PCDVD數位科技討論區
第1頁 共3頁 1 2 3 下一頁
每頁顯示此主題的 10 個文章

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   疑難雜症區 (https://www.pcdvd.com.tw/forumdisplay.php?f=34)
-   -   病毒 無法~顯示所有檔案和資料夾 (https://www.pcdvd.com.tw/showthread.php?t=740723)

esc126 2007-08-24 07:55 PM
病毒 無法~顯示所有檔案和資料夾
 
:nonono:
在工具->檢視->顯示所有檔案和資料夾->確定
還是沒辦法顯示隱藏檔案
我還用了
CheckedValue殺掉,自己在新建一個
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL,把CheckedValue改為1
也沒用馬上又被改回0....
掃毒也掃過了-_-... :nonono: 該不會沒辦法了吧..

0955450555 2007-08-24 08:52 PM
http://www.ewido.net/en/onlinescan/

http://security.symantec.com/sscv6/...HXOAMEQV&bhcp=1

http://housecall60.trendmicro.com/h...ll/en/index.htm

http://onecare.live.com/site/zh-tw/default.htm

以上搭著用吧~

都掃過之後重開機再改你知道的那個值囉!!

之前也中過類似的毒.....

Samantha Jones 2007-08-25 01:14 AM
各類病毒與惡意程式真是日新月異,無孔不入
防毒程式好像總是遲一步,慢半拍

slowman001 2007-08-25 01:20 AM
http://www.pczone.com.tw/vbb3/thread/28/135723/

看看是不是這個病毒,昨天我也中了kavo

John-Wel 2007-08-25 01:32 AM
:think: kavo超討厭的病毒,最後用kav終結它 :think:

starless 2007-08-25 08:54 AM
有新變種喔!連KIS 6.0跟7.0都抓不到.....
目前知道的是這是一個隨身碟病毒,
跟kavo一樣會去更改檔案屬性及強制隱藏隱藏檔跟隱藏資料夾。
隨身碟裡面會有autorun.inf跟ntdelect.com兩個隱藏檔。
Autorun.inf內容如下:

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com


目前virus sample兩個檔我都有保留下來。

esc126 2007-08-25 11:20 AM
看到了... :like:
用ctrl+alT+del,有kavo.exe
slowman001,的方法我等等試試看
starless,我用kis沒掃到該不會是新變種吧-_-...

starless 2007-08-25 03:29 PM
引用:
作者esc126
看到了... :like:
用ctrl+alT+del,有kavo.exe
slowman001,的方法我等等試試看
starless,我用kis沒掃到該不會是新變種吧-_-...


有可能,因為照樓上的說法,Kav應該可以解決(當然這我沒印證,純是看網路上幾位網友回報說Kav可以處理),


但是我這裡碰到的狀況是KIS 6跟KIS 7都抓不到此一virus,所以才猜測可能是變種,而且Ctrl-alt-del找不到kavo.exe。

1024BITS 2007-08-25 08:31 PM
前幾天我也中過kavo.exe
上網找解決方法.但都不是很完整.我猜這隻大概是變種型
以下是我砍掉kavo.exe的方法

1.按f8 進入安全模式選單
選擇:安全模式的文字模式

2.在文字模式c:\中打
dir /as
看看有沒有以下2個檔案
autorun.inf
ntdelect.com //注意不是ntdetect(為系統檔).不要砍錯
偽裝檔也有可能不是ntdelect.com ..可以用type指令.看看內容.內容就自已看了.
type autorun.inf //指令
下一步.把病毒相關檔砍掉.
先把唯讀檔解開.才能刪
attrib -r -s -h autorun.inf //以此類推
解開後就可以用del刪除了

3.刪除完偽裝檔還有c:\windows 裡的相關檔也要刪
c:\windows 裡
fly32.dll //這不一定有.有的話就砍了他吧.

\system32\裡有2個
kavo.exe
kavo0.dll //kavo0.dll 後面的0可能會是其他數字

\help\
e5ed8bc94a26.dll 此為亂數檔.有的話也砍了
解開唯讀檔如上步驟

4. 再來把病毒修改過的登錄檔改回來
先把病毒的登錄檔刪掉.用ctrl+f 搜尋 kavo.exe/kavo0.dll/fly32.dll 相關檔
刪除完之後修改登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001 把他修改為1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

這部分要注意一點就是CheckedValue類型為REG_DWORD. 如果發現不是的話.砍掉在重建一個

再補充一點..每個槽的autorun.inf跟病毒的偽裝檔都要砍掉阿.不然前功盡棄了.

步驟大概是這樣了.有錯的糾正一下
我總共花了6小時才把kavo.exe病毒砍掉.感覺重灌比較快

esc126 2007-08-26 12:23 PM
1024BITS,寫的超詳細的 :like:
我晚點來試試看~


所有的時間均為GMT +8。 現在的時間是06:10 AM.
第1頁 共3頁 1 2 3 下一頁
每頁顯示此主題的 10 個文章

vBulletin Version 3.0.1
powered_by_vbulletin 2025。