近來想必很多人都注意到這隻病毒
kavo - 隨身碟病毒
能自動感染所有的磁碟機(包含熱插拔的儲存裝置)
因為該病毒會寫入autorun.inf的自動執行檔裡
所以受感染的隨身碟一但插入電腦裡
就會自動感染該電腦裡所有的磁碟機
像是usb隨身碟~相機的記憶卡~甚至手機~MP3~MP4~MP5~MP6
都有可能被感染與散佈
毒性超級猛烈啊~
如果有下列症狀就代表中該隻毒囉

1.「我的電腦」點選磁碟機時會跳出「請選擇開啟程式」
    (如果是使用檔案總管則會正常開啟)
2.無法開啟檢視隱藏檔的選項
    (即使套用後也會被關閉)

該病毒主要會在各磁碟機裡寫入兩個檔案

autorun.inf
ntdelect.com


其中autorun.inf是用來自動執行程式的
也就是當隨身碟插入電腦時
會自動執行那一些程式
所以病毒會
寫入這個檔以執行ntdelect.com這個病毒檔
而ntdelect.com則是用來download病毒的
另外在系統資料夾裡的system32里
會有kavo.exe以及kavo01.dll兩個檔案
不過感染後該病毒會將自己偽裝成系統檔
並且關閉「顯示所有檔案與資料夾」
所以無法看到該隻病毒
以下提供兩種解毒方法

===我是第一種方法===我是第一種方法===

首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)

再來是下載好心的書維大製作的解毒工具
請對著我按右鍵另存新檔
解壓縮後執行KAVO_KILLER.EXE後出現如下畫面

直接按下清除即可

===我是第二種方法===我是第二種方法===

首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)

再來是下載好心人製作的解毒工具
請對我按右鍵選另存新檔
下載後解開來有兩個批次檔及說明檔
將兩個批次檔(DelAutorun-Virus及123)丟到C碟根目錄
先執行DelAutorun-Virus
依其說明操作
執行完後請重開機
(隨身碟可以插著一併處理)

開完機後接著執行123
該檔案主要目的是清除病毒產生的autorun檔案
並生成同名的資料夾以避免再次被寫入
從A到Z碟一次批次完成清除的動作(包括隨身碟)

完成後接著到登錄檔去清除病毒
(在執行裡打入regedit即可進入)
利用搜尋功能尋找有kavo字串的登錄直接刪除
(直接按F3,然後輸入kavo按搜尋)
(找到後按del刪除,刪完再按F3繼續搜尋)
將登錄檔裡全部有kavo字樣的全刪光光

接下來是要讓檢視隱藏檔的功能重新開啟
請到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\

下將Checkedvalue的字串(DWORD)值設為1
(通常中毒後設定會被改成0
)
重開機之後應該就可以開啟檢視隱藏檔了

最後到各磁碟去將病毒檔刪除
(就是ntdelect.com這個檔)
(刪的時候要注意,有ntdetect.com這個檔是系統檔千萬別刪錯了)
(差在中間是T,病毒的是L)
(記得所有可能中毒的磁碟機包括隨身碟都要處理歐)
還要到windows\system32里面
將kavo.exe及kavo01.dll刪除
就大功告成了

===我也是分隔線===我也是分隔線===

如果作完上面的步驟後就沒事的話
那麼恭喜您
您中的是還沒變種前的kavo病毒
最近kavo病毒變種了
即使刪除了之後還是會自動生成回來
且變種後的病毒檔ntdelect.com
使用防毒軟體掃也不會發現風險
(以NORTON 10/4病毒碼掃瞄)
暫時的解法只能以費爾木馬刪除並抑制生成
可以暫時擋一下
大家解完毒後可以到系統資料夾\WINDOWS\SYSTEM32
裡面查一下是否有kavo02.dll(就是流水號下去)
如果有再產生就是因為變種所以毒殺不乾淨
目前尚無人能提供有效的解決辦法
只好祈求大家不要幸運中標囉

===我還是分隔線===我還是分隔線===

預防方法:
如果怕自己的行動碟、大拇哥、記憶卡、手機...
插到別人的電腦裡會被感染
可以做個假檔放在裡免以防被寫入
請在磁碟機根目錄新增一個ntdelect.com的目錄
屬性就設隱藏跟唯讀就好了

另一個預防方法就是關閉windows的自動執行功能
在 開始>執行 裡輸入gpedit.msc
找到 電腦設定 → 系統管理範本 → 系統
裡面會有一個選項是「關閉自動播放內容」
選擇啟動
再來把「停用自動播放在」選擇「所有磁碟機」
重開機後就生效了
或者是在
開始>執行 裡輸入gpupdate/force
讓設定立即生效

===最後的分隔線===最後的分隔線===

後記:
今天解的真是哭天喊地
小弟的公司已有7個病例
其中一個是變種的
現在依然掛病號中....
希望大家都要養成好習慣
LIVE UPDATE記得作
防毒軟體記得裝
病毒碼記得更新
東西不要亂插
來路不明的東西記得不要點
(比方MSN、郵件)
即使是熟人朋友也有可能是病毒的溫床
還請大家不要大意呀~

如果大家有興趣可以互相交流一下
如有更好的方法也請不吝賜教
小弟會非常感激

Posted by Neo at 痞客邦 PIXNET 留言(80) 引用(0) 人氣()


open trackbacks list Trackbacks (0)

留言列表 (80)

Post Comment
  • 洗米
  • 我就是病人之一。不過已康復囉~

    我就是病人之一啦
    不過拖您的福公司的電腦已經康復
    現在就勞煩您~我的個人NB啦
    謝謝囉~neo真是電腦的好醫生!!
  • mui
  • ㄟ嘿~

    我是第100個!!
    感謝推推!!!!

    KAVO毒,MIS更強呀~
    為了各位偉大的MIS致上最深的敬意!!
    請大家拍拍手!!
  • cage921
  • 太感謝了^_^完全解決

    之前那autorun.inf一直困擾著我!
    用了你的解除病毒程式,真的是太好用了。而且我的NB之前右下面的電池顯示圖、與喇叭圖式都不見
    進去控製台可以開的出來,不過重開機後就有不見~~~
    弄了你的程式,這些問題也都解決了~~~太帥了!!!感激不盡^^
    以後有不懂的再問你~謝謝
  • 不客氣~歡迎交流~

    Neo replied in 2007/10/29 11:54

  • Pandora
  • 救命啊

    我按→開始→執行後,出現無法找到gpedit.msc
    試著用另一個方法gpupdate/force,也是不行,請教教我該怎麼做吧!
    萬分感激!!
  • 您的XP應該是Home版的吧,這是正常的因為Home版沒有gpedit.msc這隻程式,請改在「執行」裡輸入regedit,將
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom
    將Autorun原本的0x00000001(1)的值中的1改為0
    改完後會變成0x00000000(0)這樣就可以了.

    Neo replied in 2007/11/03 01:28

  • 小宜
  • 謝謝你的方法

    HELLO您好:
    這二天我的隨身碟中了RECYCLER的毒,到知識上去查詢,看到您的回答,也照著步驟一步步的執行(我用的是方法二),但執行到最後要到各磁碟去將病毒檔刪除
    (就是ntdelect.com這個檔)時,我找不到,所以也沒東西可以刪,不過最後處理完後,我的每個硬碟裡,都有個資料夾.叫auto.txt在D槽就叫dauto.txt,他是資料夾唷..不是筆記本的檔案,請問我是否沒做到什麼動作呢?
  • 你好~第二種方法所提供之小程式
    會將每個disk裡的autorun.inf改名為dauto.txt(假設在D槽)
    並集中移至C:\autodir裡作刪除
    照理說應該是不會看到才對
    不過我剛剛檢查了分享的小程式
    裡面有少打到字所以會變成這些該刪掉的Xauto.txt還沒刪掉
    這些Xauto.txt請直接刪除就好沒有影響
    第二個方法的小程式我修正後會再重新上傳
    如有問題可以留言討論看看囉~

    Neo replied in 2007/11/03 22:55

  • Private Comment
  • 斷空我
  • 感恩

    其實之前就有先用防毒軟體+手動操作解決問題
    但是今天得知病毒名後再下去登錄檔搜尋果然找到病毒
    雖然不知還有沒有效 不過總是看了不順眼
    還是順利刪除了
    只是 那些檔上方有個叫"預設值"
    不知道是不是跟病毒同國的
    加上搜尋之後 病毒登錄檔是在一個叫5304的資料夾 另外還有5306的資料夾雖然沒被查說跟kavo有關 但是裡頭只有一個windos.exe檔 不知道是不是也同樣是病毒的相關檔呢

    總之 很感謝您的文章和心力OTZ
  • 其實在手動清除病毒時,有時候會以時間作為判斷的依據,像這次kavo所產生的假檔ntdelect跟系統檔ntdetect長的很像,但以時間點來看就發現時間差很遠,所以檔案的時間點也是過濾病毒食的一個參考

    Neo replied in 2007/11/04 18:10

  • Private Comment
  • Private Comment
  • 迷你豬
  • 資料在不在

    請問如果我殺掉病毒後手機和電腦裡的音樂.圖片還在嗎?
  • 請不用擔心東西都會在
    這個病毒算是木馬程式
    並不會破壞資料

    Neo replied in 2007/11/06 12:48

  • Private Comment
  • Pandora
  • 非常感謝

    非常感謝您的幫忙!
    您的大恩大德沒齒難忘啦 ^_^
  • NOIR★
  • 我照著第一種方法清過了
    看了一下好像也沒有變種
    但是即時通好像還是一直斷線
    就是可以登進去 但是不時會斷線
    是不是YAHOO自己的問題呢
    還是感謝大大的方法!!
  • 烏龜
  • 謝謝大大

    感謝大大 我也是病人之一 康復了 卸卸卸大大分享
  • 靛羽風蓮
  • 我的電腦

    我家的電腦無法檢視隱藏檔,不知道是不是中了kavo隨身碟病毒耶?
  • 您可以把資料夾選項裡的顯示所有檔案合資料夾打開試試,如果還是看不到就是中獎囉

    Neo replied in 2007/11/15 23:36

  • 辣 *
  • 謝謝

    謝謝你
    你真厲害
    還是要請問一下:
    1.我是用第一個方法
    但我資料夾的東西還是無法顯示出來
    用了還是用不出來
    怎麼辦?
    2.用完之後
    我不知道病毒到底還在不在
    不知道有沒有把病毒刪掉
    不知道有沒有把電腦掃乾淨
    請問要怎麼看? = =
    謝謝你。
  • 1.請到
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
    下將Checkedvalue的字串(DWORD)值設為1
    (通常中毒後設定會被改成0)
    重開機之後應該就可以開啟檢視隱藏檔
    2.可以顯示隱藏檔後可以檢察各磁碟機跟目錄裡是否還有"ntdeledt.com"這個檔案,以及windows/system32裡面看看還有沒有kavo為檔名的檔案

    Neo replied in 2007/11/15 23:40

  • 過路人
  • 感謝

    這請問
    要怎麼去HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
    是在哪裡? = =
    請指導
    謝謝
  • 請在開始功能表裡點選"執行"之後輸入regedit按下enter後即可進入登錄檔裡進行編集

    Neo replied in 2007/11/17 23:05

  • HAPPY
  • 我的隨身碟也都是重了毒
    但是MP3的毒殺完後
    有檔案不見~而且有音樂不能聽
    怎麼會這樣~~

    即時有時候還會自己斷線>"<
  • 您要不要再掃看看還有沒有中別的毒呢?如果只單是kavo病毒的話不至於會讓您的檔案不見,音樂不能聽就要看您的詳細情況為何,建議您使用最新病毒碼的防毒軟體全系統再掃描一次

    Neo replied in 2007/11/17 23:14

  • 楓葉
  • good

    這是一篇很好的文章
    我想要轉貼 不知行不行
  • 請隨意轉貼,造福更多的朋友

    Neo replied in 2007/11/17 23:06

  • 大毛
  • 那我要如何恢復自動播放?

    的確我用第二種方式那我要恢復自動播放但是你的連結中少了恢復自動播放自動播放的檔案
  • 如果要使用自動撥放,可以在執行裡輸入gpedit.msc進入群組原則,在"系統管理範本"裡的"系統"裡將"關閉自動播放"這個選項停用即可

    Neo replied in 2007/11/17 23:11

  • 感激
  • 謝謝你<受益良多>

    謝謝你
  • 不客氣~很高興幫到你

    Neo replied in 2007/12/02 19:15

  • 小精靈
  • 你好,請問一下

    我好象也是中k毒了,但我發有一個外接硬碟其中有一個曹要格式化,因我每次點那一個曹,他就要要求我格式化,我要如何處理呢
  • 出現這個訊息很有可能是隨身碟已經故障了
    您可以格式化看看
    如果格式化後還是會出現這個訊息
    可能就只好把隨身碟送回原廠修囉

