|
#1
2007-08-20, 08:10 AM
| ||||
| ||||
| [討論]解決「系統隱藏資料夾無法顯示」的問題 居然,開啟隱藏系統資料夾無法顯示, os:Winxp sp2 NAV:Kaspersky Anti-Virus Personal Pro 5.0522 看了msconfig有個怪怪的一行啟動文字 [HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run] ◎資料為 "kava"=C:\WINDOWS\system32\kavo.exe 符合 參考頁面 http://www.wretch.cc/blog/kerash&article_id=10346872 解決方法: 參考其中一名受害者的 SREng 判斷出來,研究以下解決方法 一、關閉系統還原(不多說方法了) 二、可以的話進入安全模式(開機 +F8) 三、執行>regedit 找以下資料 ●[HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run] ◎資料為 "kava"=C:\WINDOWS\system32\kavo.exe ●[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ShellExecuteHooks] ◎資料為 "B058B02A-AC93-4FBA-900B-FA44D9B92805"=C:\WINDOWS\fly32.dll ------------------------中間段取消,非木馬造成元素----------------------- 上面找到的全部刪除。 接著搜尋以下資料 [C:\WINDOWS\system32\kavo.exe] [C:\WINDOWS\system32\kavo0.dll] [C:\WINDOWS\fly32.dll] [C:\WINDOWS\*****\E5ED8BC94A26.Dll(此為亂碼,直接進去資料夾找)]--- 會產生在Windows某個資料夾內,實際在哪要找 情形1:將之逐一刪除,重新開機回到正常模式,檢查仍然出現相同情形。 情形2:ghost 完仍然出現相同情形, 情形3:用另一個乾淨系統+Kaspersky Anti-Virus Personal Pro 5.0522掃毒,一插上去,就中木馬了,看樣子這個木馬不是partition型.....還可能是MBR型 但是小弟的問題是執行上述之方法亦無效,所以懇請各位先進賜予解決之道 此文章於 2007-09-05 12:05 AM 被 kazaya 編輯.  |
| kazaya 有會員給予您感謝: | ||
蓓兒 (2007-08-24) | ||
|
#3
2007-08-20, 11:34 AM
| ||||
| ||||
| 引用:
這個方式就是因為中這隻木馬而無法顯示....而且不管是有無安裝防毒軟件的系統,都不能幸免於難
__________________ 如果您覺得"文章小說討論區"所發的主題不錯 請不要吝嗇 在主題 " 點閱" 及 並給予 發文者一些鼓勵 --------------------------------------------- 為了防止世界被破壞 為了保護世界的和平 貫徹下載與燒錄的邪惡 可愛又迷人的盜版角色 MP3....Program... 我們是穿梭在網際網路中的盜版大隊~~ 拷貝 拷貝的明天正等著我們~~ 就是這樣....喵~~@@ |
|
#4
2007-08-20, 11:41 AM
| ||||
| ||||
| 引用:
偏偏大多數的防毒軟體對於登錄檔掃描似乎不是很在行,只有類似Spyware Doctor或者Ad-Aware這些軟體才會去仔細掃描, 由於我對於木馬移除不是很內行,僅能靠這些軟體幫忙了! PS: 如果可以的話,能否將病毒檔壓縮打包上傳給我(需要加密碼鎖住), 我拿VMware 的虛擬系統環境試看看能否靠上述軟體來移除。 如果檔案不大,可以打包後寄到底下這個帳號裡來。 belldandy.g@gmail.com
__________________ >>>>>>>>>>>>>>>>>>>>>> 適當的回覆是一種美德  但充滿廢話的回覆可就變成垃圾了  要有美德還是變成垃圾就全看自己的誠意囉! 如何發問才能得到高手的青睞,而得到解答呢?請看此篇-------> 提問的智慧 |
|
#5
2007-08-20, 12:28 PM
| ||||
| ||||
| 引用:
根據網路的資訊kavo.exe...是歸類為TR/Dldr.Nurech.Gen 小弟目前使用小紅傘(免費版)掃毒中...唉...小弟應該改個 nickname "木馬屠城...." 此文章於 2007-08-20 12:40 PM 被 kazaya 編輯. |
|
#6
2007-08-20, 01:29 PM
| ||||
| ||||
| 舊版的卡巴斯基是廢的....所以引擎隔段時間就要更新...原因在此 如果是舊電腦 不妨試試新版NOD32 2.7版以上 卡巴6有偵測隱藏.解殼木馬功能...上次解了2000多隻蠕蟲自我複製感染... 有點Autorun病毒味道...開啟隱藏檔 Total commander做得到 有些木馬是上網下載新病毒碼...單純的防毒軟體並不足以應付這種木馬...單一的工具也不足以解除危機 爬文上一篇小弟發的木馬移除流程~或許...能些參考XD Good Lucky
__________________ 午夜夢迴裡,在萬馬奔騰的夜裡,手持長長大劍拖地,劍揮~血灑,人~頭~落~地。 見僧殺僧!~見彿殺彿~勞關喝破~大地清明! 送積分只是獎勵,回帖才是肯定。 勇者看不到問題~眼裡瞄的都是解決方法! 名劍俱壞,英雄安在,繁華幾時相交代? 想興衰,苦為懷;東家方起西家敗,世態有如雲變改。 成,也是天地哀;敗,也是天地哀。 我劍何去何從,愛與恨情難獨鍾,我刀割破長空,是與非懂也不懂,我醉一片朦朧,恩和怨是幻是空,我醒一場春夢,生與死一切成空 |
|
#7
2007-08-20, 09:24 PM
| ||||
| ||||
| 你也可以試試kaspersky的線上免費掃毒 我是覺得加減用啦...
