檔案狀態:    住戶編號:1382357
 唵嘛呢叭咪吽 的日記本
快速選單
到我的日記本
看他的最新日記
加入我的收藏
瀏覽我的收藏
遺失手機 《前一篇 回他的日記本 後一篇》 愛的幸福
 切換閱讀模式  回應  給他日記貼紙   給他愛的鼓勵  檢舉
篇名: KAVO病毒
作者: 唵嘛呢叭咪吽 日期: 2008.01.27  天氣:  心情:
KAVO病毒所帶來的中毒症狀...
1.執行後即時通會莫名的關掉...且打不開..
2.當你開啟你的硬碟時..會以兩個視窗開啟..
3.你的硬碟會出現ntdelect.com和autorun.(早期)這兩個檔案
4.開機時有時會出現 kavo.exe,taso.exe 應用程式錯誤...
5.隱藏選項被鎖住...
autorun.inf 內容
[AutoRun]
open=erdeIect.com
;shell\open=Open(&O)
shell\open\Command=erdeIect.com (這是讓硬碟"開啟"的時候執行病毒檔)
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=erdeIect.com (這是讓硬碟"檔案總管"的時候執行病毒檔)
這是之前的..這是這個病毒奸詐的地方
-------------------------------------------------
下面這個是變種的....不過指令一樣...
;5LqKdSls4k4ssa214rJs34HaaAp01oCkd4wl17aLirc3K482k3Jq4sDjdeo0Fl4lK3apilijd5L5kl25a329Z27isi9r
[AutoRun]
;Sr3weJpjlJofKU4Zl4Dor2kSfsK4olJKkf9fd74o4SwsKqj5w38sq5aAL2wa03la2we5w3aq4le2D008dq10LsSr4KiDi0kDk3L3ia4aD5seA
open=f.cmd
;sdl8awqdjaA9KssqSllK1aF2Sa0wkdJf3o34DZOrqiKronULKkLer97kC22wi3ded2sKL0qdDi2kka4w3i2d50Sk2LkelackkHif5osLA
shell\open\Command=f.cmd (這是讓硬碟"開啟"的時候執行病毒檔)
;kd3KmLZc1oLljkfra37irs7e3DawiL5Sra1il43o3aK1sd9k4iKa4dJqkdko02i94wi20AweDLld4IjJdF1awfCK3swDw245i49Lo5n6kes4a
shell\open\Default=1
;3alklD44i20sDq4eaDsLd2di1CwlcoLiisqAfdDU3HZ4jSaaki3wdw3dA3Klk8kqoaA5swkj73a8j0lqr5aA4kkJsSIailrrdi924S2L
shell\explore\Command=f.cmd(這是讓硬碟"檔案總管"的時候執行病毒檔)
;s5q42li7ASi3Cwdpkolrkck38l8r6a4s1i2ALw4aa2KFq5r20a3Lieeff0dsLwDaDKqJDs0rk2kSd3r19i9jdqlKJij0DK
以上是kavo典型的autorun指令...
open=檔名 Command=檔名 檔名可能不一樣(變種的就不一樣)
要看你磁碟那母病毒的檔名...
-------------------------------------------------
解決方法...
1.重新開機 按F8進入安全模式...
(記住進入安全模式之前請先下載這個)
修復隱藏選項...
http://item.slide.com/r/1/37/i/LDnDbVYJ6T-H7H5PMsT-rIr9vD8tgau4/
2.執行4.reg
3.打開隱藏選項....
4.打開regedit
刪掉
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
<kava>...
<tasa>...

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
<kava>...
<tasa>...
這些值...
5.接著刪掉...
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll
kavo1~9.dll
C:\Documents and Settings\使用者名稱\Local Settings\Temp
刪掉taso.exe and 所有 dll檔
6.刪掉你所有硬碟 包括隨身牒的
(注意!!請不要直接開啟你的硬碟 請用你視窗上面那"資料夾"的功能打開 以免再次受到感染....)
autorun.inf
ntdelect.com----- 小寫的L
ntdeIect.com----- 大寫的i
erdeIect.com
XAdeIect.com
copetttt.com
ek.com
f.cmd
g2p3s.exe
8e9gmih.bat
lg.cmd
um.cmd
(只要有以上其中一項 都請刪掉)
最後重新開機...
檢查一下有沒有重生..
P.S.記得關閉系統還原...
標籤:
瀏覽次數:397    人氣指數:1197    累積鼓勵:40
 切換閱讀模式  回應  給他日記貼紙   給他愛的鼓勵 檢舉
給本文愛的鼓勵:  最新愛的鼓勵
遺失手機 《前一篇 回他的日記本 後一篇》 愛的幸福
 
給我們一個讚!