奇怪,公司的防毒好像怪怪的!有個病毒叫kavo的,好像防不了?
吳大的同事:
你才知道,都在玩linux。有空也關心一下windows 的user好不好。
這隻病毒最近又開始做怪,已經有不少案例了。
吳大:
好,好,好。我想說linux的samba伺服器應該可以讓user的資源分享比較不會中毒說。
而且我一直很相信賽門鐵克的防毒軟體啊!
吳大的同事:
拜託!那只是買個保險罷了。那有可能百分之一百防毒。
現在user都有用隨身碟,應該是用隨身碟才把病毒帶進來的。
看來,隨身碟的使用要管制一下了。
這裡是砍那隻kavo的方法,看一下吧!
1.先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox(沒有也沒關係)
【步驟2~4請在命令執行視窗裡下指令】
2.執行attrib -A -S -H -R x:\autorun.inf
執行attrib -A -S -H -R x:\ntdelect.com
執行attrib -A -S -H -R c:\windows\system32\kavo*.*
注意:x代表自己的磁碟機,所有分割的磁碟機都要
3.del c:\windows\system32\kavo.exe
del x:\autorun.inf
del x:\ntdelect.com
注意:x代表自己的磁碟機,所有分割的磁碟機都要
注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5.執行regedit
6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值,砍了它,別客氣!
7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8. 用killbox將c:\windows\system32\kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了
9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功
再重開機後試試看能不能「顯示隱藏檔」(本來木馬在的時候,就算選了顯示還是會跳回去),
如果可以就是大功告成了!
如果還是不放心,就看看c:\windows\system32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔
後記:本機解毒成功後,請小心自己的「隨身碟」,也許隨身碟裡也藏有autorun.inf和ntdelect.com這兩個檔,如果這時把隨身碟插進主機......再來一次吧!
補充說明:如果不確定自己的隨身碟有沒有東西,在插入隨身碟後,不要對隨身碟的磁區點擊兩下開啟。用視窗鍵(左下角alt的隔壁)+E,呼叫檔案總管,然後打開所有隱藏檔,在檔案總管的左邊分割視窗選隨身碟的磁區,然後到右邊分割視窗刪除木馬。千萬不要『點兩下開啟』!!
沒有留言:
張貼留言