KAVO / Ntdelect 病毒的手動刪除法

@ 2007-9-10 10:56 AM


引用:
abist寫到:
最近碰到很多台電腦都是無法開啟隱藏檔
而且每個磁碟下都有autorun.inf
就算整個C磁碟系統重新安裝
只要一點別的磁碟一點就又會中了
後來解決的方法就是資料全都不要,整顆硬碟磁碟都刪除
下次碰到再來試試用這個程式來解看看
這類的病毒好像也滿多變種的
徵狀都會不太一樣
重要的是每台電腦都有各式各樣的防毒軟體
還是都中了招,而且也解不掉


我前一陣子也遇到一樣的狀況
無法用雙擊開啟磁碟區
隱藏檔都無法顯示
進去 Command 模式下使用 Dir /a 可發現每個磁槽下都有隱藏的
ntdelect.com (不是 ntdetect.com 喔!)以及大小 260 Bytes 的 autorun.inf
這兩個經查,就是嫌疑犯
不過,這兩個檔案殺了不一會兒又會再生,或者,殺不掉
表示記憶體有常駐
所以要打開工作管理員到處理程序裡面
把 ntdelect 或什麼 KAVO#### 的程序先殺掉
然後,「開始」-->「執行」 cmd.exe,先到 command 模式下,執行
attrib -a-r-h-s c:\autorun.inf
attrib -a-r-h-s c:\ntdelect.com
del c:\autorun.inf
del c:\ntdelect.com
這四個動作如果不能完成,表示病毒仍然常駐
然後到 C 槽 Windows\System32 目錄底下將 KAVO 開頭的檔案都殺掉
(或是 Winnt\system32 下)
如果殺不掉,表示病毒仍常駐,或是你先前那四個指令執行失敗,你又雙擊了C槽自動載入病毒
如果上面的動作都成功,就可以繼續執行 msconfig (開始-->執行)
然後在「啟動」的地方找到 KAVOXXXX的東西,取消勾選,確定以後就可以了
重新開機之前,你可以選擇再到 command 模式下,將D、E、F、等等磁槽根目錄底下的
autorun.inf 及 ntdelect.com 以相同方式刪除 ( attrib & del )
這樣重開以後就手動清除完畢了
你如果夠龜毛,可以再用 Regedit 尋找 KAVO 相關的指令,清得乾淨一點,但是沒什麼意義就是了

相似的病毒應該也可以用類似的方式手動清除

所以這種病毒的模式是
改寫 autorun,讓你雙擊磁槽時自動載入病毒常駐,並複製至系統資料夾,偽裝成與正常檔案相似的檔名
清除起來,一定是先從記憶體常駐下手,然後建議進 command 模式刪除,比較不會不小心又開了病毒

9 評論

KAVO現階段好像只有卡巴抓得到@@?

所以USB毒 簡易的預防方式
就是關閉USB自動執行
開啟USB檔案都從檔案總管(Windows鍵+E)進去
開啟檢視隱檔 - 把垃圾桶直接刪除(Shift+del) - 刪除或改寫 autorun.inf 嚕

發佈者 : KoCoMo 等級: 6等級: 6  @ 2007-9-10 11:06 PM

http://163.20.156.7/web/message/disp.asp?kid=2343
這個也不錯,最近終於有人開始解這病毒了...
前幾次還都蒐不到相關資訊...
害我,不知道要重灌還是怎樣...

現在我終於從這隻病毒解脫(好像也是木馬)

發佈者 : domigo 等級: 8等級: 8  @ 2007-9-13 05:23 AM

attrib -s -h -r 就可以了.  -a (archive) 有沒有都一樣

這類的病毒其實不難殺..  進安全模式下手動殺就行了

發佈者 : wugen 等級: 12等級: 12等級: 12  @ 2007-9-13 09:29 AM

nod32 也抓得到,不過消滅它的方法,仍然很繁複
上禮拜,被它折騰了好累
因為是公司,公用的電腦很多,偵防毒軟體是每部都有,但使用習慣與觀念很差,明明是跳出來偵毒訊息了,而且是中文字,他(她)們居然可以當作看不懂中文,只求那個中毒訊息畫面不要擋住視線…竟然…滑鼠過去點點關了
加上人手一隻隨身碟且到處抽插幾回合後,疫情就擴散了
緊接著哀嚎遍野,哭爹喊娘的,四處都有人在呼喊我的名字,而且後面加個"哥"字
通常加這字的時候,我就知道麻煩大了

發佈者 : speed 等級: 11等級: 11等級: 11等級: 11  @ 2007-9-13 09:58 AM

為了刪除這個病毒也花了我半天的時間。
不過我用的方法算是比較簡單的吧。
利用新版 Kav 刪除 Kavo 之後,接著再修改登錄檔將隱藏檔打開。
防毒軟體在刪除病毒的時候不會自動將登錄檔復原,一開始還想說必須重灌不可。

發佈者 : yorkhung 等級: 7等級: 7等級: 7  @ 2007-9-20 09:51 PM

搞了好久
終於把它砍掉了
感謝分享囉
呵呵呵呵


我是直接執行KavoRemove.exe把它砍掉的
在安全模式裡面將他開啟執行
然後重開就好了
非常方便

發佈者 : kram 等級: 11等級: 11等級: 11等級: 11  @ 2007-9-23 12:21 PM

感謝提供這麼好用的方法
我被這病毒煩了好久
現在解決了
再次謝謝

發佈者 : speedinx 等級: 4  @ 2007-9-29 12:53 AM

阿!我重標了,正愁不知如何是好?受惠了,感謝您+鮮花。

發佈者 : lazy-dog 等級: 5等級: 5  @ 2007-10-14 01:06 PM


引用:
domigo寫到:
http://163.20.156.7/web/message/disp.asp?kid=2343
這個也不錯,最近終於有人開始解這病毒了...
前幾次還都蒐不到相關資訊...
害我,不知道要重灌還是怎樣...

現在我終於從這隻病毒解脫(好像也是木馬)


http://163.20.156.7/web/message/disp.asp?kid=2343裡面附檔KavoRemove.exe有問題,建議不要使用。

病毒掃瞄結果:
http://img07.imgspot.com/?u=/u/07/289/08/VirusTotalFreeOnlineVirusandMalwareScanResult20071018.jpg

發佈者 : planetoid 等級: 7等級: 7等級: 7  @ 2007-10-18 12:30 AM

   


  可打印版本 | 推薦給朋友 | 評分