Kavo和ntdelect.com病毒
一、 Ntdelect.com執行後會在C:\WINDOWS\system32\建立kavo.exe,kavo0.dll,
甚至kavo1.dll,目前只發現到1,並未發現2以上.而kavo.exe檔的任務似
乎是將各個可寫入的硬碟中建立autorun.inf以及ntdelct.com,熟知光碟系統
的人都知道autorun.inf,是用來寫入當放入光碟以後,系統會率先偵測
autorun.inf,使其內部設定檔案啟動.而這個病毒所指向的,正是啟動
ntdelect.com此檔,使其不斷循環.甚至將這些檔案屬性隱藏,並將所有資
料夾設定為不可顯示隱藏檔案,並鎖定選項,不能修改.
二、所構成的影響:
1目前跟現在許多人常用的Yahoo!即時通有關,許多人輸入帳號密碼之後,
造成即時通立刻自行關閉,MSN則沒有發現類似問題.
2當你開啟磁碟機時,磁碟機會以新視窗開啟.因為當你直接點啟磁碟機,
系統會自動掃描autorun.inf,間而使ntdelect.com執行.
3其他例如刪除資料,盜取資料等狀況皆不明,也尚未發現.
三、解決方式
目前得知的方法,以防毒軟體掃毒,例如卡巴斯基等.他會將C:\底下的
ntdelect.com、C:\windows\system32的kavo.exe和kavo0.dll..等刪除.
則即時通便可以再度開啟,不會自動消失.
四、後致影響
1但防毒軟體並不會將各磁碟機中的autorun.inf所刪除,導致當ntdelect.com
消失後,指向的檔案不存在.便會形成系統詢問要以什麼檔案開啟的現象.
此時我們便要手動刪除.手動刪除後,即可恢復.
2要求資料夾顯示隱藏檔案文件,確定後回去看選項,還是會跳回不顯示
此時便得知還有設定尚未恢復,我們可以用以下程式
http://w3.loxa.com/s1357944/hide.zip,此檔案可以設定內部系統,開啟執
行後,便可再度調整!
五、相關資料
以卡巴斯基線上更新加上掃描後得到以下的結果
未發現:病毒 Packed.Win32.NSAnti.r 檔案:C:\ntdelect.com *
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:C:\WINDOWS\system32\kavo.exe
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:C:\WINDOWS\system32\kavo0.dll
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:C:\WINDOWS\system32\kavo1.dll
* 由於ntdelect.com似乎無法直接刪除,必須重新啟動,啟動後會被刪除,所以我顯示的資料中會顯示發現.
不當只是C:\,其他磁碟機(隨身碟.記憶卡)都有感染的可能
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:K:\ntdelect.com
再來,這是磁碟機內autorun.inf的內容:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
由第二行(open=ntdelect.com)便可得知自動啟動指向ntdelect.com檔案,而繼續循環.
六、可用資料
1卡巴斯基
官方網站
http://www.kaspersky.com.tw/
30天試用版下載
http://210.240.1.23/~kaspersky/products/homeuser/kav6.0/kav6020621tch.msi
2超級兔子魔法設定,我是用這個程式來刪除autorun.inf的,因為他設定為
隱藏我當時找不到,現在可以利用上面第四點第二小點的資訊來設定回
來,便可以直接刪除.但還是提供這個好用的程式!
官方網站
http://tw.pctutu.com/
試用下載
http://ftp.isu.edu.tw/pub/Windows/softking/soft/sale/superrsoft/Super_Rabbit_Magic_Set.exe
以下是針對對電腦不熟悉或者看不太懂文章的人所寫的簡化版
解決方式
首先可以先進入硬碟中刪除kavo.exe,kavo0.dll或kavo1.dll…..等,再來強制刪
除ntdelect.com,要注意的是!此檔案位於C:\,D:\,E:\等磁碟機下,並不是刪除系
統內有個跟這個檔案名字很像的程式.若不小心刪除錯誤..或導致無法開機!
可以利用搜尋,來找這個檔案,通常這個檔案已經被隱藏起來,我們先下載這個
程式http://w3.loxa.com/s1357944/hide.zip,開啟裡面的檔案後.隨便開一個資料
夾,最上面那排→工具→資料夾選項→上面那排→檢視→往下找"隱藏檔案和資
料夾"→選擇"顯示所有檔案和資料夾".這樣一來,這些檔案都會出現了.(小
弟我沒有試過這個方法,推測有可能當我們修改過後又被病毒再度修改回來..