    Neo replied in 2007/11/19 08:06

  • 寶寶
  • 你好,我想問一下

    我是用第二種方法的,但到了最後有3個檔有ntdelect.com的我要全刪嗎?還有我把Checkedvalue的字串預設值改成1後又變回0
  • 1.如果是叫作ntdelect.com的檔案就是病毒檔要刪掉
    2.值改成1又變回來代表病毒還在
    建議你用第一個方法的小程式來殺毒,可以順便把隨身碟也一併處理,第一個方法的程式就是作第二個方法的那些事,可以安心使用

    Neo replied in 2007/11/20 22:39

  • 電腦白痴是我
  • 電腦白痴

    第一個方法,我去下載了可是不能用,指跑出一個黑黑的視窗
    第二個方法我又看不懂
    可以說明的再淺顯易懂一點嗎??
    謝謝
  • 抱歉現在才回,原則上請先把網路跟防毒軟體都先關掉,然後再執行第一個程式試看看,另外我有一篇文叫safeusb,您可以用那個程式也掃掃看

    Neo replied in 2007/11/26 07:52

  • 電腦中的白痴霸主
  • 就不活阿...

    我試過第2種方法 可是有些步驟在我點腦幾乎找不到 我只知道 我開啟工作管理員 處理程序裡 有一個檔案一值再吃我的CPU 我要把它關掉才不會LAG 可是關掉過沒多久他又自己啟動了><" 到底該怎麼辦呢?
    我用第一種方法好像也沒用...
  • 抱歉現在才回,不知道那個吃資源的程序較什麼名字呢?有名字比較好解歐,另外不知道您有沒有把系統還原關閉呢?如果沒關閉很多病毒都會解不掉歐!
    另外我有另一篇文分享一個叫magic process,使用那個軟體可以讓你找到執行中程序的檔案真實位置,有問題的檔案就直接刪除吧

    Neo replied in 2007/11/26 07:52

  • susan
  • 我也是受惠者之一

    你真的很棒耶!你的程式真的是沒話說…
    我用了一整天在掃,結果拜讀到你的知識家…不用十分鐘我解決了!
    真的感謝你哩~~~
  • 電腦中
  • 救不活阿...

    那個檔案室spoolsv.exe 這個是病毒麻?
    只要他依出現我的CPU值就變100%
    電腦便跑很慢 關掉就不會了
    可是過沒多久又跑出來了
  • spoolsv.exe是管理印表機的程式,主要是將檔案放到記憶體裡稍後再列印類似多工緩衝,是會有機會中病毒,請到C:\WINDOWS\system32裡面檢查會有一個執行檔叫spoolsv,大小應該是57k,如果不是這個大小就是病毒了
    如果是57k的話建議幾個做法
    1.請到C:\WINDOWS\system32\spool\PRINTERS 裡面看看,如果有任何的檔案在裡面請全部刪除
    2.如果不使用印表機的話,可以將"服務"裡面的"print spooler"給停用
    3.另外~請檢查XP是否有記得更新,因為這是一個已知的bug,請在微軟搜尋KB896423,下載這個更新
    如果還是不行也請再掃毒看看,有問題可以再提出歐

    Neo replied in 2007/11/26 20:06

  • 蝸牛
  • 再請教可以ㄇ!?

    您好唷!!
    我不知道有動到什麼地方~~~在病毒殺掉後
    yahoo 還是無法執行 還出現一個錯誤碼
    (0x80000003)還有一個位置(0x011fd650)
    粉困擾ㄋ!!
    不知大大可否指點一二..不勝感激 祝您 日安ㄛ
  • 我想您還是再掃一下毒比較好歐
    我是指用防毒軟體的最新病毒碼下去掃歐

    Neo replied in 2007/11/28 07:52

  • 修~
  • 關於病毒

    請問為什麼用了KAVO_killer後
    每當關機後在開機
    即時通都要進不去
    每一次都要用KAVO_killer
    在重新安裝才能使用
    這是為什麼?
  • 請先確認kavo病毒是否都清乾淨了
    每個磁碟機都有把delect.com這個檔給清掉

    Neo replied in 2007/12/02 19:02

  • Wisteria
  • 找不到

    我用的是第二種方法,
    可是當我打開DelAutorun-Virus批次檔要按照指示執行時,
    卻找不到delautorun這個檔耶~
    怎麼會這樣?
    是我哪裡出錯了嗎??
  • 用第二個方法請下載檔案解壓縮後就會有兩個執行檔
    DelAutorun-Virus.bat是其中之一歐

    Neo replied in 2007/12/02 19:04

  • J
  • 抱歉,請問一下啥是碟根??

