下班後論壇-不明所以版　　華麗登場 » 軟體相關區 » 隨身碟病毒

作者: 標題: 隨身碟病毒 上一主題 | 下一主題

↓會員頭像↓ ↓星星數目↓ 名稱﹕ eightwing 頭銜﹕版主 暱稱﹕打雜的 寵物﹕小乓 (等級：51) 積分﹕50403 點 發貼﹕608 篇 現金﹕36620000 元 存款﹕26943 元 財富﹕ 富可敵國 性別﹕ 女 來自﹕外太空 註冊﹕2005-4-1 狀態﹕離線 隨身碟病毒 現在隨身碟病毒氾濫的程度真的是令人難以想像，幾乎是人人有獎，相當的可怕，當你的隨身碟發生打不開、或無法開啟時，也陷N是中了隨身碟病毒了。 　　這個隨身碟病毒主要有三個檔案，分別為kavo.exe、autorun.inf及ntdelect.com，利用登錄檔上的kava鍵值 (kavo.exe) 及autorun.inf來達成生生不息寄生在每個人的硬碟之中，它將自己的檔案屬性設定成隱藏屬性及系統屬性，並將「顯示所有檔案和資料夾」的弁鉞嗽磞瞴A讓你怎麼改資料夾選項的設定也改不了，你就是永遠都沒辦法在視窗的狀況下看到這些「隱藏檔」，讓你殺也殺不了，而且就算是清掉之後又很容易又再度感染。 　　但這些無法顯示的隱藏檔在「命令提示字元」之下卻是無所遁形的，只要打指令「dir/a」就可以看到所有的檔案清單包括隱藏檔，可見能學會一點簡單的Dos指令是有多重要的一件事。 　　這篇文章接下來將教大家使用 　　「方式一、整合怪貓批次檔的移除法(Delkavo)」、 　　「方式二、手動移除「隨身碟病毒」的流程」 　　等三種方式，來移除kavo的木馬程式。 方式一：整合怪貓批次檔的移除法(Delkavo) 一、關閉系統還原： 　　 Step 1. 開啟【開始弁鄋瞴j->【控制台】->【系統】。 　　 Step 2. 等待「系統內容」對話盒跳出來後，點擊〔系統還原〕活頁標籤，勾選「關閉所有磁碟上的系統還原」，並點擊下方的〔確定〕，最後再按下〔是〕即完成關閉系統還原的動作。 二、清除IE(Internet Explorer)的暫存檔案： 　　Step 1. 開啟【開始弁鄋瞴j->【控制台】->【網際網路選項】。 　　Step 2. 點擊「Temporary Internet files」方框的〔刪除檔案〕。 　　Step 3. 在跳出的「刪除檔案」對話盒上勾選「刪除所有離線內容」，最後點擊〔確定〕。 三、清除系統的暫存檔案： 　　Step 1. 開啟【開始弁鄋瞴j->【所有程式】->【附屬應用程式】->【系統工具】->【清理磁碟】。 　　Step 2. 在跳出的「選擇磁碟機」對話盒中，選擇「C：」，接著點擊〔確定〕。 　　Step 3. 出現「(C:)磁碟清理」的對話盒後，將「要刪除檔案」裡的所有項目”全部勾選”，最後按下〔確定〕。 　　Step 4. 接下來會跳出「您確定要執行這些動作嗎？」對話盒，請點選〔是〕。 　　Step 5. 請重覆Step 2->4的動作，將電腦中每一部「磁碟機」都做過一次。 四、執行怪貓的解毒批次檔(bat file) -「DELKAVO批次檔」 　　Step 1. 下載「DELKAVO批次檔」，將delkavo.bat批次檔解壓縮出來。 　　Step 2. 將電腦重新啟動後，開進「安全模式」 (於進入安全模式請參考「電腦中毒了要怎麼辦？處理流程教學總整理」)。 　　Step 3. 最後再執行「delkavo.bat」檔即可。 　這個批次檔是怪貓所寫的，你壓縮檔案之後檔名為「delkavo.bat」，直按雙點這個批次檔即可，雙點之後，如果出現下面這個「Windows-沒有磁片」的視窗時，請你一直的按「取消」來關掉這個警告視窗，這個取消按鈕，也頂搨n按個幾次。 　　上面的訊息為：「刪除完成，kavo的病毒已成斥扆ㄐA各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的！