有些人可能會在使用完隨身碟之後
某天開機就發現電腦出現kavo.exe錯誤這類型的警告框
掃毒軟體有些也掃不出來
這究竟是不是病毒所害呢??
沒錯!這是隨身碟病毒造成的
也是特洛伊木馬病毒的變種
它會讓隱藏檔無法顯示出來
不管怎麼設定都一樣
這個時候只要follow以下的做法就可以囉!!
=============解kavo方法=================
關閉系統還原 -> 不知怎麼關閉看http://support.microsoft.com/kb/310405/zh-tw
使用Hijackthis選取下列項次修復 (數字項次左邊打勾後按Fix Checked)
04項看到kavo或kava就選取他按Fix checked
下載OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
複製下列文字
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo.dll
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
C:\ntdelect.com
執行OTMoveIt主程式
在左半邊視窗按右鍵選貼上後按MoveIt!
系統要求重開機就重開
接著下載http://sylovanas.myweb.hinet.net/Antivirus/delautorun.rar
點連結直接下載
下載後解壓縮置桌面後執行,或者直接執行裡面的檔案也可以。
執行完畢後系統會要求你重開機
重新啟動電腦之後就OK囉!!
====================================================
但是上面的方法只能解kavo的這個病毒
隱藏檔有時後依然會無法出現
此時請參考以下做法
=================隱藏檔顯示方法=================
在開始→執行中,輸入【regedit】,在
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下找到Checkedvalue這個檔案
接著將這個檔案名稱做修改,例如改為Checkedvalue-old
然後在下面的空白位置新增一個DWORD的值
取名為Checkvalue
修改這個新創的Checkedvalue的值
把0改為1
並且把舊的那個Checkedvalue保留下來
這樣子隱藏檔說不定就可以顯示出來囉!!
====================================================
參考資料
http://www.wretch.cc/blog/chengyuh
原依別人的意見是有問題的,如下:『
建議你先將Windows的系統還原關閉再進行殺毒的動作
因為Kavo這隻病毒會從系統還原中再生
所以你要先把系統還原關閉
然後再到 C:windowssystem32 下把 kavo.exe 和 kavo01.dll 怪怪的
演生出來的檔案給殺了
殺完後..再分別到各磁碟下
把它自動生出來的 autorun.inf 和 ntdelect.com 給砍掉
事情還沒有做完!!
因為重開機後資料夾還是沒有辦法把顯示隱藏檔那個選項打開
原因是這隻毒會去修改系統登錄,所以最後一步就是把登錄改回
方法:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionexplorerAdvancedFolderHiddenSHOWALL下,
字串(DWORD)值Checkedvalue設為1,再重新開機 』。
我是要用尋找的方式去找檔案並刪除之,再以上面的方法,『不用重開機』,就可以在資料夾選項中,選擇--顯示隱藏檔及系統了。
但是,重開機後,不了多久,又會出現『autorun.inf 和 ntdelect.com 』兩個隱藏檔,在system32/ 內也會出現kavo.exe及kavo0*.dll
之後,又回到隱藏的狀態,真氣人。
最後,我刪了IE上網的暫存檔及cookie, 又刪了各磁的『autorun.inf 和 ntdelect.com 』以及kavo.exe及kavo0*.dll ,還有網路捉來的卡巴斯????的防毒程式,然後設定HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL下,字串(DWORD)值Checkedvalue設為1,
不用重開機,就可以在資料夾選項中,選擇--顯示隱藏檔及系統。
重開機後,就沒有再出現kavo.exe、kavo0*.dll、 autorun.inf 和 ntdelect.com 』。
**以上四個檔案都是隱藏檔,注意是ntde"l"ect.com哦,不要刪了
ntde"t"ect.com。
你可以試試看。
*****************
REF. http://ns2.ublink.org/phpbb/viewtopic.php?p=2072
Auto Run 病毒 & kavo 病毒 自動清除執行檔"下載位置:
http://www.hatea.com.tw/tech/files/DelAutorun-Virus.bat
PS:1.執行完畢後,請馬上重新開機,病毒即清除完成...^^
2.請刪除 C:\Windows\system32\資料夾內的 "kavo.exe"與"kavo0.dll"檔案.
3.請使用你的防毒軟體進行全系統掃毒,將剩餘的病毒程式清除乾淨.
4.中毒情形為無法直接進入硬碟,會出現選擇使用何種程式開啟硬碟資料.
*
No comments:
Post a Comment