USB 隨身碟 病毒 autorun.inf

九月 4, 2007

 今天處理很久的一個問題,是有關USB 隨身碟病毒的問題,

會造成無法顯示隱藏檔案,簡單測試方法,就是去 資料夾的工具選項中,

檢視的地方,打勾顯示所有檔案,按確定,之後再去看剛剛打勾有沒有被改選,

會自動散播到任何一個磁碟機中,尤其是USB 裝置。

名字是,KAVO*****

主要是會在C:\windows\system32\ 底下產生.dll kvao0 , kavo1 ,kav0,kav1 之類的檔案,

很難刪除, 其次會搭配自動播放,會產生ntdeltect.com,autorun.inf

解決辦法,參閱PTT 看板《AntiVirus》

================

作者: junorn (威廉華勒斯) 看板: AntiVirus
標題: Re: [方案] 隨身碟病毒跟硬碟點不開緊急處理Beta版
時間: Mon Apr  9 00:06:08 2007

我這邊整個改了一下所以就全部重打一遍好了

檔案下載位置:

http://sylovanas.myweb.hinet.net/Antivirus/delautorun.rar

點連結直接下載
下載後解壓縮置桌面後執行,或者直接執行裡面的檔案也可以。

或者是

http://kotuha.com/file/TPOWF-delautorun.html

點進去後按右方的delautorun的淺藍色文字即可下載
下載後解壓縮置桌面後執行,或者直接執行裡面的檔案也可以。

功能大概說一下
執行後會關閉Autorun的功能
刪除MountPoints2內部異常機碼,基本上就是全刪不過系統會自動重建預設。

刪除各磁碟內Autorun.inf檔案
在各磁碟創建Autorun.inf資料夾防止病毒寫入磁碟

刪除各磁碟recycled和recycler內執行檔 (COM,EXE,PIF檔)

修復隱藏檔無法顯示的問題(這個不見得行)

移除隨身碟病毒帕蟲產生的Image File Execution Options登錄值
刪除Notify底下的usbmon機碼(如果有的話)
並將USB Monitor機碼內的usbmons.dll值改回usbmon.dll(前提usbmons相關病毒要先清掉)

使用方式:
下載後直接執行依指示跑就好

注意事項:
如果說有發現一執行之後會一直跳error視窗出來的話
請把在執行置底閃光文時有使用到的隨身碟都插上去
將解開的檔案放在c:\
按開始 -> 執行 -> 輸入下列文字
c:\delautorun open
按確定依照指示動作
跑完後掃hijackthis和combofix的log到版面上給人處理

如果實在覺得沒有Autorun這功能非常麻煩而且不怕可能因自動撥放造成再次中毒的話
那就一樣按開始 -> 執行 -> 輸入下列文字
c:\delautorun open
這樣會將創建的Autorun.inf資料夾移除掉
並且將之前刪掉的Autorun機碼回復回去
記得要重開機…..
我碰一大堆跟我說怎麼弄都不行結果重開機就好的0rz
======================================================

感謝

廣告

2 回應 to “USB 隨身碟 病毒 autorun.inf”

  1. eliseno Says:

    我用cmd看過,沒有kavo*.*和ntdelect.com
    不過隱藏檔就是無法顯示…

  2. tboydar Says:

    cmd 之後
    打 CD\

    要在C:\

    打 dir/w/s/a kav*.*

    或 ntde*.*

    看喔^_^

    晚點再給我VNC您的電腦吧

    今天另個男生房客搬進來了


發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

%d 位部落客按了讚: