隨身碟病毒與無法顯示所有的檔案

隨身碟病毒與無法顯示隱藏檔?

現在隨身碟病毒氾濫的程度真的是令人難以想像,幾乎是人人有獎,相當的可怕,當你的隨身碟發生打不開、或無法開啟時,也許就是中了隨身碟病毒了。

這個隨身碟病毒主要有三個檔案,分別為kavo.exeautorun.infntdelect.com,利用登錄檔上的kava鍵值 (kavo.exe) 及autorun.inf來達成生生不息寄生在每個人的硬碟之中,它將自己的檔案屬性設定成隱藏屬性及系統屬性,並將「顯示所有檔案和資料夾」的功能給鎖住,讓你怎麼改資料夾選項的設定也改不了,你就是永遠都沒辦法在視窗的狀況下看到這些「隱藏檔」,讓你殺也殺不了,而且就算是清掉之後又很容易又再度感染。

但這些無法顯示的隱藏檔在「命令提示字元」之下卻是無所遁形的,只要打指令「dir/a」就可以看到所有的檔案清單包括隱藏檔,可見能學會一點簡單的Dos指令是有多重要的一件事。

這篇文章接下來將教大家使用

    • 「方式一、整合怪貓批次檔的移除法(Delkavo)」、
    • 「方式二、手動移除「隨身碟病毒」的流程」

等二種方式,來移除kavo的木馬程式。

2014年補充內容:

由於現在的防毒軟體,已經都能偵測附著在隨身碟中Autorun.inf這類會自動執行的木馬程式,正所謂上有政策、下有對策,因此現在的隨身碟病毒也都已經「進化」了,相關的介紹可以參考「新的隨身碟病毒感染方式,請勿點擊變成「捷徑」的檔案或資料夾!!」這篇文章。

方式一:整合怪貓批次檔的移除法(Delkavo)

一、關閉系統還原:

Step 1. 開啟【開始功能表】->【控制台】->【系統】。

Step 2. 等待「系統內容」對話盒跳出來後,點擊〔系統還原〕活頁標籤,勾選「關閉所有磁碟上的系統還原」,並點擊下方的〔確定〕,最後再按下〔是〕即完成關閉系統還原的動作。

二、清除IE(Internet Explorer)的暫存檔案:

Step 1. 開啟【開始功能表】->【控制台】->【網際網路選項】。

Step 2. 點擊「Temporary Internet files」方框的〔刪除檔案〕。

Step 3. 在跳出的「刪除檔案」對話盒上勾選「刪除所有離線內容」,最後點擊〔確定〕。

三、清除系統的暫存檔案:

Step 1. 開啟【開始功能表】->【所有程式】->【附屬應用程式】->【系統工具】->【清理磁碟】。

Step 2. 在跳出的「選擇磁碟機」對話盒中,選擇「C:」,接著點擊〔確定〕。

Step 3. 出現「(C:)磁碟清理」的對話盒後,將「要刪除檔案」裡的所有項目”全部勾選”,最後按下〔確定〕。

Step 4. 接下來會跳出「您確定要執行這些動作嗎?」對話盒,請點選〔是〕。

Step 5. 請重覆Step 2->4的動作,將電腦中每一部「磁碟機」都做過一次。

四、執行怪貓的解毒批次檔(bat file) -「DELKAVO批次檔」

Step 1. 下載「DELKAVO批次檔」,將delkavo.bat批次檔解壓縮出來。

Step 2. 將電腦重新啟動後,開進「安全模式」 (於進入安全模式請參考「電腦中毒了要怎麼辦?處理流程教學總整理」)。

Step 3. 最後再執行「delkavo.bat」檔即可。

這個批次檔是怪貓所寫的,你壓縮檔案之後檔名為「delkavo.bat」,直按雙點這個批次檔即可,雙點之後,如果出現下面這個「Windows-沒有磁片」的視窗時,請你一直的按「取消」來關掉這個警告視窗,這個取消按鈕,也許需要按個幾次。

961-01

上面的訊息為:「刪除完成,kavo的病毒已成功解除,各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的!要接上外接磁碟時請先開啟【檔案總管】再將裝置接上一定要按住【SHIFT鍵】以防止再次中毒。再從【檔案總管】的左邊點選該裝置後,再建立一個【autorun.inf】的資料夾,才安全。解毒完成,請將此畫面【關閉】後就可正常使用了,怕的話請將病毒碼更新後再做一次全系統的病毒掃描。」

