|
||
|
Major Member
 
加入日期: Mar 2002 您的住址: ???
文章: 209
|
病毒 無法~顯示所有檔案和資料夾
 在工具->檢視->顯示所有檔案和資料夾->確定 還是沒辦法顯示隱藏檔案 我還用了 CheckedValue殺掉,自己在新建一個 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL,把CheckedValue改為1 也沒用馬上又被改回0.... 掃毒也掃過了-_-... 該不會沒辦法了吧..
__________________
|
|||||||
2007-08-24, 07:55 PM
#1
|
|
|
Advance Member
  加入日期: May 2005
文章: 391
|
http://www.ewido.net/en/onlinescan/
http://security.symantec.com/sscv6/...HXOAMEQV&bhcp=1 http://housecall60.trendmicro.com/h...ll/en/index.htm http://onecare.live.com/site/zh-tw/default.htm 以上搭著用吧~ 都掃過之後重開機再改你知道的那個值囉!! 之前也中過類似的毒..... 此文章於 2007-08-24 08:55 PM 被 0955450555 編輯. |
||
|
2007-08-24, 08:52 PM
#2
|
|
|
*停權中*
加入日期: Feb 2007 您的住址: 慾望城市
文章: 2,687
|
各類病毒與惡意程式真是日新月異,無孔不入
防毒程式好像總是遲一步,慢半拍 |
|
2007-08-25, 01:14 AM
#3
|
|
|
Major Member
加入日期: Jan 2003
文章: 111
|
__________________
|
|
2007-08-25, 01:20 AM
#4
|
|
|
Power Member
加入日期: Dec 2006
文章: 627
|
 kavo超討厭的病毒,最後用kav終結它 |
|
2007-08-25, 01:32 AM
#5
|
|
|
Elite Member
加入日期: Apr 2002
文章: 8,545
|
有新變種喔!連KIS 6.0跟7.0都抓不到.....
目前知道的是這是一個隨身碟病毒, 跟kavo一樣會去更改檔案屬性及強制隱藏隱藏檔跟隱藏資料夾。 隨身碟裡面會有autorun.inf跟ntdelect.com兩個隱藏檔。 Autorun.inf內容如下: [AutoRun] open=ntdelect.com ;shell\open=Open(&O) shell\open\Command=ntdelect.com shell\open\Default=1 ;shell\explore=Manager(&X) shell\explore\Command=ntdelect.com 目前virus sample兩個檔我都有保留下來。 |
|
2007-08-25, 08:54 AM
#6
|
|
|
Major Member
加入日期: Mar 2002 您的住址: ???
文章: 209
|
看到了...
 用ctrl+alT+del,有kavo.exe slowman001,的方法我等等試試看 starless,我用kis沒掃到該不會是新變種吧-_-...
__________________
|
|
2007-08-25, 11:20 AM
#7
|
|
|
Elite Member
加入日期: Apr 2002
文章: 8,545
|
引用:
有可能,因為照樓上的說法,Kav應該可以解決(當然這我沒印證,純是看網路上幾位網友回報說Kav可以處理), 但是我這裡碰到的狀況是KIS 6跟KIS 7都抓不到此一virus,所以才猜測可能是變種,而且Ctrl-alt-del找不到kavo.exe。 |
|
|
2007-08-25, 03:29 PM
#8
|
|
|
Advance Member
加入日期: Nov 2002 您的住址: 台東
文章: 319
|
前幾天我也中過kavo.exe
上網找解決方法.但都不是很完整.我猜這隻大概是變種型 以下是我砍掉kavo.exe的方法 1.按f8 進入安全模式選單 選擇:安全模式的文字模式 2.在文字模式c:\中打 dir /as 看看有沒有以下2個檔案 autorun.inf ntdelect.com //注意不是ntdetect(為系統檔).不要砍錯 偽裝檔也有可能不是ntdelect.com ..可以用type指令.看看內容.內容就自已看了. type autorun.inf //指令 下一步.把病毒相關檔砍掉. 先把唯讀檔解開.才能刪 attrib -r -s -h autorun.inf //以此類推 解開後就可以用del刪除了 3.刪除完偽裝檔還有c:\windows 裡的相關檔也要刪 c:\windows 裡 fly32.dll //這不一定有.有的話就砍了他吧. \system32\裡有2個 kavo.exe kavo0.dll //kavo0.dll 後面的0可能會是其他數字 \help\ e5ed8bc94a26.dll 此為亂數檔.有的話也砍了 解開唯讀檔如上步驟 4. 再來把病毒修改過的登錄檔改回來 先把病毒的登錄檔刪掉.用ctrl+f 搜尋 kavo.exe/kavo0.dll/fly32.dll 相關檔 刪除完之後修改登錄檔 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 把他修改為1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 這部分要注意一點就是CheckedValue類型為REG_DWORD. 如果發現不是的話.砍掉在重建一個 再補充一點..每個槽的autorun.inf跟病毒的偽裝檔都要砍掉阿.不然前功盡棄了. 步驟大概是這樣了.有錯的糾正一下 我總共花了6小時才把kavo.exe病毒砍掉.感覺重灌比較快
__________________
|
|
2007-08-25, 08:31 PM
#9
|
|
|
Major Member
加入日期: Mar 2002 您的住址: ???
文章: 209
|
1024BITS,寫的超詳細的
我晚點來試試看~
__________________
|
|
2007-08-26, 12:23 PM
#10
|
|
