關於部落格
聊盡天南地北,無所不聊
  • 59214

    累積人氣

  • 6

    今日人氣

    2

    追蹤人氣

kavo 病毒

甲:『竟然沒中過為什知道壓?』 .....= =||,真是個好問題... . . . . . 『因為別人中的嘛.......』。 甲:一一..『真是白爛的回答..』

正式介紹!
請注意,本解法僅適用於中了KAVO的病毒,意即您的電腦有別的病毒它是無法清除的,故本解法完成後,請務必再執行掃毒軟體將電腦全系統掃描。
  • KAVO 病毒介紹:
    • 傳染途徑
      • 透過信件
      • USB隨身碟、數位相機、手機記憶卡
      • 電腦自動開啟
      • 注意:不是插入隨身碟後用掃毒掃過,發現無病毒,就以為沒有病毒,其實有的防毒軟體 對於KAVO所產生的 autorun.infntdelect.com 兩個檔案,認為是正常的(因為他們並沒有強制破壞的指令)!
    • 它會在你的所有磁碟機中的根目錄中產生4個檔案
      • c:「autorun.inf 及 ntdelect.com」
      • 這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟就會被變成傳染媒介
      • c:windows\system32「kavo.exe 及 kavo0.dll」
      • 這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。也就是怎麼檢視隱藏檔的功能怎麼開都無效。
    • 檢查方法1:
      • 開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:autorun.inf」→按下開啟,若有開出東西就代表你可能中毒了。 當然你也可以將 C: 改成你電腦中目前有的磁碟代號。 若記事本內容會出現 open=ntdelect.com (這就是病毒名稱),這就表示你完全中毒了!
    • 檢查方法2
      • 在左下角按「開始」→「執行」→輸入「磁碟機代碼:autorun.inf」按下確定,有開出記事本就要注意了!
    • 電腦中毒症狀(無法直接使用滑鼠左鍵2下點選磁碟機,打開磁碟機時會出現下圖詢問畫面)
    • 隨身碟中毒狀態圖

  • KAVO 解決方法:
    • 清除方式一
      1. 請先下載以下的「 kavo_killer.exe」檔案(直接點擊左側檔案,即可下載)。
      2. 直接執行 kavo_killer.exe,顯示畫面如下:
      3. 點選「開始清除」,執行完成會出現如下訊息:
      4. 若顯示器桌面無法顯示桌面圖示,請再點選「顯示桌面」,即可顯示原桌面內容。
    • 清除方式二
      1. 請先下載以下的「 kavo.zip 」檔案(直接點擊左側檔案,即可下載),解壓縮後會有「解kavo步驟1.bat」、「解kavo步驟2.bat」、「DEL_AutoRun.bat」與「解法說明.txt」四個檔案
      2. 在執行時,請依照畫面的指示,切勿做其他事情!
      3. 先執行「解kavo步驟1.bat」後,它會開啟如下的DOS畫面,並顯示它的相關訊息,請依提示按下鍵盤上的任意鍵!
      4. 完成後,請重新開機,接著再繼續執行「解kavo步驟2.bat」。

        (這個步驟的執行需要一點時間,磁碟愈大時間會愈久,所以別以為當機囉!)
      5. 完成上述的兩個步驟後,為了避免繼續中毒,它還會在每個磁碟機的根目錄下,新增名為「autorun.inf」的「唯讀及隱藏」資料夾,如果您沒有調整過,根據檔案總管預設值,並不會將此資料夾顯示出來喔!
    • 清除方式三
      1. 下載del_kavo.zip後解壓縮。
      2. 裡面有三個批次檔DEL_AutoRun.bat、解kavo步驟1.bat、解kavo步驟2.bat,其中DEL_AutoRun.bat執行後會自動清除磁碟機內被病毒寫入的autorun.inf,並產生一個autorun.inf的資料夾,以防止病毒再次寫入(參考隨身碟病毒免疫的文件)。
      3. 主要需先執行【解kavo步驟1.bat】,此步驟會:
        1. 刪除磁碟中的autorun.inf及ntdelect.com的病毒檔
        2. 建立名稱為autorun.inf的資料夾,防止病毒再度寫入