所以還是建議以防毒程式掃描).刪除kavo.exe和dll檔之後,回頭找C:\,D:\...
下一個文件叫做"autorun.inf",請將這個檔案刪除.
或許在刪除的過程中會發現系統給於這樣的訊息:此檔案可能在使用中因此無法
刪除.希望還是能以防毒程式來刪除,或者得到DOS底下刪除..但是太麻煩還是
以防毒程式最快,至於使用防毒程式請參考上面的第六點和第三點
使用超級兔子魔法設定來強制刪除autorun.inf
由於autorun.inf是一般系統檔案,並不在卡巴的病毒中.所以我們要自己手動刪除他
我使用的是超級兔子魔法設定,相信還有其他方法能刪除,有機會我會再提供
首先安裝完超級兔子魔法設定後,從開始→程式及→附屬應用程式→超級兔子魔法設定→超級兔子
程式可能會要求將首頁改成他們的首頁,即可使用,可以先修改到時候再改回來.
視窗出現後,選擇→超級兔子安全助手,在最左下角中有個"刪除檔案",點選
,中間空格填入C:\autorun.inf→下一步→下一步.即可刪除該檔案
別忘記重複此步驟!!!當有數個硬碟時,則回到剛剛的步驟接著輸入
X:\autorun.inf,X是你的所有硬碟代碼.通通刪除完後重新開機試試看,應該就
沒問題了!!
使用命令提示字元模式刪除autorun.inf
開始→程式集→附屬應用程式→命令提示字元
請輸入
DEL C:\autorun.inf
你有幾個硬碟就重複輸入例如
DEL D:\autorun.inf
DEL F:\autorun.inf
…………
之後重新開機,當開啟硬碟以後就不會詢問你要用什麼方式開啟了!
引用自http://forum.mymaji.com/viewthread.php?tid=36822
一、 Ntdelect.com執行後會在C:\WINDOWS\system32\建立kavo.exe,kavo0.dll,
甚至kavo1.dll,目前只發現到1,並未發現2以上.而kavo.exe檔的任務似
乎是將各個可寫入的硬碟中建立autorun.inf以及ntdelct.com,熟知光碟系統
的人都知道autorun.inf,是用來寫入當放入光碟以後,系統會率先偵測
autorun.inf,使其內部設定檔案啟動.而這個病毒所指向的,正是啟動
ntdelect.com此檔,使其不斷循環.甚至將這些檔案屬性隱藏,並將所有資
料夾設定為不可顯示隱藏檔案,並鎖定選項,不能修改.
二、所構成的影響:
1目前跟現在許多人常用的Yahoo!即時通有關,許多人輸入帳號密碼之後,
造成即時通立刻自行關閉,MSN則沒有發現類似問題.
2當你開啟磁碟機時,磁碟機會以新視窗開啟.因為當你直接點啟磁碟機,
系統會自動掃描autorun.inf,間而使ntdelect.com執行.
3其他例如刪除資料,盜取資料等狀況皆不明,也尚未發現.
三、解決方式
目前得知的方法,以防毒軟體掃毒,例如卡巴斯基等.他會將C:\底下的
ntdelect.com、C:\windows\system32的kavo.exe和kavo0.dll..等刪除.
則即時通便可以再度開啟,不會自動消失.
四、後致影響
1但防毒軟體並不會將各磁碟機中的autorun.inf所刪除,導致當ntdelect.com
消失後,指向的檔案不存在.便會形成系統詢問要以什麼檔案開啟的現象.
此時我們便要手動刪除.手動刪除後,即可恢復.
2要求資料夾顯示隱藏檔案文件,確定後回去看選項,還是會跳回不顯示
此時便得知還有設定尚未恢復,我們可以用以下程式
http://w3.loxa.com/s1357944/hide.zip,此檔案可以設定內部系統,開啟執
行後,便可再度調整!
