這個檔案的建立時間為2007年8月27日,上午08:41:06 所以在這段時間中的人就一定是Kavo的病毒!

它會在你的所有磁碟機中的根目錄中產生4個檔案
c:\「autorun.infntdelect.com
這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟就會被變成傳染媒介

c:\windows\system32\「kavo.exekavo0.dll
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。
也就是怎麼檢視隱藏檔的功能怎麼開都無效。

檢查方法1:開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:\autorun.inf」→按下開啟,有開出東西就代表你中毒了。當然你也可以將C:改成你電腦中目前有的磁碟代號。
open=ntdelect.com (這就是病毒名稱)

檢查方法2:在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定,有開出記事本就要注意了!

★:千萬要小心不要刪到ntdetect.com刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這是病毒檔(在第3個步驟就會被刪除掉了)
ntdetect.com 這是系統開機會用到的檔案(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)

下載:「http://longlin076.myweb.hinet.net/del_kavo.rar」解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了!『快速又有效』

■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。

★注意:你的隨身碟現在也是這隻病毒傳染媒體,請小心使用,參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)
隨身碟的處理可以參考我的另一篇文章!

▲:部份電腦會跳過幾個指令,所以建議多執行幾次「例:第1個檔案執行2次再重開機,第2個檔案執行個3次」

注:這是用批次檔寫的刪除病毒指令,動作很透明所以可以用記事本開來編輯及觀看,怕的人可以開出來看。
       (有極少數人不敢執行! 呵呵~    要怕的話應該是要怕 *.COM 及 *.EXE之類的檔案吧?)


更新說明:
9/4 把之前寫錯的nddelect.com改正為ntdelect.dll
9/5  增加建立KAVO0.DLL、KAVO1.DLL的資料夾
9/6 增加建立KAVO.EXE、NTDELECT.COM的資料夾
9/8 改用IF判斷,正確率提高不少,不過少部份電腦會停住不動(關閉再執行一次就好了)

以上是我的解法,轉貼的只要注明出處!我便不會在意    9/2 怪貓

arrow
arrow
    全站熱搜

    阿悠 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