Re: [中毒] Win32/Pacex.Gen

看板AntiVirus (防毒)作者mp607 (...)時間17年前 (2008/07/10 22:46)推噓5(5推 0噓 11→)

留言16則, 6人參與討論串2/3 (看更多)

依照掃毒報告來看似乎是中了最近流行的jvvo病毒可以到google 搜尋 jvvo kavo 等關鍵字或看下面 --------------------------------------------------------------------------- 以下解毒方法取自台南女中資研社指導老師請務必「確實」做到以下步驟，否則病毒一定會重覆產生： 1.重新開機進入安全模式 2.插入所有你用到的usb隨身碟，並確定電腦能抓取到 3.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽) 4.開始 -> 執行 -> 輸入 cmd -> 確定 -> 輸入 taskkill /f /im explorer.exe -> 確定 -> 再輸入一次 explorer.exe 5.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽) 6.開始 -> 執行 -> 輸入 regedit ->找到以下機碼： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 將 "CheckedValue"=dword:00000000 數值改為 1 這是解除隱藏 7.找尋以下機碼： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 直接刪除 MountPoints2 8.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽) 9.進入我的電腦 -> 上方工具列的工具 -> 資料夾選項 -> 檢視 -> 取消「隱藏保護的作業系統檔案」及點選「隱藏所有檔案和資料夾」 -> 確定 10.開始 -> 執行 -> 輸入 cmd -> 輸入 del /f /q %windir%\system32\kav*.* 按enter 11.上述步驟執行完畢後輸入 cd %userprofile%\"local settings" 按 enter -> 輸入 rd /s /q temp 按enter 12.以 explorer 指令開啟磁碟區，如： explorer c: 、explorer d以此類推，看你有幾個磁碟區，包含隨身碟，千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區) 13.刪除所有磁碟區的 autorun.inf 、 ntdelect.com、 ntdeI(此為大寫的 i)ect.com、 auto.exe、 sos.exe 、 avp.exe(有些是變種的檔名，沒有就沒有，有就刪) 14.開始 -> 執行 -> 輸入 msconfig -> 到「啟動」頁面 -> 取消 kava、tasa、kavo、... -> 大功告成，重新開機 15.在防火牆將以下ip封鎖(這個病毒是透過這些ip來做持續更新)： 60.169.0.182 ~ 60.169.0.188 尤其 60.169.0.185 一定要封鎖(不會使用防火牆，請自行研究) 上述步驟一定可以完整清除Virus.Packed,Win32.NSAnti.r (卡巴斯基判定 KAVO.exe、ntdelect.com、autorun.inf 的病毒名稱) 因此這個病毒的刪除重點： 1.就是explorer.exe 要先被停用再啟用，因為會有一隻 kavoX.dll 及tasoX.dll(盜帳號的木馬)被 explorer.exe 調用 2.不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)，因為會觸發 autorun.inf 呼叫 ntdelect.com或avp.exe、sos.exe、auto.exe…，病毒行為會一再重覆執行 3.將 60.169.0.182 ~ 60.169.0.188 IP封鎖，尤其是 60.169.0.185，這是它的更新來源請確定一定要依照我的步驟確定做完，並請回報是否解決。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 202.132.77.125