RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: KAVO / Ntdelect 病毒的手動刪除法   字型大小:||| 
  本主題被作者加入到他/她的 Blog 中  
Observer
論壇第一龜毛
等級: 21等級: 21等級: 21等級: 21等級: 21等級: 21
藏雲

 . 積分: 4862
 . 精華: 5
 . 文章: 9349
 . 收花: 41867 支
 . 送花: 9848 支
 . 比例: 0.24
 . 在線: 8112 小時
 . 瀏覽: 112080 頁
 . 註冊: 8168
 . 失蹤: 9
 . 單身宿舍
#1 : 2007-9-10 10:56 AM     只看本作者 引言回覆


引用:
abist寫到:
最近碰到很多台電腦都是無法開啟隱藏檔
而且每個磁碟下都有autorun.inf
就算整個C磁碟系統重新安裝
只要一點別的磁碟一點就又會中了
後來解決的方法就是資料全都不要,整顆硬碟磁碟都刪除
下次碰到再來試試用這個程式來解看看
這類的病毒好像也滿多變種的
徵狀都會不太一樣
重要的是每台電腦都有各式各樣的防毒軟體
還是都中了招,而且也解不掉


我前一陣子也遇到一樣的狀況
無法用雙擊開啟磁碟區
隱藏檔都無法顯示
進去 Command 模式下使用 Dir /a 可發現每個磁槽下都有隱藏的
ntdelect.com (不是 ntdetect.com 喔!)以及大小 260 Bytes 的 autorun.inf
這兩個經查,就是嫌疑犯
不過,這兩個檔案殺了不一會兒又會再生,或者,殺不掉
表示記憶體有常駐
所以要打開工作管理員到處理程序裡面
把 ntdelect 或什麼 KAVO#### 的程序先殺掉
然後,「開始」-->「執行」 cmd.exe,先到 command 模式下,執行
attrib -a-r-h-s c:\autorun.inf
attrib -a-r-h-s c:\ntdelect.com
del c:\autorun.inf
del c:\ntdelect.com
這四個動作如果不能完成,表示病毒仍然常駐
然後到 C 槽 Windows\System32 目錄底下將 KAVO 開頭的檔案都殺掉
(或是 Winnt\system32 下)
如果殺不掉,表示病毒仍常駐,或是你先前那四個指令執行失敗,你又雙擊了C槽自動載入病毒
如果上面的動作都成功,就可以繼續執行 msconfig (開始-->執行)
然後在「啟動」的地方找到 KAVOXXXX的東西,取消勾選,確定以後就可以了
重新開機之前,你可以選擇再到 command 模式下,將D、E、F、等等磁槽根目錄底下的
autorun.inf 及 ntdelect.com 以相同方式刪除 ( attrib & del )
這樣重開以後就手動清除完畢了
你如果夠龜毛,可以再用 Regedit 尋找 KAVO 相關的指令,清得乾淨一點,但是沒什麼意義就是了

相似的病毒應該也可以用類似的方式手動清除

所以這種病毒的模式是
改寫 autorun,讓你雙擊磁槽時自動載入病毒常駐,並複製至系統資料夾,偽裝成與正常檔案相似的檔名
清除起來,一定是先從記憶體常駐下手,然後建議進 command 模式刪除,比較不會不小心又開了病毒



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
KoCoMo
鐵驢友〔高級〕
等級: 6等級: 6
Steffen

 . 積分: 71
 . 文章: 95
 . 收花: 598 支
 . 送花: 173 支
 . 比例: 0.29
 . 在線: 1145 小時
 . 瀏覽: 6940 頁
 . 註冊: 7302
 . 失蹤: 3
 . 深藍色裡...
#2 : 2007-9-10 11:06 PM     只看本作者 引言回覆

KAVO現階段好像只有卡巴抓得到@@?

所以USB毒 簡易的預防方式
就是關閉USB自動執行
開啟USB檔案都從檔案總管(Windows鍵+E)進去
開啟檢視隱檔 - 把垃圾桶直接刪除(Shift+del) - 刪除或改寫 autorun.inf 嚕



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
domigo
銅驢友〔初級〕
等級: 8等級: 8
原來還有這一欄

今日心情

 . 積分: 127
 . 文章: 198
 . 收花: 1057 支
 . 送花: 286 支
 . 比例: 0.27
 . 在線: 546 小時
 . 瀏覽: 3813 頁
 . 註冊: 7368
 . 失蹤: 1072
#3 : 2007-9-13 05:23 AM     只看本作者 引言回覆

http://163.20.156.7/web/message/disp.asp?kid=2343
這個也不錯,最近終於有人開始解這病毒了...
前幾次還都蒐不到相關資訊...
害我,不知道要重灌還是怎樣...

