1.「系統隱藏資料夾無法顯示」
2.每個磁碟內。如 c: d: e: f: g: Autorun.inf 會被執入 執行 如下內容:
[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com
3.打開你的工作管理員看看程序裡是不是有"kavo.dll" 或 "kavo.exe"在運作呢??
操作步驟如下:
2. 執行KavoRemove解毒.rar,請解密後到安全模式下執行kavoremove.exe
刪除檔案如下:
。所有磁區的autorun.inf、ntdelete.com、ntdelect.com
。%windir%\system32\kavo.exe、%windir%\system32\ubs.exe、%windir%\system32\kavo0~10.dll
。%windir%\system\kavo.exe、%windir%\system\ubs.exe、%windir%\system\kavo0~10.dll
。Documents and Settings\Administrator\Local Settings\Temp\*.dll
。%windir%\temp\*.dll
3. 刪除以下機碼名稱:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\kava (假如有存在的話)
4. 雙擊「恢復隱藏檔與資料夾的機碼.exe」修復隱藏檔與資料夾的機碼,修復的機碼如下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden="2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue="1"
不知怎麼關閉看http://support.microsoft.com/kb/310405/
1.先執行cmd呼叫「命令執行視窗」並準備超強砍檔工具killbox(沒有也沒關係)
【步驟2~4請在命令執行視窗裡下指令】
2.執行attrib -A -S -H -R x:\autorun.inf
執行attrib -A -S -H -R x:\ntdelect.com
執行attrib -A -S -H -R c:\windows\system32\kavo*.*
注意:x代表自己的磁碟機,所有分割的磁碟機都要
3.del c:\windows\system32\kavo.exe
del x:\autorun.inf
del x:\ntdelect.com
注意:x代表自己的磁碟機,所有分割的磁碟機都要
注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5.執行regedit
6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值,砍了它,別客氣!
7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8. 用killbox或OTMoveIt將c:\windows\system32\kavo0.dll 刪除(選重開機後刪除),如果沒有killbox,就先重開機,在跑完BIOS畫面後一直按F8,選擇進入「安全模式」就可以刪除了
9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功
再重開機後試試看能不能「顯示隱藏檔」(本來木馬在的時候,就算選了顯示還是會跳回去),
如果可以就是大功告成了! 
如果還是不放心,就看看c:\windows\system32裡還有沒有kavo開頭的檔案,並利用顯示隱藏檔的方式,檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔 
C:\WINDOWS\system32\kavo.dll
C:\WINDOWS\system32\kavo0.dll
C:\WINDOWS\system32\kavo1.dll
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
C:\ntdelect.com
D:\ntdelect.com
E:\ntdelect.com
↑有幾個硬碟槽,就複製多少(X:\ntdelect.com)
在左半邊視窗按右鍵選貼上後按MoveIt!
系統要求重開機就重開
另外,再分別到各磁碟下把它自動生出來的autorun.inf給殺掉
但是它改善了KillBoox在刪除下面還有子資料夾的資料夾時會失敗的缺點
把要刪除的檔案/資料夾路徑貼到左邊視窗按下MoveIt
視情況有時候會需要重開機
CleanUp! 這個功能是要清除一些
在清除惡意程式的過程裡所用到的一些軟體(EX: ComboFix,Avenger,VundoFix...等)
所遺留下來的檔案
OTMoveIt會先連上網下載一份清除清單(因為有時候會要更新)
把所有清單中的軟體清除後在把自己加入重開機移除的清單
重開機後 OTMoveIt.exe 也會被刪除
留言列表