    關於第二個方法能再解釋的清楚點嗎??我只會玩遊戲,看不懂這個,拜託嚕!!
  • 碟根就是磁碟機的根目錄
    也就是磁碟機的最上層
    例如c:\

    Neo replied in 2007/12/02 19:05

  • J
  • 請問一下,關於第一個方法

    請問我用第一個方法後去C://WINDOWS/system32看有2ㄍ檔叫kavo0.dll和kavo1.dll那是沒砍乾淨還是本來就有的??
  • kavo0.dll和kavo1.dll都是病毒
    請立即刪除
    只要是kavo就是病毒

    Neo replied in 2007/12/02 19:06

  • 呆呆
  • 救救我

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\←這是神ㄇ一ㄙㄚ看不懂
  • 請到開始裡的"執行"
    輸入"regedit"進入登錄檔編輯程式
    再照著這個路徑一層層去找就可以找到了

    Neo replied in 2007/12/02 19:07

  • J
  • 抱歉請問一下

    我在看一ㄍ中毒的檔案裡面是啥的時候,不小心把Microsoft Office Picture Manager變成開啟用的程式了,結果現在應用程式都不能正常開啟,我要怎麼把它改回來呢??
  • 請對著該檔案按右鍵
    選擇"開啟檔案"裡面的"選擇程式 "
    再重清單裡面挑正確的的程式點選後
    並勾取"永遠用選擇的程式來開啟這種檔案"即可
    另外~既然是中毒的檔案您為何還要去開它呢??

    Neo replied in 2007/12/02 20:41

  • 小玲
  • ntdelect.com去哪找呢

    您好
    我已按照第一種方法除掉病毒 但是最後的最後到各磁碟去將病毒檔刪除
    (就是ntdelect.com這個檔)這要怎麽找ㄚ???
    我點進去C槽後 然後我就不會了
    謝謝
  • 如果是用第一個方法就會幫你刪掉病毒檔
    歐~不用自己刪~

    Neo replied in 2007/12/09 07:37

  • SantAngel
  • 閣下你好
    我想詢問一下...
    我已經根據步驟一個一個去執行
    最後也重開機...
    即時通也重灌過
    可是ˊˋ
    我的及時通依然不會動作呢...
    其他的程式卻還可以用

    ---------
    以上
    能夠指導一下嗎@@?
  • 如果是這樣請再確認看看是否還有中其他病毒,如果沒有其他毒的話,請移除即時通並將登錄檔內所有即時通的字串都刪除,之後再重裝一次應該就可以了

    Neo replied in 2007/12/09 07:41

  • SantAngel
  • 另外
    我想問一下...
    諾頓 一直在我電腦上發現W32.Gammima 這是什麼病毒呢!?

    一直跳出來...
    都不清楚哪來的ˊˋ
  • 這應該是木馬~諾頓會告訴您是在哪裡發現的,請到諾頓的防毒報告裡看,建議您換個防毒軟體試試,也許就能刪掉了

    Neo replied in 2007/12/09 07:59

  • SantAngel
  • 喔喔

    謝謝
    我已經解決了^^
  • 不客氣

    Neo replied in 2007/12/12 02:10

  • ZOE
  • 感激

    太感謝您ㄌ~你解除我重灌危機~
  • 不客氣

    Neo replied in 2007/12/12 02:11

  • Elros
  • 請問一下
    抓了kavo_killer(8~9KB)
    先是一個視窗不知在跑什麼
    要刪除這檔的時候卻說有程式使用刪不掉
  • kavo_killer應該有800KB歐~
    您是否抓檔不完全呢?
    請試試重新下載一次再執行

    Neo replied in 2007/12/29 09:47

  • Beeru Kawaii
  • 真是謝謝你

    我在windows/system32內找到 kavo1.dll
    不是像你說的kavo02.dll
    請教您 這樣還要刪除嗎
  • 要!!請刪除!!

    Neo replied in 2008/01/04 00:51

  • Beeru Kawaii
  • 還有一各白痴問題

    請在磁碟機根目錄新增一個ntdelect.com的目錄
    請問這是什麼意思?
    是在檔案夾中,按右鍵新增一各檔案的意思嘛?
  • 就是電腦磁碟機一點開的第一層
    按右鍵新增一個資料夾
    然後命名為ntdelect.com

    Neo replied in 2008/01/04 00:56

  • Kyoko
  • 你好

    這篇文章幫助我很多次 所以想轉貼到部落格幫助更多人 (會註明轉載)
    謝謝
  • 沒問題~很高興能幫到你

    Neo replied in 2008/01/04 21:31

  • Private Comment
  • wensin815
  • 不好意思。
    我另存目標第一種之後是一個網頁
    並不是壓縮檔欸。
    還有,第二種的裡面只有兩個批次黨
    沒有看到說明檔
    還有要如何把兩個批次檔丟到C碟根目錄??

