\system32\kavo.exe
接著再輸入指令來刪除它,指令如下:
del c:\windows\system32\kavo.exe
接下來要做第二個動作,清除登錄表上的鍵值,關於如何清除登錄表上的鍵值,教學請參考「電腦中毒怎麼辦?手動解毒移除教學」。你要做的就是要清掉
「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」及
「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」裡,
名稱為「kava」,內容為「c:\WINDOWS\system32\kavo.exe」的鍵值。
第六步:就是要解決無法顯示所有檔案的問題,這個問題我們要還原登錄表上的一些數值,你可以複製以下的內容到記事本中,並將這個副檔名改成 .reg檔,然後雙點執行這個檔案來更新登錄表上的值;或是直接下載我幫大家製作好的檔案下來,檔案為 showall.reg,請在連結的上方按右鍵下載下來後,再直接雙點去執行它就可以了。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
|
|
Shorten Url
Recommend to Front page
用檔案總管開啟呢?
homeni 
Comment Permissions: Allow commenting