Re: [救命] 外接硬碟無法直接開啟
看板Ladies_Digi作者scuderia (再也不用 ATI 顯卡了 = =)時間17年前 (2007/09/02 23:01)推噓4(4推 0噓 1→)留言5則, 4人參與討論串4/4 (看更多)
: 為什麼一定要格式化呢?
: 重灌很浪費時間,可以的話應該盡量避免重灌比較好
: 其實這個問題只是在原來的磁碟裡面有個名稱叫做autorun.inf的檔案在作怪而已
: 為什麼要因為一個檔案砍掉整個磁碟資料?
: 不知道怎麼處理的話,可以試試在開始功能表的搜尋
: 哪個槽打不開就在那個槽搜尋
: 搜尋autorun.inf 只要是在最底層目錄下 例如 C:\autorun.inf 格式又是檔案的
: 那請砍了他 問題就解決了。
: 重灌--真的不是一個好方法。
這個辦法是不錯,但是只能刪掉病毒產生的 autorun.inf 而已,
基本上這款隨身碟病毒都是有一個病毒檔產生 autorun.inf 或其他木馬,
如果只砍掉 autorun.inf 的話,下次開機他還是會再產生,
有人用一個滿簡單的方法是在每個槽底下建立一個新資料夾,
檔名就叫做 autorun.inf,這樣病毒就無法複寫一個過去,
但是基本上那個核心的病毒還是沒刪掉。
個人目前碰過兩種症狀,一種是像原 po 說的無法直接開啟分割磁區,
我是用 antivirus 板置底文提供的 delautorun.bat 解決的,
直接執行後跑完就正常了。
另一個症狀是產生 autorun.inf 和 ntdelect.com 兩個檔案,
並且無法修改「顯示隱藏的檔案及資料夾」設定,
他的核心病毒就是 kavo.exe 這支病毒。
解法是先用 SafeUSB 這支小軟體,http://0rz.tw/062TB
把所有分割磁區的 autorun.inf 和 ntdelect.com 都刪掉,
接著 SafeUSB 不要關,讓他在工具列監控,
把隨身碟的東西複製到硬碟,格式化後再把東西搬回去,然後拔掉。
然後接著要修改被 kavo.exe 修改的登錄值,
開始 - 執行 - 輸入 regedit 進入登錄檔編輯表,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
裡面應該有一個名稱是 kava,資料是 c:\windows\system32\kavo.exe,
點右鍵選刪除。
接著在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL 裡有一個 CheckedValue 的值,
這是管理顯示隱藏檔的設定,如果中毒的話,數值是 0,請點兩下改成 1。
到這個步驟就已經是把因中毒產生的木馬刪除,並且把被修改的登錄值更正了,
接下來要把病毒檔案刪除,
請到 c:\windows\system32 下,按 F3 搜尋 kavo*.*,
應該會找到 kavo0.dll 和 kavo.exe,把這兩個檔案刪除,
接著重開機,再用 SafeUSB 檢查看看還有沒有病毒。
以上是最近幫人解決確定可行的步驟,但只能確定適用於相同的症狀,
其他的症狀可能要去 antivirus 找找看有沒有其他的解法囉~
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.111.101.120
推
09/02 23:06, , 1F
09/02 23:06, 1F
推
09/03 14:30, , 2F
09/03 14:30, 2F
推
09/03 14:38, , 3F
09/03 14:38, 3F
推
03/10 17:03, , 4F
03/10 17:03, 4F
→
03/10 17:04, , 5F
03/10 17:04, 5F
討論串 (同標題文章)