【問題】隨身碟病毒已刪除，但AutoRun.inf無法刪除 [Site Map] - 第 2 頁

風流瀟灑

2007-12-19, 03:09 PM

在很多論壇的防毒版，kavo.exe、autorun.inf、ntdelect.com等被稱做是「隨身碟病毒」，當然也有人陸續利用微軟的內、外部指令，撰寫清除這類病毒的批次檔或編譯成執行檔，但是都是治標不治本的辦法，甚至寫這些所謂的「解毒程式」者，都不瞭解這隻病毒的手法，只是看到什麼殺什麼，以下是這隻病毒的完整解法，會寫工具會「執行」工具是沒有用的，瞭解這個病毒的手法才是根除的重點：
請務必「確實」做到以下步驟，否則病毒一定會重覆產生：
1.重新開機進入安全模式
2.插入所有你用到的usb隨身碟，並確定電腦能抓取到
3.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)
4.開始 -> 執行 -> 輸入 cmd -> 確定 -> 輸入 taskkill /f /im explorer.exe -> 確定 -> 再輸入一次 explorer.exe
5.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)
6.開始 -> 執行 -> 輸入 regedit ->找到以下機碼：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
點 SHOWALL，將 "CheckedValue"=dword:00000000 數值改為 1
7.找尋以下機碼：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
直接刪除 MountPoints2
8.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)
9.進入我的電腦 -> 上方工具列的工具 -> 資料夾選項 -> 檢視 -> 取消「隱藏保護的作業系統檔案」及點選「隱藏所有檔案和資料夾」 -> 確定
10.開始 -> 執行 -> 輸入 cmd -> 輸入 del /f /q %windir%\system32\kav*.* 按enter
11.上述步驟執行完畢後輸入 cd %userprofile%\"local settings" 按 enter -> 輸入 rd /s /q temp 按enter
12.以 explorer 指令開啟磁碟區，如： explorer c: 、explorer d:(以此類推，看你有幾個磁碟區，包含隨身碟，千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區)
13.刪除所有磁碟區的 autorun.inf 、 ntdelect.com、 ntdeI(此為大寫的 i)ect.com、 auto.exe、 sos.exe 、 avp.exe(有些是變種的檔名，沒有就沒有，有就刪)
14.開始 -> 執行 -> 輸入 msconfig -> 到「啟動」頁面 -> 取消 kava、tasa -> 大功告成，重新開機
15.在防火牆將以下ip封鎖(這個病毒是透過這些ip來做持續更新)：
60.169.0.182 ~ 60.169.0.188 尤其 60.169.0.185 一定要封鎖(不會使用防火牆，請自行研究)
上述步驟一定可以完整清除Virus.Packed,Win32.NSAnti.r (卡巴斯基判定 KAVO.exe、ntdelect.com、autorun.inf 的病毒名稱)
因此這個病毒的刪除重點：
1.就是explorer.exe 要先被停用再啟用，因為會有一隻 kavoX.dll 及 tasoX.dll(盜帳號的木馬)被 explorer.exe 調用
2.不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)，因為會觸發autorun.inf 呼叫 ntdelect.com或avp.exe、sos.exe、auto.exe…，病毒行為會一再重覆執行
3.將 60.169.0.182 ~ 60.169.0.188 IP封鎖，尤其是 60.169.0.185，這是它的更新來源
請確定一定要依照我的步驟確定做完，並請回報是否解決。