老貓很細心的為每個資料夾加上「autorun.inf、kavo.exe、kavo0.dll、kavo1.dll、avp.exe」的資料夾,以免止autorun.inf檔案會再度被執行到,這些資料夾請使用者不要去刪掉它們。這個部份神雕蝦也曾經提過「最簡單的隨身碟病毒防制方法」。

資料來源:怪貓的部落格

方式二:手動移除「隨身碟病毒」的流程

也許你會覺得我已經按照我的流程都做過了,為什麼還是沒有用,的確,我這個方法的確不一定有用遇到比較麻煩的情況時,確實是沒有用。但是有一次,我曾經請一位沒有Dos經驗的人輸入這些命令,我發現他在輸入指令時,會和我教的有出入。

Advertisement

小心,輸入這些指令是不能打折扣的,多一個斜線,少一個斜線都是不行的,而且必需小心的打完整行的指令才可以打Enter鍵下達命令,要是輸入命令之後,出現「’ xxx’ 不是內部或外部命令、可執行的程式或批次檔。」時,就代表你指令已經打錯了,請你看清楚再打。

第一步:先開啟附屬應用程式裡的「命令提示字元」。如下圖:

961-02

第二步:先檢查一下我的電腦裡的每一個磁碟槽,如C與D槽,至於怎麼檢查,只要輸入指令:

dir c:\ /a/w

若是要檢查D槽的話,就輸入

dir d:\ /a/w

961-03

第三步:當發現到有「autorun.inf」與「ntdelect.com」時,在刪除它們之前,要先對它們兩位仁兄先消除「系統」、「隱藏」及「唯讀」等三種屬性。假設我們先要清除C磁碟上的檔案,所要輸入的指令如下:

attrib -s -h -r c:\autorun.inf

attrib -s -h -r c:\ntdelect.com

若是要清除D磁碟上的autorun.inf及ntdelect.com的屬性,就輸入

attrib -s -h -r d:\autorun.inf

attrib -s -h -r d:\ntdelect.com

961-04

第四步:當清完屬性之後,就可以刪除這些寄生在每個磁碟的兩位仁兄,分別要輸入的指令如下:(這裡最重要的就是別殺到檔名為NTDETECT.COM這個重要的開機系統檔,為什麼病毒的名字要取作ntdelect.com,就是為了要和NTDETECT.COM魚目混珠,只差了一個字母)

del c:\autorun.inf

del c:\ntdelect.com

若是要刪除D磁碟的檔案,指令如下:

del d:\autorun.inf

del d:\ntdelect.com

果然還是有人不小心殺到了(Gina<-),我把這個正版的「ntdetect.com」放在Hinet空間上,若是不小心殺到,請先不要重開機,若是重開機了,就要想辦法把這個檔放進C槽根目錄底下即可。

>>Windows XP Professional版的ntdetect.com<<

第五步:解決完「autorun.inf」及「ntdelect.com」之後,接下來就輪到「kavo.exe」了,要解決kavo.exe有兩個動作要做,第一個:刪除位於C:\windows\system32裡的kavo.exe;第二個再接著清除位於登錄表上的kava鍵值。接下來我們先從第一個刪除kavo.exe做起,一樣我們還是在「命令提示字元」裡完成這個動作,第一步要執行的指令和之前的一樣,都是要先解決kavo.exe的防護罩,也就是附在它身上的那三個屬性,請你執行指令:

attrib -s -h -r c:\windows\system32\kavo.exe

接著再輸入指令來刪除它,指令如下:

del c:\windows\system32\kavo.exe

接下來要做第二個動作,清除登錄表上的鍵值,關於如何清除登錄表上的鍵值,教學請參考「電腦中毒怎麼辦?手動解毒移除教學」。你要做的就是要清掉

「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run」及

「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run」裡,

名稱為「kava」,內容為「c:\WINDOWS\system32\kavo.exe」的鍵值。

第六步:就是要解決無法顯示所有檔案的問題,這個問題我們要還原登錄表上的一些數值,你可以複製以下的內容到記事本中,並將這個副檔名改成 .reg檔,然後雙點執行這個檔案來更新登錄表上的值;或是直接下載我幫大家製作好的檔案下來,檔案為 showall.reg,請在連結的上方按右鍵下載下來後,再直接雙點去執行它就可以了。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
“Text"="@shell32.dll,-30500″
“Type"="radio"
“CheckedValue"=dword:00000001
“ValueName"="Hidden"
“DefaultValue"=dword:00000002
“HKeyRoot"=dword:80000001
“HelpID"="shell.hlp#51105″

發表迴響

以經常會遇到的問題及「初學者」的角度,來看待「電腦教學」這回事。