關於部落格
說想說的,記想記的;

未完待續。
  • 87960

    累積人氣

  • 0

    今日人氣

    0

    追蹤人氣

[kavo][taso][mnso] autorun.inf 和 ntdelect.com 作怪

除了惱人的「應用程式錯誤」警示窗外,據說系統的速度也會越來越慢,如果你插上了 usb flash (就是隨身碟或記憶卡等等的 usb 裝置),它也會幫忙寫入 autorun.inf 與 ntdelect.com 兩個檔案,然後再插入別人的電腦時,就可以再去感染下一台電腦了。


[解決辦法]


1. 清除 registry 檔中會一開機就啟動的執行檔


[開始]-[執行]-輸入 regedit,刪除 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 底下類似 "kava" = "%System%kavo.exe" 的機碼,有可能是 kavo taso 或 mnso 等執行檔


2. 重開機並進入安全模式 (開機 POST 畫面後以 F8 進入選單)


3. 清除 autorun.inf 和 ntdelect.com 檔


開啟 DOS 視窗 ([開始]-[執行]-輸入 cmd)
輸入 cd 退到 C 的根目錄
輸入 attrib 看看每個檔案的屬性,如果有下列兩個檔案任一個就必須砍除
A SHR C:autorun.inf
A SHR C:NTDELECT.COM

注意 ntde L ect.com 和 ntde T ect.com 是不同的檔案,誤砍 ntdetect.com 會開不了機的

attrib -h -r -s autorun.inf
attrib -h -r -s ntdelect.com
del autorun.inf
del ntdelect.com


以上的動作一定要在安全模式下作,否則斬草沒除根,春風吹又生,過一會兩個檔案就都會長回來。刪完 C 的根目錄底下的檔案,請繼續刪 D: 和 E: 等所有 Drive 底下的這兩個檔案。


4. 刪除病毒檔案


這一步可以利用掃毒軟體做完整掃描來清除,但一來怕掃毒軟體漏掃新的變種病毒,二來掃描花的時間也很久,所以也可以手動刪除。以下的動作一樣在 DOS 視窗的 command line 作:
c:
cd windows
dir /a kavo* taso* mnso* fly*

在 c:/windows/ 底下若有 kavo.exe 等病毒檔案,就用 del 砍了吧,若砍不掉,請使用 attrib -h -r -s 先把檔案「現形」出來。

在 C:/windows/system32/ 底下也可會有這些病毒檔,一樣要砍掉。
cd system32
dir /a kavo* taso* mnso* fly*


接下來要到你的使用環境下的 Temp 資料夾把病毒檔案殺掉,底下路徑的 login name,依你中毒的那個 user 的名字而有所不同,一般電腦會用 administrator 或 user 或 owner
cd "Documents and Settingslogin nameLocal SettingsTemp"
dir /a *.dll *.com *.exe

Temp 資料夾裡面其實可以全部清空,畢竟只是 Temp 而已嘛,不過我們也可以只砍可疑的執行檔就好。


5. 檢查 registry 檔中的機碼是否被更動


[開始]-[執行]-輸入 regedit,檢查
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue" = "0"

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"Hidden" = "2"

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced"ShowSuperHidden" = "0"

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPociliesExplorer"NoDriveTypeAutoRun" = "0x91"


用搜尋的方式,刪除含有中毒檔案名稱的機碼,如 kavo.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"kava" = "%System%kavo.exe"


6. 最後重開機即可.


[參考文章]
http://www.symantec.com/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=3
相簿設定
標籤設定
相簿狀態