ntdelect.com usb 病毒
今晚真是快要瘋了,竟然拿家裏的電腦來實驗,竟然將系統碟的系統還原關閉,結果中了這個病毒,毫無後悔的機會,只好認真上 google 嘗試各種方法解毒
這個有變種,總共有五個檔案會產生,會在登錄檔中自動註冊一個登錄值。
五個檔案如下:
autorun.inf(每一個磁碟機皆會有)
ntdelect.com(每一個磁碟機皆會有)
kavo.exe(在%systemdrive%\system32)
j1yhipk.dll(在Documents and Settings\username\Local setting\temp)
檔案不一定(在系統還原資料夾中,關閉系統還原即可。)---(就是這一行害我差點要重灌)
解毒方法如下:
隨身碟病毒最近有了變種~而且變的更難處理~其中最明顯的症狀~就是使用者無法看到隱藏的資料夾與檔案~所以也無法將病毒來做清除~
- 測試結果可以不用關閉系統還原(安心多了)
- 請先到工作管理員~XP請按CTRL+DEL即可叫出~看看處理程序裡有沒有KAVO.EXE有的話請結束它~
- 開始=>執行=>REGEDIT=>搜尋 KAVO.EXE ,搜到~請刪除~
- 開始=>執行=>CMD 進入命令提示字元~輸入下列指令~
CD\
dir /as (檢查有無 autorun.inf + ntdelect.com )
attrib -r -s -h autorun.inf
del autorun.inf
attrib -r -s -h ntdelect.com
del ntdelect.com (4 項每顆磁碟機都要做) - cd \windows(OR WINNT)
cd system32
dir /as (檢查有無 kavo.exe + kavo?.dll )
attrib -r -s -h kavo.exe
del kavo.exe
attrib -r -s -h kavo?.dll
del kavo?.dll (若不能刪除,重新開機,馬上刪除,6項需再做一次) - 重新開機 下載 showall.reg (按右鍵另存新檔))並執行 (恢復顯示所有檔案和資料夾的程序檔)
- 趕快將系統還原打開,立刻建立一個新還原點,以免後悔
- 打完收工~切忌再將有毒隨身碟插入~要不然請2-7再重新來一次吧~
- 放入疑似中毒隨身碟方法,按著 {Shift} 鍵不放,插入隨身碟,待系統抓到隨身碟放手,這樣就不會自動開啟,再執行 開始=>執行=>CMD 進入命令提示字元~輸入下列指令~
CD\
dir /as (檢查有無 autorun.inf + ntdelect.com )
attrib -r -s -h autorun.inf
del autorun.inf
attrib -r -s -h ntdelect.com
del ntdelect.com (測試結果,好像插入隨身碟後,2-9要重新來一次,才有效)
迴響
巳經有好心人士提供殺毒程式
學校林老師提供殺毒程式,可到學校首頁看看
Thanks for your information.
Dear 小豬,
Really thanks for your very very useful information. I tried varies method to delete those files but the one "nedelect.com" was so innocent looking and similar to other useful filenames.
I follow you instructions and finally finish it.
Thank you again.
非常好用
謝謝, 很快的解開了我的中毒問題!!!
ntdelect.com usb 病毒 | 豬窩
I love what you guys are up too. This sort of clever work and exposure!
Keep up the very good works guys I've incorporated you guys to my own blogroll.
ntdelect.com usb 病毒 | 豬窩
If you desire to get a great deal from this article then you have to apply
these methods to your won webpage.