kavo 2009 新種病毒如何解決?

2009-03-03 7:41 am
我的電腦是使用antivir的免費防毒軟體,那天隨身碟插了公司電腦回來再插自己電腦以後,兩台都中了相同的木馬病毒。

電腦掃毒後發現病毒主要都藏在
C:\WINDOWS\system32\godert0.dll.和C:\WINDOWS\system32\lhgjyit0.dll裡,無法刪除。

公司電腦出現的中毒現象是:隱藏檔案無法顯示,防毒軟體無法更新。
我自家的電腦是出現:cpu使用率100%,防毒軟體無法更新,但是cpu的問題重開機幾次就會好轉。

下了很多掃毒軟體還是無法解決,一些簡易的刪毒程式也無法作用,看來好像只能用手動解毒法,但小女子對電腦程式一概不通,有些高手貼的解毒方法(如下)
--------------------------------------------------------
a. 重開機進入Windows安全模式, 執行Regedit將\HKEY_USERS\S-1-5-21-
xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run機碼內的kacsde.exe與uret463.exe刪除.
b. 將以下dos command寫入批次檔中執行
attrib -s -h -r c:\windows\system32\uret463.exe
del c:\windows\system32\uret463.exe
attrib -s -h -r c:\windows\system32\kacsde.exe
del c:\windows\system32\kacsde.exe
attrib -s -h -r c:\windows\system32\godert1.dll
del c:\windows\system32\godert1.dll
attrib -s -h -r c:\windows\system32\lhgjyit0.dll
del c:\windows\system32\lhgjyit0.dll
attrib -s -h -r c:\windows\system32\lhgjyit1.dll
del c:\windows\system32\lhgjyit1.dll
attrib -s -h -r c:\6vu680.exe
del c:\6vu680.exe
attrib -s -h -r d:\6vu680.exe
del d:\6vu680.exe
c. 將
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1, 並確認類型為RED_DWORD, 非REG_SZ
---------------------------------------------------

我完全看不懂....><
不知道有沒有哪位好心的高手能詳細的告訴我如何手動解毒,如果能附上圖文說明依步驟一步驟教我更是感激不盡!!!!


(誠懇獻上20點)
更新1:

To 小強: 感謝您的解說,剛剛試過一次後重開機防毒軟體沒有再叫了,但是執行當中我還是有些疑問,而且防毒軟體還是無法更新。 1.xxxxxx指您的使用者名稱 執行後會有一個視窗 找到上方一長串的東西 點一下右邊會有東西跑出來 點一下uret463.exe 按delete => 這個步驟我找不到您說的上方一長串東西,點一下右邊有東西跑出來,不過我按照HKEY_USERS\S-1-5-21-xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run這個路徑找到了那兩個檔案並刪除,不知道這樣有無錯誤?

更新2:

2.在執行批次檔那個步驟,我輸入了那一大堆英文字,但是我有疑問的是像打完這行attrib -s -h -r c:\windows\system32\uret463.exe後要打del c:\windows\system32\uret463.exe這行,我以為按enter會換下一行,結果又要重打,所以我在這兩行間以空白鍵分開,不知道這樣是不是有問題?還是那一大串英文字根本不需要分行空白,一直打下來就可以了? 3.在打完所有英文字後,需要按enter嗎?還是打完它就會自動執行了? 因為我打完就把視窗關掉,好像有點怪怪的...

更新3:

感謝小強和益民, 下載新的小紅傘後第一次的更新已經沒問題了。 (但是如果之後有更新不知道會不會又出亂子 ><) 另外, 我已經將電腦再重新掃毒一次, 但是依舊發現病毒, 病毒訊息如下:

更新4:

The file 'C:\gxul.com' contained a virus or unwanted program 'TR/PSW.Magania.aul' [trojan] TR/PSW.Magania.aul [trojan]' detected in file 'C:\System Volume Information\_restore{7DA4AFEE-6E38-4CB2-9658-0501C70A82EF}\RP8\A0003291.exe.

更新5:

TR/PSW.Magania.aul [trojan]' detected in file 'C:\System Volume Information\_restore{7DA4AFEE-6E38-4CB2-9658-0501C70A82EF}\RP8\A0003295.com. 請問兩位高手該如何解決?

