引用:
abist寫到:
最近碰到很多台電腦都是無法開啟隱藏檔
而且每個磁碟下都有autorun.inf
就算整個C磁碟系統重新安裝
只要一點別的磁碟一點就又會中了
後來解決的方法就是資料全都不要,整顆硬碟磁碟都刪除
下次碰到再來試試用這個程式來解看看
這類的病毒好像也滿多變種的
徵狀都會不太一樣
重要的是每台電腦都有各式各樣的防毒軟體
還是都中了招,而且也解不掉
我前一陣子也遇到一樣的狀況
無法用雙擊開啟磁碟區
隱藏檔都無法顯示
進去 Command 模式下使用 Dir /a 可發現每個磁槽下都有隱藏的
ntdelect.com (不是 ntdetect.com 喔!)以及大小 260 Bytes 的 autorun.inf
這兩個經查,就是嫌疑犯
不過,這兩個檔案殺了不一會兒又會再生,或者,殺不掉
表示記憶體有常駐
所以要打開工作管理員到處理程序裡面
把 ntdelect 或什麼 KAVO#### 的程序先殺掉
然後,「開始」-->「執行」 cmd.exe,先到 command 模式下,執行
attrib -a-r-h-s c:\autorun.inf
attrib -a-r-h-s c:\ntdelect.com
del c:\autorun.inf
del c:\ntdelect.com
這四個動作如果不能完成,表示病毒仍然常駐
然後到 C 槽 Windows\System32 目錄底下將 KAVO 開頭的檔案都殺掉
(或是 Winnt\system32 下)
如果殺不掉,表示病毒仍常駐,或是你先前那四個指令執行失敗,你又雙擊了C槽自動載入病毒
如果上面的動作都成功,就可以繼續執行 msconfig (開始-->執行)
然後在「啟動」的地方找到 KAVOXXXX的東西,取消勾選,確定以後就可以了
重新開機之前,你可以選擇再到 command 模式下,將D、E、F、等等磁槽根目錄底下的
autorun.inf 及 ntdelect.com 以相同方式刪除 ( attrib & del )
這樣重開以後就手動清除完畢了
你如果夠龜毛,可以再用 Regedit 尋找 KAVO 相關的指令,清得乾淨一點,但是沒什麼意義就是了
相似的病毒應該也可以用類似的方式手動清除
所以這種病毒的模式是
改寫 autorun,讓你雙擊磁槽時自動載入病毒常駐,並複製至系統資料夾,偽裝成與正常檔案相似的檔名
清除起來,一定是先從記憶體常駐下手,然後建議進 command 模式刪除,比較不會不小心又開了病毒