分享我用acdsee 3.1 看圖軟體看隱藏檔來解kavo病毒過程
kavo.exe 木馬Troj/Lineag-GLG 感染時 會發現你不能看到隱藏資料匣(為什麼要隱藏呀) 當然是放那種.....個人的隱私呀^^
感染路徑: 每個磁碟機裡面的根目錄 產生一個autorun.inf 和ntdelect.com (隱藏檔)和植入c:\windows\system32\kavo.exe 及kavo0.dll (這兩個檔案是隱藏檔) 既然這隻病毒在感染時已經將你的WINDOWS 觀看隱藏檔功能已經關閉當然看不到呀,不管怎麼刪重開機後還是又中毒
現在教各位如何解毒 很簡單(網路教學的太麻煩了)
首先先按ctrl+alt+del鍵 叫出工作管理員 點選處理程序 找到ntdelect.com 把它按右鍵結束應用程式,然後在左下角開始執行那邊輸入 regedit 按確定 然後點選上面的編輯裡面最底下的尋找 輸入kavo.exe 按尋找 你會在找到一個機碼為c:\windows\system32\kavo.exe 直接按del鍵把它給刪除 然後在按f3 尋找下一個 你會又找到一個 一樣把它按del刪除掉 一樣按f3 直到搜尋找不到為止 然後點右上角 x 關閉它
好這時 請將最近使用的隨身碟插上
請你使用ACDSEE 3.1來解毒( 疑?為什麼) 看下去就知道了... acdsee 3.1是套看圖軟體 其中它有一個功能是可以看隱藏圖 在檢視那個功能裡面 (找一找吧) , 將看隱藏圖功能打開 然後將模式改成詳細資料檔案列表 並將每個磁碟裡面的 autorun.inf 和 ntdelect.com 刪掉 (記住是每個磁碟喔,連全部使用過的隨身碟也要刪喔) 然後在將c:\windows\system32\kavo.exe 刪掉這個檔,此時你會發現底下還有一個kavo0.dll 目前是刪除不掉的 (等下次重新開機就可以刪了) 所以我們一切將上面的檔案刪除完時 就可以重新開機了
重開機完後一樣在用acdsee 在開一次觀看隱藏檔案功能 在將c:\windows\system32\kavo0.dll 刪掉既可
這時我們要開始把原本XP 被封鎖看隱藏檔功能 打開來,在左下角開始 執行那邊輸入 regedit 按確定 然後找這串機碼HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 這個機碼點它兩下
將它0 改成1既可 ,重新開機後 就可以恢復正常了.....
P.S 在解毒的過程 請勿使用桌面我的電腦功能,全都是用Acdsee 刪檔案或瀏覽 請勿在使用xp本身的檔案瀏覽功能 因為病毒會自己再重生喔 都是autorun.inf 搞的鬼,這個檔就是每次我們放光碟 會自動撥放所用的檔案,所以切勿用 xp本身我的電腦瀏覽或刪除檔案喔 !! 不然.....嘿嘿 你殺到明年 還是解不掉的!!
本人試過 還重灌2次GHOST 灌完馬上自動又會執行autorun.inf又中毒 , 所以全部的磁碟機 都要刪喔 !!
雖然已經有高手將解kavo病毒寫成執行檔了 .......但是還是分享給大大們看