要接上外接磁碟時請先開啟【檔案總管】再將裝置接上一定要按住【SHIFT鍵】以防止再次中毒。再從【檔案總管】的左邊點選該裝置後，再建立一個【autorun.inf】的資料夾，才安全。解毒完成，請將此畫面【關閉】後就可正常使用了，怕的話請將病毒碼更新後再做一次全系統的病毒掃描。」 　　老貓很細心的為每個資料夾加上「autorun.inf、kavo.exe、kavo0.dll、kavo1.dll、avp.exe」的資料夾，以免止autorun.inf檔案會再度被執行到，這些資料夾請使用者不要去刪掉它們。這個部份神雕蝦也曾經提過「[url=http://blog.pixnet.net/jck11/post/9616415]最簡單的隨身碟病毒防制方法[/url]」。 資料來源：[url=http://tw.myblog.yahoo.com/jw!ljyxR6.BFU.mrG8YGw--/article?mid=107&sc=1]怪貓的部落格[/url] 方式二：手動移除「隨身碟病毒」的流程 　　也釦A會覺得我已經按照我的流程都做過了，為什麼還是沒有用，的確，我這個方法的確不一定有用遇到比較麻煩的情況時，確實是沒有用。但是有一次，我曾經請一位沒有Dos經驗的人輸入這些命令，我發現他在輸入指令時，會和我教的有出入。 　　小心，輸入這些指令是不能打折扣的，多一個斜線，少一個斜線都是不行的，而且必需小心的打完整行的指令才可以打Enter鍵下達命令，要是輸入命令之後，出現「' xxx' 不是內部或外部命令、可執行的程式或批次檔。」時，就代表你指令已經打錯了，請你看清楚再打。 　　第一步：先開啟附屬應用程式裡的「命令提示字元」。如下圖： 　　第二步：先檢查一下我的電腦裡的每一個磁碟槽，如C與D槽，至於怎麼檢查，只要輸入指令： 　　　　dir c:\ /a/w 　　　　若是要檢查D槽的話，就輸入 　　　　dir d:\ /a/w 　　第三步：當發現到有「autorun.inf」與「ntdelect.com」時，在刪除它們之前，要先對它們兩位仁兄先消除「系統」、「隱藏」及「唯讀」等三種屬性。假設我們先要清除C磁碟上的檔案，所要輸入的指令如下： 　　　　attrib -s -h -r c:\autorun.inf 　　　　attrib -s -h -r c:\ntdelect.com 　　　　若是要清除D磁碟上的autorun.inf及ntdelect.com的屬性，就輸入 　　　　attrib -s -h -r d:\autorun.inf 　　　　attrib -s -h -r d:\ntdelect.com 　　第四步：當清完屬性之後，就可以刪除這些寄生在每個磁碟的兩位仁兄，分別要輸入的指令如下：(這裡最重要的就是別殺到檔名為NTDETECT.COM這個重要的開機系統檔，為什麼病毒的名字要取作ntdelect.com，就是為了要和NTDETECT.COM魚目混珠，只差了一個字母) 　　　　del c:\autorun.inf 　　　　del c:\ntdelect.com 　　　　若是要刪除D磁碟的檔案，指令如下： 　　　　del d:\autorun.inf 　　　　del d:\ntdelect.com 　　果然還是有人不小心殺到了(Gina<-)，我把這個正版的「ntdetect.com」放在Hinet空間上，若是不小心殺到，請先不要重開機，若是重開機了，就要想辦法把這個檔放進C槽根目錄底下即可。 　　　>>[url=http://mrtangcomputer.myweb.hinet.net/NTDETECT.COM]Windows XP Professional版的ntdetect.com[/url]<< 　　第五步：解決完「autorun.inf」及「ntdelect.com」之後，接下來就輪到「kavo.exe」了，要解決kavo.exe有兩個動作要做，第一個：刪除位於C:\windows\system32裡的kavo.exe；第二個再接著清除位於登錄表上的kava鍵值。