    不好意思。我太笨了
    全部都看不懂~
  • 我測試過第一個載點下載沒問題
    你可以再試試看
    第一個程式比較簡單只要執行就好了

    Neo replied in 2008/01/16 00:05

  • 丸子
  • 解壓縮後有2個東西
    ㄧ個是Delautorun-virus一個是123
    您說把他們丟在C碟裡的意思是指移到C碟嗎?
    然後先執行De...依說明操作(是黑色框框嗎???)
    可是我按開始→執行→打C:\delautorun
    找不到= =怎麼會這樣?
    再來是執行123...他也是寶出一個黑色框框...好多找不到指定檔案.跑完出現1個autodir的資料夾??裡面有文字記事本..

    刪除kavo那kave要媽?

    不好意思..麻煩了
  • 複製到根目錄只要用檔案總管去點兩下就可以執行囉~
    kave也不是windows的檔案可以刪除

    Neo replied in 2008/01/16 00:08

  • Joe
  • 如何挽救隨身碟資料

    請問一下.
    我好像也是中k毒了,我有一個隨身碟一直要求格式化,但我有重要資料在裡面,如何挽救?
  • 請問是出現「尚未格式化嗎?」
    不知道您的是哪一種隨身碟
    不過建議您可以拿到其他電腦上試試
    也許就能開了~
    這種狀況比較常是隨身碟的分割表壞了
    比較少是中毒
    您在別台電腦上試如果可用就趕快把資料先讀出來
    然後再把隨身碟格式化
    有的MP3之類的隨身碟
    必須用它本身內附的程式作格式化
    通常也會附修復程式
    如果您是這種隨身碟的話
    建議可以看看隨附光碟有沒有工具程式能用

    Neo replied in 2008/01/16 21:23

  • Joe
  • 如何挽救隨身碟資料

    首先先謝謝您的Kavo_killer程式及殺毒方法,
    但wincab.sys(Hacktool Rootkit)卻一直存在, 直到用解馬大師, 同時也將c:\ Documents and Settings\使用者\Local Settings\Temp\所有檔案清除, wincab.sys才消失.
    我的隨身碟是三年前的產品-PocketGear2.0 256MB
    先前有用DOS的Attrib命令去查看在根目錄下有4,5個莫名其妙的檔案, 例如autorun.inf, ntdelect.com …….. (其他的檔名忘了)etc, 我試著刪除這些檔案, 但是卻無法刪除autorun.inf, ntdelect.com這兩個檔案, 爾後就不理了, 忘了拔插隨身碟有幾次(可能第二次要再使用, 就出問題了.
    出現的畫面如下
    "磁碟機H中的磁碟未格式化。
    現在格式化嗎?"
    另一台有ntdelect.com等病毒((也已清除)使用, 也是如此.
    但第三台(沒有ntdelect.com等病毒)使用, 不會出現, 但是沒有資料.
    Thanks for your kinds of help.
  • 笨檸檬
  • 超級感謝您的解決病毒方法

    我妹在一次的機會中知道了這個方法...
    因為電腦處快死的狀態中...
    決定試試看沒想到真的修好了!!
    所以來留言以報答你所提供的解決病毒方法
  • 兔兔
  • 喔大大~

    尼真是太好心了(灑花)..
    我都已經要準備整台重冠了..
    看到尼的資訊~救了我好多資料押...
    謝謝謝謝尼啦~
  • Private Comment
  • 煩惱的人
  • 請問一下~

    我想要預防kavo病毒
    可是我的電腦沒有ControlSet001卻有
    ControlSet002.3.4
    難道是我昨天用的那個掃毒程式把它整個檔案都刪掉了嗎?
    那還有別的預防方法嗎?
    謝謝
  • Private Comment
  • 阿美
  • 請問一下

    請問下將Checkedvalue的字串(DWORD)值設為1..
    這是點"Checkedvalue"然後按滑鼠右鍵後去改數值為1嗎?
    我改好多次都無效耶?