__________________ 經典說謊反論 有一天山羊說:我只有在謊話絕對不會被拆穿的時候才會說謊 接下來獅子也說:如果山羊說謊的話,龍說的話也是謊話 最後龍也說話了:如果有人說他知道我說的話是謊話,他並沒有說錯 請問這三個人當中到底是誰說謊? |
|
#8
2007-08-20, 11:36 PM
| ||||
| ||||
| 引用:
 實驗時將會直接放在封閉的虛擬機器中運行,所以病毒即使無法清除也無所謂, 加上外部實體系統也完成了GHOST備份,萬一毒發身亡就把整個系統低階格式化, 因此倒是不擔心會有啥後遺症。 有空就把毒丟給我,或者直接告訴我病毒哪邊可以取得...(伸手) PS: 剛好可以拿KIS 7.0版來開刀,評估7.0版是否真有比較強悍。
__________________ >>>>>>>>>>>>>>>>>>>>>> 適當的回覆是一種美德 但充滿廢話的回覆可就變成垃圾了 要有美德還是變成垃圾就全看自己的誠意囉! 如何發問才能得到高手的青睞,而得到解答呢?請看此篇-------> 提問的智慧 |
|
#9
2007-08-21, 07:47 AM
| ||||
| ||||
| 引用:
01.Ghost 還原(DOS模式下還原):Fail(中木馬) 02.另一顆Kaspersk 5.x 掃毒(正常模式):Fail(找不到) 03.手動刪除機碼(安全模式/正常模式):Fail(找到,可刪機碼,但無法抑止木馬) 04.原本Kaspersk 5.x掃毒(安全模式/正常模式):Fail(找不到) 05.PC-Cleaner掃毒(正常模式):Fail(找不到) 06.諾頓線上/PC-cillin線上(正常模式):Fail(找不到) 07.費爾木馬強力清除助手(共享)(安全模式/正常模式):Fail(找到,不可刪)→真是死要錢,一定要註冊才能刪除? 08.AntiVir/AVPE(正常模式):Fail(找到,可刪,但無法抑止木馬) 09.KIS 7.X(共享)(正常模式)(安全模式):Fail(找不到)→事後安裝所以.... 10.AntiVir/AVPE(安全模式):OK(找到,可刪,抑止木馬,但無法直接點選D碟,需用指令 Run→explorer d:\) 11.KIS 7.X(有key的)(正常模式):Fail(找到,刪掉木馬,但系統隱藏資料夾,依然無法顯示)→ 12.KIS 7.X(有key的)(正常模式):刪除木馬+ghost還原+立即安裝KIS 7.X+升級XPSP2 updated:OK ================================== 剛找到別人的解決之道 http://forum.slime.com.tw/showthread.php?t=213786 1.把 MS07-017這個漏洞修補起來... http://www.microsoft.com/downloads/d...displaylang=en 2.F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows NT\SERVICES.EXE, O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') 勾選並修復上述項目, 重新開機, 在安全模式下以管理員帳號登入 windows, 刪除下列檔案: C:\Program Files\Windows NT\SERVICES.EXE C:\WINDOWS\system32\kavo.exe 目前仍有桌機等待救援....待小弟看是否能打包病毒起來 另外一個問題是 "無法直接點選D碟,需用指令 Run→explorer d:\" 是否小弟需另行開題?
__________________ 如果您覺得"文章小說討論區"所發的主題不錯 請不要吝嗇 在主題 " 點閱" 及 並給予 發文者一些鼓勵 --------------------------------------------- 為了防止世界被破壞 為了保護世界的和平 貫徹下載與燒錄的邪惡 可愛又迷人的盜版角色 MP3....Program... 我們是穿梭在網際網路中的盜版大隊~~ 拷貝 拷貝的明天正等著我們~~ 就是這樣....喵~~@@ 此文章於 2007-08-22 12:34 PM 被 kazaya 編輯. |
|
#10
2007-08-24, 06:37 AM
| ||||
| ||||
| 引用:
嗯!網路又找了找.....發現更省事的方式.... 1.先用USBcleaner開啟,並刪除病毒(可開隱藏資料夾) http://bbs-mychat.com/read.php?tid=638409 2.尋找Kavo.exe/kavo0.dll,並刪除機碼
__________________ 如果您覺得"文章小說討論區"所發的主題不錯 請不要吝嗇 在主題 " 點閱" 及 並給予 發文者一些鼓勵 --------------------------------------------- 為了防止世界被破壞 為了保護世界的和平 貫徹下載與燒錄的邪惡 可愛又迷人的盜版角色 MP3....Program... 我們是穿梭在網際網路中的盜版大隊~~ 拷貝 拷貝的明天正等著我們~~ 就是這樣....喵~~@@ |
![[討論]解決「系統隱藏資料夾無法顯示」的問題](http://forum.shareget.com/iconimages/t300899_ltr.gif)
平板模式