接下來我們先從第一個刪除kavo.exe做起，一樣我們還是在「命令提示字元」裡完成這個動作，第一步要執行的指令和之前的一樣，都是要先解決kavo.exe的防護罩，也就是附在它身上的那三個屬性，請你執行指令： 　　　　attrib -s -h -r c:\windows\system32\kavo.exe 　　接著再輸入指令來刪除它，指令如下： 　　　　del c:\windows\system32\kavo.exe 　　接下來要做第二個動作，清除登錄表上的鍵值，關於如何清除登錄表上的鍵值，教學請參考「url=http://blog.pixnet.net/changyang319/post/3661585]電腦中毒怎麼辦？手動解毒移除教學[/url]」。你要做的就是要清掉 「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run」及 「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Run」裡， 名稱為「kava」，內容為「c:\WINDOWS\system32\kavo.exe」的鍵值。 　　第六步：就是要解決無法顯示所有檔案的問題，這個問題我們要還原登錄表上的一些數值，你可以複製以下的內容到記事本中，並將這個副檔名改成 .reg檔，然後雙點執行這個檔案來更新登錄表上的值；或是直接下載我幫大家製作好的檔案下來，檔案為 [url=http://mrtangcomputer.myweb.hinet.net/showall.reg]showall.reg[/url]，請在連結的上方按右鍵下載下來後，再直接雙點去執行它就可以了。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 聽得到... 我的聲音嗎... 雖然我沒有能擁抱可愛的你們的雙臂， 但願這翅膀， 對治療你們的傷痕能有所益助， 啊，無論如果... 都希望能把我的祈禱傳達出去－－－... 截自：天使禁獵區 No.20 P.3 2008-2-27 08:51 AM

↓會員頭像↓ ↓星星數目↓ 名稱﹕ kangtacat 頭銜﹕管理員 暱稱﹕藍色深海魚 寵物﹕冬天吃鍋 (等級：90) 積分﹕63516 點 發貼﹕613 篇 現金﹕296000000 元 存款﹕2115436 元 財富﹕ 印鈔機 性別﹕ 女 來自﹕外太空 註冊﹕2005-4-1 狀態﹕離線 USB殺毒工具 usbcleaner2007-繁體化中文-免安裝版 下載回來試用前別忘了再掃毒一下哦~ http://por.tw/f2blog/index.php?load=read&amp;id=12 【USB磁碟殺毒工具】: usbcleaner2007-繁體化中文-免安裝版 【發文作者】: 若凡石 【作者郵址】: steven8ster@gmail.com 【作者網站】: http://por.tw/f2blog/ 【聯絡作者】: h01685168 【軟體名稱】: USB磁碟病毒專殺工具usbcleaner2007 【解壓密碼】: CENTURYS 網際論壇 中文化開發團隊 【軟體授權】: 請依照官方授權範圍使用 【軟體語言】: Microsoft Visual Basic 5.0 / 6.0 [Overlay] 【操作平台】: Win2003, WinXP, Win2000, WinNT, WinME 【檔案大小】: 12.2MB 【下載地址】: http://61.70.55.156/Downloads/usbcleaner2007.rar 【版權宣告】: 如果合用請向官方購買正版！