解決kavo 隨身碟病毒

 

 

近來想必很多人都注意到這隻病毒
kavo - 隨身碟病毒
能自動感染所有的磁碟機(包含熱插拔的儲存裝置)
因為該病毒會寫入autorun.inf的自動執行檔裡
所以受感染的隨身碟一但插入電腦裡
就會自動感染該電腦裡所有的磁碟機
像是usb隨身碟~相機的記憶卡~甚至手機~MP3~MP4~MP5~MP6
都有可能被感染與散佈
毒性超級猛烈啊~
如果有下列症狀就代表中該隻毒囉

1.「我的電腦」點選磁碟機時會跳出「請選擇開啟程式」
    (如果是使用檔案總管則會正常開啟)
2.無法開啟檢視隱藏檔的選項
    (即使套用後也會被關閉)

該病毒主要會在各磁碟機裡寫入兩個檔案

autorun.inf
ntdelect.com

其中autorun.inf是用來自動執行程式的
也就是當隨身碟插入電腦時
會自動執行那一些程式
所以病毒會寫入這個檔以執行ntdelect.com這個病毒檔
而ntdelect.com則是用來download病毒的
另外在系統資料夾裡的system32里
會有kavo.exe以及kavo01.dll兩個檔案
不過感染後該病毒會將自己偽裝成系統檔
並且關閉「顯示所有檔案與資料夾」
所以無法看到該隻病毒
以下提供兩種解毒方法

第一種方法:

 

首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)

再來是下載好心人製作的解毒工具
請對著我按右鍵另存新檔
解壓縮後執行KAVO_KILLER.EXE後出現的畫面中

 


把清除項全勾選再按下清除即可

第二種方法:
首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)

再來是下載好心人製作的解毒工具
請對我按右鍵選另存新檔
下載後解開來有兩個批次檔及說明檔
將兩個批次檔(DelAutorun-Virus及123)丟到C碟根目錄
先執行DelAutorun-Virus
依其說明操作
執行完後請重開機
(隨身碟可以插著一併處理)

開完機後接著執行123
該檔案主要目的是清除病毒產生的autorun檔案
並生成同名的資料夾以避免再次被寫入
從A到Z碟一次批次完成清除的動作(包括隨身碟)

完成後接著到登錄檔去清除病毒
(在執行裡打入regedit即可進入)
利用搜尋功能尋找有kavo字串的登錄直接刪除
(直接按F3,然後輸入kavo按搜尋)
(找到後按del刪除,刪完再按F3繼續搜尋)
將登錄檔裡全部有kavo字樣的全刪光光

接下來是要讓檢視隱藏檔的功能重新開啟
請到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
下將Checkedvalue的字串(DWORD)值設為1
(通常中毒後設定會被改成0)
重開機之後應該就可以開啟檢視隱藏檔了

最後到各磁碟去將病毒檔刪除
(就是ntdelect.com這個檔)
(刪的時候要注意,有ntdetect.com這個檔是系統檔千萬別刪錯了)
(差在中間是T,病毒的是L)
(記得所有可能中毒的磁碟機包括隨身碟都要處理歐)
還要到windows\system32里面
將kavo.exe及kavo01.dll刪除
就大功告成了

如果作完上面的步驟後就沒事的話
那麼恭喜您
您中的是還沒變種前的kavo病毒
最近kavo病毒變種了
即使刪除了之後還是會自動生成回來
且變種後的病毒檔ntdelect.com
使用防毒軟體掃也不會發現風險
(以NORTON 10/4病毒碼掃瞄)
暫時的解法只能以費爾木馬刪除並抑制生成
可以暫時擋一下
大家解完毒後可以到系統資料夾\WINDOWS\SYSTEM32
裡面查一下是否有kavo02.dll(就是流水號下去)
如果有再產生就是因為變種所以毒殺不乾淨
目前尚無人能提供有效的解決辦法
只好祈求大家不要幸運中標囉

預防方法:
如果怕自己的行動碟、大拇哥、記憶卡、手機...
插到別人的電腦裡會被感染
可以做個假檔放在裡免以防被寫入
請在磁碟機根目錄新增一個ntdelect.com的目錄
屬性就設隱藏跟唯讀就好了

另一個預防方法就是關閉windows的自動執行功能
在 開始>執行 裡輸入gpedit.msc
找到 電腦設定 → 系統管理範本 → 系統
裡面會有一個選項是「關閉自動播放內容」
選擇啟動
再來把「停用自動播放在」選擇「所有磁碟機」
重開機後就生效了
或者是在開始>執行 裡輸入gpupdate/force
讓設定立即生效

foxy://download?xt=urn:sha1:LLEF3MILJRA3YGXZIHIPBQBNDCYXC5LL&xt=urn:ed2k:40697d9b380cbd80b3c0ff57f17e4891&dn=解決kava.kavo木馬問題.rar&fs=1375652

s982006 發表在 痞客邦 PIXNET 留言(0) 人氣()