解決 Kavo 病毒的損害!

patient 04 十月, 2007 17:43 資安與病毒 靜態連結網址 引用 (0)

KAVO 病毒介紹:

  • 傳染途徑
    • 透過信件
    • USB隨身碟、數位相機、手機記憶卡
    •  電腦自動開啟 
    • 注意:不是插入隨身碟後用掃毒掃過,發現無病毒,就以為沒有病毒,其實有的防毒軟體對於KAVO所產生的 autorun.inf 及 ntdelect.com 兩個檔案,認為是正常的(因為他們並沒有強制破壞的指令)!!
  • 它會在你的所有磁碟機中的根目錄中產生4個檔案
    • c:「autorun.inf 及 ntdelect.com」
    • 這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟就會被變成傳染媒介
    • c:windows\system32「kavo.exe 及 kavo0.dll」
    • 這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。也就是怎麼檢視隱藏檔的功能怎麼開都無效。
  • 檢查方法1:

    • 開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:autorun.inf」→按下開啟,若有開出東西就代表你可能中毒了。
      當然你也可以將 C: 改成你電腦中目前有的磁碟代號。
      若記事本內容會出現 open=ntdelect.com (這就是病毒名稱),這就表示你完全中毒了!Yell
  • 檢查方法2:

    • 在左下角按「開始」→「執行」→輸入「磁碟機代碼:autorun.inf」按下確定,有開出記事本就要注意了!

  • 電腦中毒症狀(無法直接使用滑鼠左鍵2下點選磁碟機,打開磁碟機時會出現下圖詢問畫面)
     
  • 隨身碟中毒狀態圖(按下圖可放大成大圖)

KAVO 解決方法:

  1. 請先下載以下的「 202-kavo.zip 」檔案(直接點擊左側檔案,即可下載),解壓縮後會有「解kavo步驟1.bat」、「解kavo步驟2.bat」、「DEL_AutoRun.bat」與「解法說明.txt」四個檔案
  2. 執行時,請依照畫面的指示,切勿做其他事情!
  3. 先執行「解kavo步驟1.bat」後,它會開啟如下的DOS畫面,並顯示它的相關訊息,請依提示按下鍵盤上的任意鍵!
  4. 完成後,請重新開機,接著再繼續執行「解kavo步驟2.bat」。

    (這個步驟的執行需要一點時間,磁碟愈大時間會愈久,所以別以為當機囉!)
  5. 完成上述的兩個步驟後,為了避免繼續中毒,它還會在每個磁碟機的根目錄下,新增名為「autorun.inf」的「唯讀及隱藏」資料夾,如果您沒有調整過,根據檔案總管預設值,並不會將此資料夾顯示出來喔!

★:千萬要小心不要自以為聰明地去刪檔案,若刪到ntdetect.com刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這是病毒檔(在第3個步驟就會被刪除掉了)
ntdetect.com 這是系統開機會用到的檔案(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)


隨身碟 KAVO 解決方法:

另外,如果已知隨身碟中了Kavo的病毒,可以先執行「DEL_AutoRun.bat」檔案,並參考以下的做法來解毒:

  1. 插入隨身碟時請按住「Shift鍵」不要放開直到偵測完畢後(這一步很重要,防止電腦再次受感染!)
  2. 再執行「DEL_AutoRun.bat」,將會刪除隨身碟(含所有磁碟)中的autorun.inf,順便建立同檔名的資料夾,用來防止再被被毒寫入自動執行檔。

■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。

注意:你的隨身碟現在也是這隻病毒傳染媒體,請小心使用。

隨身碟包括「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)


Powered by LifeType
© 2006 - Design by Omar Romero (all rights reserved)