關於隨身碟病毒的解毒方法@ No Limit - 隨意窩

... 當一個未感染的隨身碟插入一台已感染的電腦，病毒會自動感染隨身碟；反之，未感染的電腦也會受已感染的隨身碟影響。

（二）隨身碟病毒常見的症狀包含在'我的電腦'要 ... NoLimit做更好的自己日誌相簿影音好友名片 200711021415關於隨身碟病毒的解毒方法?資訊安全 （一）何謂隨身碟病毒所謂隨身碟病毒是指"藉由隨身碟傳播的病毒"，當一個未感染的隨身碟插入一台已感染的電腦，病毒會自動感染隨身碟；反之，未感染的電腦也會受已感染的隨身碟影響。

（二）隨身碟病毒常見的症狀包含在'我的電腦'要進入硬碟分割區時(C、D)，會以新視窗開啟，在正常的狀態下只會以原本視窗打開沒辦法檢視隱藏檔在開機不久後會跳出，告訴你有個什麼檔案已經被修改了成writen而無法運作無法進入C、D磁區有了上述的情形(任一)，表示電腦可能中了藉由隨身碟傳播的病毒（三）檢驗法這種隨身碟病毒近來很流行，大部分的掃毒程式都可以掃除這種病毒，但是新變種（大約2007年8月）的Kavo就不一定能夠掃除，要確定電腦是否中了Kavo病毒，可以使用下面的方法來判斷：開啟命令提示字元視窗（快捷鍵win+R->鍵入cmd按Enter）->win是指上面印有windows圖樣的按鍵將目錄切換到最上層（語法：cd\）鍵入attrib*按Enter此時電腦會跑出一些資訊，如果在這些資訊中看到，autorun.inf字樣，則表示電腦可能已經中藉由隨身碟傳播的病毒，但是還無法確定是哪種病毒，這是因為所有藉由隨身碟傳播的病毒都會在硬碟裡產生autorun.inf。

在這些資訊裡，除了有autorun.inf外還有看到ntdelect.com才可確定中了Kavo病毒。

在上述的檢驗法中，只要有一個磁碟感染，很快的其他的分割區也會遭受感染，包括已連接的隨身碟、MP3、記憶卡、手機等具有隨身碟功能的儲存性電子產品。

-----------------------------------------------------------------PS：這個病毒與系統檔命名相似，請勿搞錯檔名小寫時病毒檔ntdelect.com系統檔ntdetect.com檔名大寫時病毒檔NTDELECT.COM系統檔NTDETECT.COM-----------------------------------------------------------------注意：每個磁碟分割區都必須重複這樣的動作，以確定所有磁碟是否感染病毒。

切換到D槽的語法D:切換到H槽的語法H:依此類推當要檢驗隨身碟時，插入隨身碟後，立即按住Shift不放，防止autorun.inf運作（四）解毒方法在開始解毒前，請先把隨身碟、MP3等移除，若是只有隨身碟中毒，直接跳到Step8Step1.關閉Windows系統還原功能->如何關閉Step2.使用HiJackThis（下載）開啟HiJackThis直接按Doasystemscanonly選項拉動scrollbar在04項看到kavo或kava就在數字項次左邊打勾，然後按FixCheckedStep3.執行OTMoveIt（下載）複製下面文字==============================C:\WINDOWS\system32\kavo.exeC:\WINDOWS\system32\kavo.dllC:\WINDOWS\system32\kavo0.dllC:\WINDOWS\system32\kavo1.dllC:\WINDOWS\system32\kav0.dllC:\WINDOWS\system32\kav1.dllC:\ntdelect.comD:\ntdelect.comE:\ntdelect.com↑有幾個硬碟槽，就複製多少（X:\ntdelect.com）==============================在左半邊視窗按右鍵->貼上，然後按MoveIt!Step4.處理完之後，請重新開機Step5.分別刪除各磁碟中的autorun.inf在此使用批次執行，開啟記事本，複製以下文字存成.bat檔==============================C:cd\attrib-r-h-sautorun.infdelautorun.infD:cd\attrib-r-h-sautorun.infdelautorun.infE:cd\attrib-r-h-sautorun.infdelautorun.infF:cd\attrib-r-h-sautorun.infdelautorun.inf↑有幾個硬碟槽，就複製多少==============================執行bat檔，如此一來，電腦裡的Kavo病毒就清掉了。

關於attrib的指令Step6.若開啟隱藏檔功能無法運作，請修改登錄檔快捷鍵win+R->鍵入regedit找尋HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL字串(DWORD)值Checkedvalue設為1Step7.把HiJackThis與OTMoveIt備份的檔案刪除，再來可以使用（三）檢驗法，去確定病毒是否清除Step8.清理隨身碟、記憶卡裡的病毒以隨身碟為例，插入隨身碟後立即按住Shift不放，防止autorun.inf運作在刪除裡面的病毒前，請勿打開隨身碟，如果不甚引發autorun.inf的執行，那電腦將會重新感染病毒，所以建議一個一個隨身碟慢慢清除首先開啟命令提示字元視窗，切換到隨身碟所在的根目錄並鍵入下面的指令==============================attrib-r-h-sautorun.infdelautorun.infattrib-r-h-sntdelect.comdelntdelect.com==============================重複這些步驟直到，所有隨身碟或MP3皆清除完成關於（五）防止感染隨身碟病毒因為現今隨身碟普及，在公用電腦上有很高的可能性有隨身碟病毒藏駐如果隨身碟有唯讀功能，則盡量切換成唯讀狀態可以使用網路上的一些免疫程式，不過這個方法並不能永遠確保隨身碟病毒不會入侵隨身碟，因為病毒可能會變種，強化功能將乾淨的隨身碟插入公用電腦前先替電腦解毒，不過這需要時間，而且新型的病毒沒有辦法馬上檢驗得知若已知道隨身碟有毒就不要插入公用電腦，避免傳染給別人在自家的電腦安裝防毒軟體，若不甚隨身碟受感染，也可以防止自家電腦中毒要杜絕隨身碟病毒的肆虐，每個人都應該發揮公德心，愛護公用電腦。

另外，平時要養成備份資料的好習慣，避免症狀過於嚴重時，因為有重要資料而不能格式化磁碟。

（六）其他關於解毒方法的網站上述的解讀方法，是參考這個網站http://www.acqbbs.com/viewthread.php?tid=2559&extra=page%3D1其他還有許多網站http://forum.slime.com.tw/thread216334.htmlhttp://www.ithome.com.tw/itadm/article.php?c=44550http://www.yoto.com.tw/my/1/viewspace-142http://tw.myblog.yahoo.com/jw!9.7LgySCE0aC5i.QMbu0U.qeCg--/article?mid=369http://forum.icst.org.tw/phpBB2/viewtopic.php?t=13282 Autosun/Xuite日誌/回應(0)/引用(0)迎新茶會|日誌首頁|「大學生必修的75堂課」讀後心...上一篇迎新茶會下一篇「大學生必修的75堂課」讀後心得...回應 奧托森學習手札NoLimit 全部展開|全部收合 全部展開|全部收合 autosun's新文章研發替代役經歷分享RDSSYahoo!參訪行工作都不工作了20101025網頁瀏覽器評比benchmarkbyPeacekeeperOneday網路不通排解經驗找不到我是誰！練習 autosun's新回應沒有新回應！