        執行完畢後,請重開機。
      4. 開機完後,執行【解kavo步驟2.bat】,此步驟會執行:
        1. 將登錄檔被鎖定的隱藏檢視功能開啟
        2. 刪除kavo.exe的病毒主程式
      5. 執行完畢後,請開啟您的防毒軟體,將系統全部掃毒,以防止有其他未被發現的病毒執行!
    • 清除方式四
      1. 下載EFix.exe
      2. 執行前請先將所有程式(如word、瀏覽器…等)關閉掉
      3. 執行(按二下)EFix.exe,電腦畫面會消失,並僅會出現下列畫面,表示程式已在尋找電腦內有關KAVO.exe的病毒檔
      4. 若您的電腦之前有執行過【清除方式三】中的del_kavo.zip,因為此程式會在各磁碟機建立一個autorun.inf資料夾,以避免病毒寫入,故【清除方式四】的程式會偵測出並誤判,然後會出現【C: autorun.inf*,您確定要執行嗎(Y/N)】,請填【N】,因為此autorun.inf的資料夾已被解法一的程式改為唯讀了,您填Y的話,也無法刪除的。
      5. 直到最後出現【請按任意鍵繼續…】,即程式執行完畢!
      6. 完畢時,會出現一個掃毒的記錄檔,供高手參考用。
    • 清除方式五
      1. 關閉系統還原 -> 不知怎麼關閉看http://support.microsoft.com/kb/310405/zh-tw
      2. 使用Hijackthis選取下列項次修復 (數字項次左邊打勾後按Fix Checked),04項看到kavo或kava就選取他按Fix checked
      3. 下載OTMoveIt ,或原始網站http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
      4. 複製下列文字 C:WINDOWSsystem32kavo.exe C:WINDOWSsystem32kavo.dll C:WINDOWSsystem32kavo0.dll C:WINDOWSsystem32kavo1.dll C:WINDOWSsystem32kav0.dll C:WINDOWSsystem32kav1.dll C:ntdelect.com D:ntdelect.com E:ntdelect.com ↑有幾個硬碟槽,就複製多少(X:ntdelect.com) 注意:是ntdelect.com不是NTDETECT.COM 刪錯了就會再起不能....
      5. 執行OTMoveIt主程式,並在左半邊視窗按右鍵選貼上後按MoveIt!
      6. 系統要求重開機就重開
      7. 另外,再分別到各磁碟下把它自動生出來的autorun.inf給殺掉
      8. 備註:開啟隱藏檔的辦法: 若開啟隱藏檔功能無法運作,請修改登錄檔 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL下, 字串(DWORD)值Checkedvalue設為1
    • 清除方式六
      1. 先執行cmd呼叫「命令執行視窗」 【步驟2~4請在命令執行視窗裡下指令】
      2. 執行attrib -A -S -H -R x:autorun.inf 執行attrib -A -S -H -R x:ntdelect.com 執行attrib -A -S -H -R c:windowssystem32kavo*.* 注意:x代表自己的磁碟機,所有分割的磁碟機都要
      3. del c:windowssystem32kavo.exe del x:autorun.inf del x:ntdelect.com 注意:x代表自己的磁碟機,所有分割的磁碟機都要 注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
      4. 執行regedit
      5. 找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 裡有一個執行c:windowssystem32kavo.exe的值,砍了它,別客氣!
      6. 找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL 裡的一個值CheckedValue把它改成1
      7. 將c:windowssystem32kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了
      8. 成功刪除 c:windowssystem32kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功
      9. 再重開機後試試看能不能「顯示隱藏檔」 (本來木馬在的時候,就算選了顯示還是會跳回去), 如果可以就是大功告成了! 如果還是不放心,就看看c:windowssystem32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔 小心您的隨身碟裡是否也藏有autorun.inf和ntdelect.com這兩個檔 如果這時把隨身碟插進主機...囧...那就再來一次吧
        還有kavo病毒續篇...自己點去看吧~

    整理到這裡.....我快累死了= =...,除了文字外..全部要重用.....= =||ㄜ~,主要整理這篇是因為希望能幫助更多人,免於KAVO之苦押!!!,剩餘就沒什麼話了....累..。
    感謝 http://www.cses.chc.edu.tw/teach_doc/how_to_clear_kavo.htm http://163.21.105.88:12790/virus/kavo/kavo.htm http://jason.onweb.idv.tw/archives/002065.html http://blog.gyps.tyc.edu.tw/plog/post/1/236 http://163.19.116.2/newsview.asp?ID=3327 參考資料
相簿設定
標籤設定
相簿狀態