本人不提供註冊碼或破解 【作者聲明】: 本文原創於若凡石-靈居,轉載請註明作者並保持文章的完整,謝謝! -------------------------------------------------------------------------------- 【軟體中文化-前言】: 內地稱USB磁碟為：U盤，上次去北京聽他們說【U盤】...還不知【U盤】是什麼碗糕！ USB磁碟病毒專殺工具usbcleaner2007因為他是使用Microsoft Visual Basic編寫的程式。 軟體中文化就是要：什麼編輯語言都要會！   Microsoft Visual Basic 中文化比較要費點奶牷A暫時說他是：搞怪好啦！因為原版是簡體中文。   文字編碼要修正....否則會出現亂碼，又因為上方那張【U盤】的藍色圖片，真的很想換掉它所以就用GetVBRes沒成央G要注意那張圖是JPG圖檔修改後壓縮比例會改變檔案大小。   後來用點睛VB&DFM圖像修改器，終於搞定了...要中文化兩個程式，USBCleanerun.exe主程式與usbmonun.exe監視程式。   別說沒中文化成戊寣G【最新訊息】是連結到簡體官方網站....該不能也把網站也繁體化啦？神？..不是！..是：神經病！ 分享給大家研究...希望大家也能試試看！ 將海洋染成重金屬，讓森林遍佈黃砂， 風裡裝滿硝煙，把天空給燃燒的人們啊！ 亞當的第一個妻子，成為地獄的新娘， 這一切，都是那名豪放女的邪惡罪孽！ 曾經是天上最閃耀的存在者，卻造就了美麗墮落天使的叛亂！ 一再重蹈覆轍的人們啊！ 聽聽那飛翔在天上，有翼種族的嘆息... 他們是創世神的使者，告誡審判之日來臨的人。 －－他們不是神，也不是人－－ 他們的名字叫做天使－－ <截自：天使禁獵區> 2008-2-27 09:59 AM

↓會員頭像↓ ↓星星數目↓ 名稱﹕ eightwing 頭銜﹕版主 暱稱﹕打雜的 寵物﹕小乓 (等級：51) 積分﹕50403 點 發貼﹕608 篇 現金﹕36620000 元 存款﹕26943 元 財富﹕ 富可敵國 性別﹕ 女 來自﹕外太空 註冊﹕2005-4-1 狀態﹕離線 另一個殺毒的程式， 這個比較簡單好用.....   ▼本文包含附件▼ 檔案名稱： kavo_killer.exe 檔案類型： 檔案大小： 822.06 K 下載次數： 4 [ 立即下載 ] 下載名單：[ 按此觀看 ] 聽得到... 我的聲音嗎... 雖然我沒有能擁抱可愛的你們的雙臂， 但願這翅膀， 對治療你們的傷痕能有所益助， 啊，無論如果... 都希望能把我的祈禱傳達出去－－－... 截自：天使禁獵區 No.20 P.3 2008-5-6 03:13 PM

↓會員頭像↓ ↓星星數目↓ 名稱﹕ kangtacat 頭銜﹕管理員 暱稱﹕藍色深海魚 寵物﹕冬天吃鍋 (等級：90) 積分﹕63516 點 發貼﹕613 篇 現金﹕296000000 元 存款﹕2115436 元 財富﹕ 印鈔機 性別﹕ 女 來自﹕外太空 註冊﹕2005-4-1 狀態﹕離線 附件為usbcleaner6.0免安裝版 http://www.eightwing.idv.tw/Discuz!/attachments/USBCleaner6.0.rar 將海洋染成重金屬，讓森林遍佈黃砂， 風裡裝滿硝煙，把天空給燃燒的人們啊！ 亞當的第一個妻子，成為地獄的新娘， 這一切，都是那名豪放女的邪惡罪孽！ 曾經是天上最閃耀的存在者，卻造就了美麗墮落天使的叛亂！ 一再重蹈覆轍的人們啊！ 聽聽那飛翔在天上，有翼種族的嘆息... 他們是創世神的使者，告誡審判之日來臨的人。 －－他們不是神，也不是人－－ 他們的名字叫做天使－－ <截自：天使禁獵區> 2008-9-15 11:26 PM