最近家中電腦感染了隨身碟病毒,起先沒有發現(Norton 2005)。notebook 中安裝的是 Avira Antivir Personal Edition 才偵測出隨身碟已受到感染。參考了幾篇文章之後動手清除。其中比較有價值的文章分別是:
- 行政院資安論壇中的一個討論串。其中有一篇說明 kavo virus 的詳細清除步驟。甚至提到病毒會自我更新病毒碼!
- 台灣論壇中的一篇文章。包括其他的隨身碟病毒的各種名稱:tava/kava/avpa/amva/mmva/mnsa。但解法不如 1. 的完整。
- 您不可不知的KAVO病毒與解法。內有提到使用 HiJackThis 工具,來掃瞄並修復系統。此項工具可從趨勢網站下載。
系統是 XP Home,步驟與資安論壇中的文章類似但略有不同,紀錄如下:
- 關閉系統還原。
- 關閉網路。不一定要進入安全模式。
- 修復登錄檔,把顯示隱藏檔案的功能打開。執行 regedit 把 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 值改成 1。
- 移除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
- 先執行 cmd.exe 後用工作管理員把 explorer.exe 這個 process 殺掉,之後在 cmd 視窗下再執行 explorer。因為其中有 kavox.dll 會被 explorer 調用。
- 在 cmd 視窗下執行 explorer 以開啟 explorer,如:explorer c:。將資料夾選項中的隱藏檔案功能取消,如此可看到病毒寫入的隱藏檔案,將之清除。如:
- 根目錄下面的 autorun.inf, ntdelect.com (NOT ntdetect.com!), 數字/亂碼.bat/com。這些檔案不一定都存在。
- C:\windows\system32\kavo.exe
- C:\windows\system32\kavo1.dll
- C:\windows\help 下也要檢查。(?)
- 使用 cmd 視窗進入使用者的家目錄下的 Local Settings 之後執行 "rd /s /q Temp" 清除暫存目錄下的檔案。
- 每個磁碟根目錄都用 cmd 視窗下執行 explorer 磁碟機代號清除病毒檔案。
- 最後用 HiJackThis scan 之後勾選 kava/tava/等等 將之修復。
- 重新開機。