現在我終於從這隻病毒解脫(好像也是木馬)



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
wugen
銀驢友〔初級〕
等級: 12等級: 12等級: 12


今日心情

 . 積分: 491
 . 文章: 1953
 . 收花: 3888 支
 . 送花: 1977 支
 . 比例: 0.51
 . 在線: 1763 小時
 . 瀏覽: 17110 頁
 . 註冊: 6828
 . 失蹤: 4190
#4 : 2007-9-13 09:29 AM     只看本作者 引言回覆

attrib -s -h -r 就可以了.  -a (archive) 有沒有都一樣

這類的病毒其實不難殺..  進安全模式下手動殺就行了



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
speed
青銅驢友
等級: 11等級: 11等級: 11等級: 11


 . 積分: 294
 . 文章: 1031
 . 收花: 2298 支
 . 送花: 1976 支
 . 比例: 0.86
 . 在線: 4907 小時
 . 瀏覽: 23710 頁
 . 註冊: 6954
 . 失蹤: 1
#5 : 2007-9-13 09:58 AM     只看本作者 引言回覆

nod32 也抓得到,不過消滅它的方法,仍然很繁複
上禮拜,被它折騰了好累
因為是公司,公用的電腦很多,偵防毒軟體是每部都有,但使用習慣與觀念很差,明明是跳出來偵毒訊息了,而且是中文字,他(她)們居然可以當作看不懂中文,只求那個中毒訊息畫面不要擋住視線…竟然…滑鼠過去點點關了
加上人手一隻隨身碟且到處抽插幾回合後,疫情就擴散了
緊接著哀嚎遍野,哭爹喊娘的,四處都有人在呼喊我的名字,而且後面加個"哥"字
通常加這字的時候,我就知道麻煩大了



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
yorkhung
鍛鐵驢友
等級: 7等級: 7等級: 7


今日心情

 . 積分: 92
 . 文章: 1126
 . 收花: 434 支
 . 送花: 22 支
 . 比例: 0.05
 . 在線: 1249 小時
 . 瀏覽: 3170 頁
 . 註冊: 8187
 . 失蹤: 1442
 . 美格利合貓國
#6 : 2007-9-20 09:51 PM     只看本作者 引言回覆

為了刪除這個病毒也花了我半天的時間。
不過我用的方法算是比較簡單的吧。
利用新版 Kav 刪除 Kavo 之後,接著再修改登錄檔將隱藏檔打開。
防毒軟體在刪除病毒的時候不會自動將登錄檔復原,一開始還想說必須重灌不可。



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
kram
青銅驢友
等級: 11等級: 11等級: 11等級: 11


今日心情

 . 積分: 213
 . 文章: 815
 . 收花: 1015 支
 . 送花: 5499 支
 . 比例: 5.42
 . 在線: 1053 小時
 . 瀏覽: 74110 頁
 . 註冊: 7389
 . 失蹤: 215
 . TAIWAN
#7 : 2007-9-23 12:21 PM     只看本作者 引言回覆

搞了好久
終於把它砍掉了
感謝分享囉
呵呵呵呵


我是直接執行KavoRemove.exe把它砍掉的
在安全模式裡面將他開啟執行
然後重開就好了
非常方便



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
speedinx
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 24
 . 文章: 372
 . 收花: 76 支
 . 送花: 113 支
 . 比例: 1.49
 . 在線: 925 小時
 . 瀏覽: 3780 頁
 . 註冊: 7429
 . 失蹤: 1061
#8 : 2007-9-29 12:53 AM     只看本作者 引言回覆

感謝提供這麼好用的方法
我被這病毒煩了好久
現在解決了
再次謝謝



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
lazy-dog
鐵驢友〔中級〕
等級: 5等級: 5


 . 積分: 50
 . 文章: 379
 . 收花: 276 支
 . 送花: 83 支
 . 比例: 0.3
 . 在線: 1250 小時
 . 瀏覽: 4480 頁
 . 註冊: 7283
 . 失蹤: 124
#9 : 2007-10-14 01:06 PM     只看本作者 引言回覆

阿!我重標了,正愁不知如何是好?受惠了,感謝您+鮮花。


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
planetoid
鍛鐵驢友
等級: 7等級: 7等級: 7


今日心情

 . 積分: 87
 . 文章: 312
 . 收花: 588 支
 . 送花: 1841 支
 . 比例: 3.13
 . 在線: 958 小時
 . 瀏覽: 7311 頁
 . 註冊: 8191
 . 失蹤: 19
 . 海上小島
#10 : 2007-10-18 12:30 AM     只看本作者 引言回覆


引用:
domigo寫到:
http://163.20.156.7/web/message/disp.asp?kid=2343
這個也不錯,最近終於有人開始解這病毒了...
前幾次還都蒐不到相關資訊...
害我,不知道要重灌還是怎樣...

現在我終於從這隻病毒解脫(好像也是木馬)


http://163.20.156.7/web/message/disp.asp?kid=2343裡面附檔KavoRemove.exe有問題,建議不要使用。

病毒掃瞄結果:
http://img07.imgspot.com/?u=/u/07/289/08/VirusTotalFreeOnlineVirusandMalwareScanResult20071018.jpg



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-1 06:56 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.029158 second(s), 8 queries , Qzip disabled