YuRu's Life

今天早上...發現電腦怪怪的...出現了下面兩個狀況...

1. 磁碟機沒辦法開啟，會出現"選擇程式"的對話框...
2. 沒辦法看隱藏資料...

在AntiVir叫做TR/Crypt.NSPM.Gen
在NOD32叫做Win32/Pacex.Gen

這兩隻病毒我也不確定是不是是同一隻，但是我比較確定的是我遇到的那兩個狀況是因為
1. kavo.exe
2. kav0.dll(也有可能會有kav1.dll、kav2.dll...以此類推...)
3. autorun.inf
4. ntdelect.com
這些檔案造成的...還蠻多的...尤其是2、3、4是隱藏檔(1我沒有看到，網路上有些資料有提到...)

偏偏在中毒的時候，顯示隱藏資料的功能似乎被鎖住了...

我的OS是WinXP SP2，防毒軟體是用NOD32...

但是我在網路上查資料的時候看到....NOD32的資料庫雖然有Win32/Pacex.Gen這個病毒的資訊，但是卻沒辦法"解毒"...另外，有資料顯示AntiVir這套防毒軟體可以解毒...

因此，我下載了AntiVir來進行掃毒(安裝後免重開機，直接update後掃毒)...在掃毒的過程中...我順便做了一些動作...

1. 這病毒會將系統的隱藏檔案的功能封鎖，而病毒本身檔案是隱藏檔，因此必須打開系統隱藏檔顯示功能。
1.1 開始->執行->regedit 開啟登錄檔修改器。
1.2 找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
1.3 找到Checkedvalue參數，將參數值設定為1。

2. 將病毒從啟動程式中移除
2.1 找到 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]以及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
2.2 將名稱或內容含有kavo或kava的啟動程式全部刪除。
2.3 找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
2.4 將 "B058B02A-AC93-4FBA-900B-FA44D9B92805"=C:\WINDOWS\fly32.dll 這個資料刪除
2.5 找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersionWindows]
2.6 將 這個資料刪除

3. 將系統還原關閉
3.1 我的電腦 =右鍵=> 內容 => 系統還原 =勾選=> 關閉所有磁碟上的系統還原 => 確定
3.2 此時AntiVir顯示在各個槽都有TR/Crypt.NSPM.Gen，而NOD32也沒有出現Win32/Pacex.Gen的入侵通知視窗
3.3 重新開機

完成了? NO~還沒!!

4. 將木馬所衍生出來的檔案都砍掉!! 而且這些病毒都是隱藏的!! 要記得開顯示所有檔案!!
注意!! 我為了避免再啟動病毒，都是在其他"資料夾"的"網址列"去選擇各個磁區...

C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
(你可以用檔案總管搜尋檔案 kavo.*)

C:\autorun.inf
(看你有幾個磁區，根目錄底下的autorun.inf全部刪除)

C:\ntdelect.com
(看你有幾個磁區，根目錄底下的ntdelect.com全部刪除；注意：是小寫的ntdelect.com不是大寫的NTDETECT.COM，刪錯會有嚴重後果)

5. 刪完了整台電腦在重新掃毒後在重新開機吧!!

我試過後...成功!!!