kavo.exe / kavo.dll 病毒
中毒表徵
1. 無法顯示隱藏檔案 / 或者在我的電腦中無法點選磁碟
電腦無法顯示1.隱藏的檔案及資料夾 2.保護的作業系統檔案 (例副檔名為dll的檔案)
即使核取,但仍無法看見隱藏的檔案,或套用後離開,立即又被更改回不顯示,即有可能已經中毒。
2. 硬碟內含有不明檔案
硬碟或者隨身碟內有一隱藏檔案名為 ntdelect.com 以及autorun.inf,該autorun.inf內容為呼叫ntdelect.com之用,
待含毒的隨身碟插入電腦時,立即能夠將病毒灌注入電腦內。
解毒方式
裝有防毒軟體的使用者,在偵測到此病毒時,由於病毒已常駐於記憶體內,故無法將其刪除,
甚至無法看到該中毒檔案(因為它會讓隱藏檔不顯示),
故應先執行 “系統設定共用工具 msconfig
將kavo.exe 相關的啟動項目關閉,並重新開機,令其下次開機後無法自動啟動。
重新開機後,
利用檔案搜尋的方式,勾取進階選項內的搜尋隱藏檔案及資料夾,
搜尋kavo相關檔案,應該會找到放置在c:\windows\system32\ 下的數個隱藏檔案,刪除之。
安裝 隱藏檔案恢復登錄檔 回復隱藏檔案的功能(或者你要去登錄檔慢慢找也行)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:1
"DefaultValue"=dword:2
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:80000001
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"
再將登錄檔內與kavo相關的登錄檔刪除。
順便將電腦內暫存檔案
C:\Documents and Settings\”某某某使用者”\Local Settings\Temp 內檔案全數刪除
以及網路瀏覽器的暫存檔案刪除。
並且把硬碟、隨身碟,記憶卡內的ntdelect.com 以及autorun.inf 刪除。
特別注意!此處為 n t d e l e c t .com 非 n t d e t e c t .com
C槽的刪錯,將開不了機!
建議可以再安裝
1.微軟KB925902系統更新及
2.網路上的DelAutorun-Virus.com 將隨身碟的自動啟動autorun功能關閉,
因為近來的隨身碟病毒多利用此途徑進入電腦,為求安全起見,建議安裝。
再次重開機後,恭喜您已經把病毒刪除了。
註:解毒後並非百毒不侵,若再將有毒的隨身碟插入電腦,仍然會造成中毒,切記!
By Jacques.C
中毒表徵
1. 無法顯示隱藏檔案 / 或者在我的電腦中無法點選磁碟
電腦無法顯示1.隱藏的檔案及資料夾 2.保護的作業系統檔案 (例副檔名為dll的檔案)
即使核取,但仍無法看見隱藏的檔案,或套用後離開,立即又被更改回不顯示,即有可能已經中毒。
2. 硬碟內含有不明檔案
硬碟或者隨身碟內有一隱藏檔案名為 ntdelect.com 以及autorun.inf,該autorun.inf內容為呼叫ntdelect.com之用,
待含毒的隨身碟插入電腦時,立即能夠將病毒灌注入電腦內。
解毒方式
裝有防毒軟體的使用者,在偵測到此病毒時,由於病毒已常駐於記憶體內,故無法將其刪除,
甚至無法看到該中毒檔案(因為它會讓隱藏檔不顯示),
故應先執行 “系統設定共用工具 msconfig
將kavo.exe 相關的啟動項目關閉,並重新開機,令其下次開機後無法自動啟動。
重新開機後,
利用檔案搜尋的方式,勾取進階選項內的搜尋隱藏檔案及資料夾,
搜尋kavo相關檔案,應該會找到放置在c:\windows\system32\ 下的數個隱藏檔案,刪除之。
安裝 隱藏檔案恢復登錄檔 回復隱藏檔案的功能(或者你要去登錄檔慢慢找也行)[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:1
"DefaultValue"=dword:2
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:80000001
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"
再將登錄檔內與kavo相關的登錄檔刪除。
順便將電腦內暫存檔案
C:\Documents and Settings\”某某某使用者”\Local Settings\Temp 內檔案全數刪除
以及網路瀏覽器的暫存檔案刪除。
並且把硬碟、隨身碟,記憶卡內的ntdelect.com 以及autorun.inf 刪除。
特別注意!此處為 n t d e l e c t .com 非 n t d e t e c t .com
C槽的刪錯,將開不了機!
建議可以再安裝
1.微軟KB925902系統更新及
2.網路上的DelAutorun-Virus.com 將隨身碟的自動啟動autorun功能關閉,
因為近來的隨身碟病毒多利用此途徑進入電腦,為求安全起見,建議安裝。
再次重開機後,恭喜您已經把病毒刪除了。
註:解毒後並非百毒不侵,若再將有毒的隨身碟插入電腦,仍然會造成中毒,切記!
By Jacques.C
發表文章
保留原作者之姓名標示 Attribution. 帰属. 저작자표 시. ] [ 2.
非商業性 Noncommercial. 非営利. 비영리. ] [ 3.
禁止改作 No Derivative Works. 派生禁止. 변경금지. ]