ntdelect.com usb 病毒
今晚真是快要瘋了,竟然拿家裏的電腦來實驗,竟然將系統碟的系統還原關閉,結果中了這個病毒,毫無後悔的機會,只好認真上 google 嘗試各種方法解毒
這個有變種,總共有五個檔案會產生,會在登錄檔中自動註冊一個登錄值。
五個檔案如下:
autorun.inf(每一個磁碟機皆會有)
ntdelect.com(每一個磁碟機皆會有)
kavo.exe(在%systemdrive%\system32)
j1yhipk.dll(在Documents and Settings\username\Local setting\temp)
檔案不一定(在系統還原資料夾中,關閉系統還原即可。)---(就是這一行害我差點要重灌)
解毒方法如下:
隨身碟病毒最近有了變種~而且變的更難處理~其中最明顯的症狀~就是使用者無法看到隱藏的資料夾與檔案~所以也無法將病毒來做清除~
- 測試結果可以不用關閉系統還原(安心多了)
- 請先到工作管理員~XP請按CTRL+DEL即可叫出~看看處理程序裡有沒有KAVO.EXE有的話請結束它~
- 開始=>執行=>REGEDIT=>搜尋 KAVO.EXE ,搜到~請刪除~
- 開始=>執行=>CMD 進入命令提示字元~輸入下列指令~
CD\
dir /as (檢查有無 autorun.inf + ntdelect.com )
attrib -r -s -h autorun.inf
del autorun.inf
attrib -r -s -h ntdelect.com
del ntdelect.com (4 項每顆磁碟機都要做) - cd \windows(OR WINNT)
cd system32
dir /as (檢查有無 kavo.exe + kavo?.dll )
attrib -r -s -h kavo.exe
del kavo.exe
attrib -r -s -h kavo?.dll
del kavo?.dll (若不能刪除,重新開機,馬上刪除,6項需再做一次) - 重新開機 下載 showall.reg (按右鍵另存新檔))並執行 (恢復顯示所有檔案和資料夾的程序檔)
- 趕快將系統還原打開,立刻建立一個新還原點,以免後悔
- 打完收工~切忌再將有毒隨身碟插入~要不然請2-7再重新來一次吧~
- 放入疑似中毒隨身碟方法,按著 {Shift} 鍵不放,插入隨身碟,待系統抓到隨身碟放手,這樣就不會自動開啟,再執行 開始=>執行=>CMD 進入命令提示字元~輸入下列指令~
CD\
dir /as (檢查有無 autorun.inf + ntdelect.com )
attrib -r -s -h autorun.inf
del autorun.inf
attrib -r -s -h ntdelect.com
del ntdelect.com (測試結果,好像插入隨身碟後,2-9要重新來一次,才有效)