[討論]解決「系統隱藏資料夾無法顯示」的問題 - 第2頁

蓓兒 · #11 2007-08-24, 10:35 AM

真是太好了，雖然沒能親手玩到這隻病毒(手癢癢...打滾啊)！
不過有kazaya 親自熱心的回報詳細屠馬過程，也算是精神可嘉，
本篇除毒文章先置頂數日，日後將收納進精華文章之中~~~
在此除了感謝分享心得以外，就是加分囉！..^0^

j020 · #12 2007-09-01, 12:34 PM

現在正被這隻木馬屠殺中
幫公司同事修筆電沒想這隻這麼的毒，我插的usb 的硬碟和我家用的電腦也都掛點了
正在找文章解毒中 …

話說找著找著 ~資料如下
http://tw.knowledge.yahoo.com/questi...=1007083001701

病毒主要名稱：kavo.exe

中毒後會產生的現象：
1.「系統隱藏資料夾無法顯示」
2.每個磁碟內。如 c: d: e: f: g: Autorun.inf 會被執入執行如下內容：
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com

解決流程：
一、關閉系統還原
======================================================
二、"Auto Run 病毒 & kavo 病毒自動清除執行檔"下載位置:
「裕笠科技討論專區」
http://www.hatea.com.tw/tech/files/DelAutorun-Virus.bat

PS:1.執行完畢後,請馬上重新開機,病毒即清除完成...^^
2.請刪除 C:\Windows\system32\資料夾內的 "kavo.exe"與"kavo0.dll"檔案.
3.中毒情形為無法直接進入硬碟,會出現選擇使用何種程式開啟硬碟資料.

======================================================
三、再開登錄編輯器搜索「kavo.exe」找到此機碼就刪除之後才重開機。

======================================================
四、用記事本寫一個批次檔來殺病毒檔，將分格線中的內容貼到記事本中，使用另存新檔-存檔類型要改成「所有檔案」，檔名就打「del-kavo.bat」按下儲存後，再去執行這個檔案，病毒就被你殺掉了。
-----------------分格線-----------------
attrib -s -h -r C:WINDOWS\system32\kavo.exe
attrib -s -h -r C:WINDOWS\system32\kavo0.dll
del C:\WINDOWS\system32\kav*.*

======================================================
五、用記事本寫一個登錄檔來解決被病毒影響所造成的問題修復檔。
將分格線中的內容貼到記事本中，使用另存新檔-存檔類型要改成「所有檔案」，檔名就打「xxx.reg」按下儲存後，再去執行這個檔案，會問你是否要匯入，選是之後被影響的地方就修好了。

第四部份主要這部修正是在修正「系統隱藏資料夾無法顯示」的問題
--------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

以上由奇摩資識轉貼過來資料作者為：怪貓 ( 研究生 4 級 )
======================================================
ps:這次解毒心得
我電腦有裝諾頓 2007 和 Spyware Doctor 5.0.5.259 好笑的是 2個都有顯示檔住~
但實際上當看到有訊息跳出來緊告時，其實...巳經中毒了，實際上証明是檔不住地~

如果你有usb碟的話，之前有插入使用的可能也被在autorun.inf 執入執行 .. 最好是開機前都先插入電腦後，在執行文章最前面第一步 DelAutorun-Virus.bat

以下這紅字這小段還在確認中
我感覺這個毒會在各磁碟區都執入 ntdelect.com 東東，當然 c:\ntdelect.com 別刪掉 ...會不能開機~但其他如 d: e: f: 下面有 ntdelect.com 檔案出現好像怪怪的

我有大概看一下 DelAutorun-Virus.bat 裡面的內容應該主要是刪除Autorun.inf並關閉Autorun功能詳細
-----------------------------------------------------------------------------------------
當然作者也有寫如何回復Autorun功能則請將本檔案放置在c:\後開始 -^> 執行 -^> 輸入c:\delautorun open後按確定
(當然我是不會去回復他是覺的 autorun 的功能一直都蠻鳥的沒太大用處反而覺的很麻煩)
-----------------------------------------------------------------------------------------
以下中毒後的 autorun.inf 檔內容當然當下你中毒時，你是看不到隱藏檔的。
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com

infornet · #13 2007-09-04, 01:28 AM

原來已經有人處理過了呀！
早知道就先上來看一下，就不用辛苦了。
以下是今天04/09自已處理的狀況
==========================================================
這是個病毒，應該也是屬於autorun這一類的。
利用版上的delautorun檔無法刪除。卡巴7及antivir都可以刪除，但是卡巴7感覺比antivir紅帽還笨就是了（剛剛才幫客戶解決）

這個有變種，總共有五個檔案會產生，會在登錄檔中自動註冊一個登錄值。
五個檔案如下：
autorun.inf（每一個磁碟機皆會有）
ntdelect.com（每一個磁碟機皆會有）
kavo.exe（在%systemdrive%\system32）
j1yhipk.dll（在Documents and Settings\username\Local setting\temp）
檔案不一定（在系統還原資料夾中，關閉系統還原即可。）

今天花了我一個多小時，因為我是使用卡巴6（即然測然不到，有沒有搞錯呀！）
會發現是客戶買了卡巴7但是安裝不上起。就送過來。當然第一步懷疑中毒啦！

所以將硬碟裝在我的電腦利用卡巴6掃毒，但是就這樣連我的電腦也中了（怪自已懶）。
只好開始研究啦，就在磁碟中發現autorun.inf及delect.com這個二個檔案怪怪的，二話不說就刪除，重新開機，自動產生回來，關閉系統還原。利用delautorun檔案刪除，重開沒用，就開始檢查登錄檔，發現在HKEY_USERS\Software\Microsoft\run出現了一個奇怪的登錄值就是kavo.exe，一樣刪除，在至c:\windows\system32\，將該檔刪除。
再度重新開機，利用WinxPE開機刪除autorun.inf及ntdelect.com，重開，移除卡巴6，安裝卡巴7試試看，安裝成功，掃瞄果然有發現病毒而且無法刪除無法隔離（就是怎麼回事呀）就這樣卡巴7自動重開機，再手動掃瞄一次，就可以刪除上述的病毒了。

不信卡巴，就直接在送修的機器上用刪除該登錄值後，安裝antivir免費的那一版，安裝不用重開，直接update 病毒碼後，設定找到毒直接刪除，即然馬上就找到而且直接就刪掉了，卡巴，您要多努力了，免費的都比您好用一點呢！
__________________