KAVO 病毒介紹:
傳染途徑 

透過信件、USB隨身碟、數位相機、手機記憶卡
電腦自動開啟
注意:不是插入隨身碟後用掃毒掃過,發現無病毒,就以為沒有病毒,其實有的防毒軟體對於KAVO所產生的 autorun.inf 及 ntdelect.com 兩個檔案,認為是正常的(因為他們並沒有強制破壞的指令)!!
它會在你的所有磁碟機中的根目錄中產生4個檔案
c:「autorun.inf 及 ntdelect.com」
這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟就會被變成傳染媒介
c:\windows\system32「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。也就是怎麼檢視隱藏檔的功能怎麼開都無效。
檢查方法1:
開記事本→檔案→開啟舊檔→在檔名的地方輸入「C:\autorun.inf」→按下開啟,若有開出東西就代表你可能中毒了。
當然你也可以將 C: 改成你電腦中目前有的磁碟代號。
若記事本內容會出現 open=ntdelect.com (這就是病毒名稱),這就表示你完全中毒了!
檢查方法2:
在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定,有開出記事本就要注意了!
電腦中毒症狀(無法直接使用滑鼠左鍵2下點選磁碟機,打開磁碟機時會出現下圖詢問畫面)




KAVO 解決方法:
請先下載文章附件的「 kavo.zipnbsp;」檔案  即刻下載  解壓縮後會有「解kavo步驟1.bat」、「解kavo步驟2.bat」、「DEL_AutoRun.bat」與「解法說明.txt」四個檔案
在執行時,請依照畫面的指示,切勿做其他事情!
先執行「解kavo步驟1.bat」後,它會開啟如下的DOS畫面,並顯示它的相關訊息,請依提示按下鍵盤上的任意鍵!


完成後,
請重新開機,接著再繼續執行「解kavo步驟2.bat」。


(這個步驟的執行需要一點時間,磁碟愈大時間會愈久,所以別以為當機囉!)

完成上述的兩個步驟後,為了避免繼續中毒,它還會在每個磁碟機的根目錄下,新增名為「autorun.inf」的「唯讀及隱藏」資料夾,如果您沒有調整過,根據檔案總管預設值,並不會將此資料夾顯示出來喔!
★:千萬要小心不要自以為聰明地去刪檔案,若刪到ntdetect.com刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。


ntdelect.com 這是病毒檔(在第3個步驟就會被刪除掉了)
隨身碟 KAVO 解決方法:
另外,如果已知隨身碟中了Kavo的病毒,可以先執行「DEL_AutoRun.bat」檔案,並參考以下的做法來解毒:
插入隨身碟時請按住「Shift鍵」不要放開直到偵測完畢後(這一步很重要,防止電腦再次受感染!)
再執行「DEL_AutoRun.bat」,將會刪除隨身碟(含所有磁碟)中的autorun.inf,
順便建立同檔名的資料夾,用來防止再被被毒寫入自動執行檔。
■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。
注意:你的隨身碟現在也是這隻病毒傳染媒體,請小心使用。
隨身碟包括「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)
ntdetect.com 這是系統開機會用到的檔案(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)

Richard 發表在 痞客邦 PIXNET 留言(0) 人氣()