    我是有一些檔案不見了...
    透過搜尋(含隱藏檔案)有看到是在"我的電腦"但未註明哪一槽
    我的usb的毒因該是感染到這台沒上網的工作電腦
    我用第1個方法但是kavo Kliier 3.3版
    還有用第2個方法...都無效耶

    麻煩你餵我解答~感恩
  • 阿美
  • 樓上阿美繼續問

    我還是樓上的留言阿美
    我可能不是說清楚...
    我是點"Checkedvalue"然後按滑鼠右鍵後去改數值為1...
    然後重新開機..接著做你說的程序..
    我還是無法開啟檢視隱藏檔
    所以我又再回去看"Checkedvalue"又變回0
    這就是我的問題了...感恩
  • 阿美
  • 阿美繼續問3

    還有我再執行"regedi"裡面案F3搜尋"kavo"... 跳出一大堆東西
    我按Del,可是有一個叫做"預設值"..卻是不讓我刪除...
    我來來回回把第2方法作了好多次
    一但F3搜尋時.好像之前的一堆東西還是沒被刪除
    真抱歉頭很大...希望你不吝教導我..
    我問題真的有些多..抱歉
  • der
  • 您好

    用Kavo Killer掃完 全部都完成 OK了

    出現的檔案
    fauto.txt、 dauto.txt、autodir、delauto、都是空白資料夾


    可以刪掉嗎??

    還是要留著?!
  • 可以刪掉

    Neo replied in 2008/03/16 06:43

  • shine126
  • 關於開啟autorun...

    很感謝neo大提供此法讓我解決了kavo的問題,但有時還是想貪autorun之便利,
    不曉的可有方法可開啟呢?
    因為我在執行Autorun-Virus時,
    有看到這段文字
    "如果要回復Autorun功能則請將檔案放置在C:後按開始->執行->輸入c:\delautorun open "
    但是執行了卻還無反應,
    麻煩neo大了,先謝謝您的回覆了^^
  • catcute11082006
  • 理我理我!!!

    接下來是要讓檢視隱藏檔的功能重新開啟
    請到
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
    下將Checkedvalue的字串(DWORD)值設為1
    (通常中毒後設定會被改成0)
    重開機之後應該就可以開啟檢視隱藏檔了


    這一部分我不懂ㄟ>"<

    要去哪裡找接下來是要讓檢視隱藏檔的功能重新開啟
    請到
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
  • 請到開始>執行
    輸入regedit
    進入註冊檔編輯程式就可以找了

    Neo replied in 2008/05/24 13:26

  • 9527
  • 會變回來

    我到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
    下將Checkedvalue的字串(DWORD)值設為1之後關閉登陸 再打開登陸他直會自動變回0= = 怎麼辦? 謝謝你~
  • 這代表您電腦裡的病毒還沒刪掉
    請再掃掃毒吧

    Neo replied in 2008/05/24 13:25

  • aken
  • 已康復之第10000000位

    深深的一聲~@謝@~謝~謝~謝~謝~謝~謝~謝~謝謝~謝~!!(第一聲是深深的聲的謝~後面的是回音)
  • 小梅
  • 搞不定

    看了知識上的清除usb病毒的方法,我的c裡有個autodir、d有dauto.txt、g有autorun.inf和autodir,這些都是刪不掉的怎麼辦,我是中毒了嗎??請幫幫我!
  • 快要發瘋的希
  • 依舊開不了

    大大你好,我照你的兩個方法去做了,但是我F槽的隨身碟依然是開不了。只要一點他,他依然是跑出"Inpage操作執行錯誤"。

    想請問你是否真的沒有救了?我磁碟裡有很重要的東西,希望可以盡量救回來,拜託你...

    我到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
    下去看Checkedvalue的字串(DWORD)值本來就是1,這表示我電腦沒中毒嗎?
  • 'Inpage操作執行錯誤'是硬碟出了問題,提供您一個方法試試
    1.將硬碟插著重開機,讓windows 重新抓硬碟(需要等一段時間)
    2.請到命令提示字元(開始>執行>輸入cmd)
    3.打入指令 chkdsk d: /f /r
    d 是你發生錯誤的硬碟喔
    /f 修復磁片上的錯誤
    /r 找出損壞的磁區並復原可讀取的資訊。
    這需要花比較久的時間,掃描完後再試試看讀取資料,如果可讀取請儘快將檔案copy 出來,以防硬碟提早壽終正寢

    Neo replied in 2008/06/25 22:34

  • 快要發瘋的希
  • 妳好,我有照你說的去命令提示字元輸指令,但是輸完以後她說"hkdsk 不是內部或外部命令、可執行的程式或批次檔"

    不知道該怎麼解決= =
  • 非常抱歉我漏打了一個字
    應該是
    chkdsk d: /f /r

    Neo replied in 2008/06/25 22:33

  • 感動中的希
  • WOW

    照你的方法去做以後果然可以啟動了!