五、相關資料
以卡巴斯基線上更新加上掃描後得到以下的結果
未發現:病毒 Packed.Win32.NSAnti.r 檔案:C:\ntdelect.com *
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:C:\WINDOWS\system32\kavo.exe
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:C:\WINDOWS\system32\kavo0.dll
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:C:\WINDOWS\system32\kavo1.dll
* 由於ntdelect.com似乎無法直接刪除,必須重新啟動,啟動後會被刪除,所以我顯示的資料中會顯示發現.
不當只是C:\,其他磁碟機(隨身碟.記憶卡)都有感染的可能
已刪除:病毒 Packed.Win32.NSAnti.r 檔案:K:\ntdelect.com
再來,這是磁碟機內autorun.inf的內容:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
由第二行(open=ntdelect.com)便可得知自動啟動指向ntdelect.com檔案,而繼續循環.
六、可用資料
1卡巴斯基
官方網站
http://www.kaspersky.com.tw/
30天試用版下載
http://210.240.1.23/~kaspersky/products/homeuser/kav6.0/kav6020621tch.msi
2超級兔子魔法設定,我是用這個程式來刪除autorun.inf的,因為他設定為
隱藏我當時找不到,現在可以利用上面第四點第二小點的資訊來設定回
來,便可以直接刪除.但還是提供這個好用的程式!
官方網站
http://tw.pctutu.com/
試用下載
http://ftp.isu.edu.tw/pub/Windows/softking/soft/sale/superrsoft/Super_Rabbit_Magic_Set.exe
以下是針對對電腦不熟悉或者看不太懂文章的人所寫的簡化版
解決方式
首先可以先進入硬碟中刪除kavo.exe,kavo0.dll或kavo1.dll…..等,再來強制刪
除ntdelect.com,要注意的是!此檔案位於C:\,D:\,E:\等磁碟機下,並不是刪除系
統內有個跟這個檔案名字很像的程式.若不小心刪除錯誤..或導致無法開機!
可以利用搜尋,來找這個檔案,通常這個檔案已經被隱藏起來,我們先下載這個
程式http://w3.loxa.com/s1357944/hide.zip,開啟裡面的檔案後.隨便開一個資料
夾,最上面那排→工具→資料夾選項→上面那排→檢視→往下找"隱藏檔案和資
料夾"→選擇"顯示所有檔案和資料夾".這樣一來,這些檔案都會出現了.(小
弟我沒有試過這個方法,推測有可能當我們修改過後又被病毒再度修改回來..
所以還是建議以防毒程式掃描).刪除kavo.exe和dll檔之後,回頭找C:\,D:\...
下一個文件叫做"autorun.inf",請將這個檔案刪除.
或許在刪除的過程中會發現系統給於這樣的訊息:此檔案可能在使用中因此無法
刪除.希望還是能以防毒程式來刪除,或者得到DOS底下刪除..但是太麻煩還是
以防毒程式最快,至於使用防毒程式請參考上面的第六點和第三點
使用超級兔子魔法設定來強制刪除autorun.inf
由於autorun.inf是一般系統檔案,並不在卡巴的病毒中.所以我們要自己手動刪除他
我使用的是超級兔子魔法設定,相信還有其他方法能刪除,有機會我會再提供
首先安裝完超級兔子魔法設定後,從開始→程式及→附屬應用程式→超級兔子魔法設定→超級兔子
程式可能會要求將首頁改成他們的首頁,即可使用,可以先修改到時候再改回來.
視窗出現後,選擇→超級兔子安全助手,在最左下角中有個"刪除檔案",點選
,中間空格填入C:\autorun.inf→下一步→下一步.即可刪除該檔案
別忘記重複此步驟!!!當有數個硬碟時,則回到剛剛的步驟接著輸入
X:\autorun.inf,X是你的所有硬碟代碼.通通刪除完後重新開機試試看,應該就
沒問題了!!
使用命令提示字元模式刪除autorun.inf
開始→程式集→附屬應用程式→命令提示字元
請輸入
DEL C:\autorun.inf
你有幾個硬碟就重複輸入例如
DEL D:\autorun.inf
DEL F:\autorun.inf
…………
之後重新開機,當開啟硬碟以後就不會詢問你要用什麼方式開啟了!
引用自http://forum.mymaji.com/viewthread.php?tid=36822
全站熱搜
留言列表
舊blog的聲音 (1)