    真是太謝謝你了! 我現在該計劃買個新隨身碟...

    原本的已經用了快五年了...

    總之,真是感激不盡!!>"<
  • 正
  • 幫幫我

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\ 要怎嚜找阿麻煩請詳細的說明
  • 正
  • 幫我

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
    下將Checkedvalue的字串(DWORD)值設為1要怎嚜改阿?
  • 對著這個字串按右鍵選擇修改即可

    Neo replied in 2008/07/07 08:02

  • 小
  • 為甚麼我ㄉ即時不能上..
    也不能下載ㄌ..
    沒次都顯示我不知道ㄉ東西..
    希望你能幫幫我..
  • 安謎
  • 謝謝唷!!有多一個撇步

    感謝分享唷
  • koalawomam
  • 請問案F3搜尋到的任何東西都可以刪嗎?
    另外,我到改1&0的地方
    發現是1,可是我有中毒耶!
  • sky
  • 我想請問一下,解毒完之後有留下了檔名為kavo.exe"資料夾",請問那個還是病毒嗎?還是防毒程式留下的預防措施?
  • click
  • 感謝板大分享!!
  • 嘎嘎囧
  • 感謝您~
    我弄了很久^^
  • mxx
  • 謝謝你提供的方法,我的兩台都中毒了,一台已經恢復,另一台下載的不一樣,不是你提供的圖,不知道是哪裏出問題了,麻煩幫幫忙!
  • 鈺兒
  • 幫幫我

    到自動還原的頁籤裡點選關閉系統還原<~我找不到在我的電腦的內容的那裡????
    我姐姐工作用到十幾個記憶卡都不能刪除或放入檔案~但我自己在用的記憶卡就可以移除或寫入!都是用我的電在看裡面照片!如果照你方式殺病毒~這十幾個記憶卡怎麼刪?
    請幫幫我~~謝謝!!
  • wutherlee
  • 您好,插了朋友的碟後有掃瞄但還是中了,我真的試遍了所有網路上看到的方法,而搜尋電腦裡的任何一個位置都沒有ntdelect.com和kavo.exe檔。

    你提及的『這些Xauto.txt請直接刪除就好沒有影響』,但我卻不能刪除那些檔案(裡面包含一個123.的資料夾,要刪除都說找不到路徑無法變動),讀過您某篇回給小宜的留言去推論--其實Xauto.exe資料夾是病毒嗎?

    我覺得奇怪是我的3.5磁碟機每過幾秒就讀取一次(現在把它停用了,不過好像是病毒想要侵入它),隨身碟刪除ntdelect.com,並格式化後依舊重複出現病毒。

    這樣的情形有點矛盾,我的電腦還有毒嗎?(應該是有),這樣除了重灌還有別條路了嗎?

    隨身碟是否沒救了(插到別人那就是病毒帶原者)?


    希望您可以回我信或是給我的建議。
    衷心的感謝您~
  • 幻
  • 你好~^^
    請問你一個問題喔?
    因為我買了個MP3或MP4吧!
    但....之後我要灌歌~
    可是灌了歌之後....後來
    因為有些說神麼格式錯誤~我要把他刪除~然後就...把他連上電腦~之後出現L/O裝置錯誤??
    之後我該怎麼做呢?
    拜託..幫幫我一下~
  • 幻
  • 不好意思喔!
    如果照著第二個方法~
    那電腦的資料會不會消失~然後是不是病毒沒了~
    那個裝置就可以開啟了~
  • bibi
  • 太感激了> <

    挖~這篇文章真棒
    找回了我的專題檔案~
    真是太感激了> 0 <
    你真是個大好人~好棒好棒~愛死你了
  • 徐雅稜
  • 版大!!!我是直接用軟體刪除的 但為什麼我的檔案副檔名一直隱藏不起來呢?? 病毒是不是還在?!!! 我該怎麼辦??
  • 哇賽~ 沒想到現在還有人為毒所苦
    副檔名無法隱藏應該是讀還沒解掉
    更新一下防毒軟體到最新版應該都能解的掉
    或者是到這裡
    http://blog.yam.com/changshuwei
    有最新版本的KAVO殺手可以下載

    Neo replied in 2011/06/29 22:35

You haven’t logged in yet, please use guest status to leave message. You can also log in with above service account and leave message

other options