更新6:

又發現一隻 The file 'C:\Qoobox\Quarantine\C\WINDOWS\system32\uret463.exe.vir' contained a virus or unwanted program 'TR/PSW.Magania.aul' [trojan]

回答 (11)

2009-03-03 8:17 am
✔ 最佳答案
我把上面步驟詳細說明 (抱歉無法貼圖)
重開機進入Windows安全模式
電腦一按啟動鈕就一直按鍵盤上方的 F8 街者 用上下左右方向鍵+enter 選安全模式
http://briian.com/?p=1039) 這是圖解

執行 regedit
按開始 執行 輸入字

將\HKEY_USERS\S-1-5-21-
xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run機碼內的kacsde.exe與uret463.exe刪除
(別關此視窗)

xxxxxx指您的使用者名稱 執行後會有一個視窗 找到上方一長串的東西 點一下右邊會有東西跑出來 點一下uret463.exe 按
delete

dos command
請點 〔開始〕→【所有程式】→【附屬應用程式】→【命令提示字元】,開啟「命令提示字元」視窗
接著會出現一個黑底白字的視窗
把上面的字用英文打進去 (辛苦了)

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1, 並確認類型為RED_DWORD, 非REG_SZ

點一下HKEY_LOCAL 右邊那東西點兩下 輸入的地方打1

大功告成

再來usb 裡的autorun (隨身碟的自動播放)關掉
http://briian.com/?p=3569
開檔案之前掃一掃毒


有問題再問

2009-03-03 21:27:22 補充:
antivir 有時候都會怪怪的 先移除小紅傘 再裝avast
註冊頁面http://avast.com/cnt/home-registration.php#register-form

下載頁面http://avast.com/cnt/download-avast-home.html(點繁體中文)

它會把序號寄到你的信箱

2009-03-03 21:30:17 補充:
問題1 沒錯

我以為按enter會換下一行,結果又要重打,所以我在這兩行間以空白鍵分開,不知道這樣是不是有問題?還是那一大串英文字根本不需要分行空白,一直打下來就可以了?
按enter 就等於滑鼠點兩下 所以 每打完一行就按enter 沒有錯

2009-03-03 21:35:15 補充:
3.在打完所有英文字後,需要按enter嗎?還是打完它就會自動執行了?
因為我打完就把視窗關掉,好像有點怪怪的...

同上 每打完一行就按一個enter 他才會執行

2009-03-04 19:39:48 補充:
建議您先換殺毒功能好的防毒軟體 如kaspersky norton
試用期間把毒都殺掉 殺掉後再換回免費的

接者在在我的電腦按右鍵 內容 系統還原 勾關閉系統還原

2009-03-04 20:01:27 補充:
謝謝益民的補充
參考: 這樣還不選我 我就崩潰了
2014-07-27 5:07 pm
我提供免費電腦問題諮詢:02-29405818

我只要是~電腦維修~電腦重灌~電腦問題~修電腦~重灌win7~xp重灌~都是找他們
他們到府服務非常方便!!
希望能幫到你
可以跟他們聯絡看看
評價很高...你可以試試看!!^^

電話:02-29405818

或者加LINE~直接線上詢問也可以!

ID:gmepc168

希望能幫到你

Yahoo服務加網址

http://tw.serviceplus.yahoo.com/booth/seller/Y0193898792
2009-03-05 10:33 pm
用這個吧!!簡單好用下載直接執行

重點是掃的時候隨身碟也要插著掃才不會又交叉傳染


http://www.bitdefender.com/site/Downloads/downloadFile/1582/FreeRemovalTool

上面的掃完之後再用這一套先更新病毒碼再掃一次

http://residence.educities.edu.tw/all3c/tool/KVTOOLS%202.0.rar

2009-03-05 14:38:01 補充:
上面的大大說的沒錯江民確實已經可以將它清除

附上載點

http://tw.myblog.yahoo.com/jw%21VFZCb..QEQWi3mo.bkq_NLUk/article?mid=2346
2009-03-05 2:13 am
我是有一個好用的軟體啦!可是太多人回答一些無關問題的回答!所以如果需要 請加我即時通:clex44699
2009-03-04 4:32 pm
大家提的方法都不錯,但是好像重點都沒甚麼提到

請換江民防毒

該檔案已經加入病毒庫
若是發生變種

請用"編輯樣本庫"功能,用WINRAR找出該檔案加入樣本庫
再用"掃描樣本庫"功能做病毒查殺

根本不用這裡搞一下批次擋,那裡用一下登錄檔
看了就覺得好累



2009-03-04 11:36:41 補充:
一樣往江民的樣本庫就可以

江民的樣本庫會把你硬碟裡面相同特徵碼的檔案抓出來砍

2009-03-05 00:58:23 補充:
你列出的病毒江民幾乎都已入庫

根本只要做完整掃描讓江民去砍就好

2009-03-05 00:58:56 補充:
今天才幫一個客戶處理同樣的病毒
參考: 實戰教學請到江民防毒愛用者教學網http://ezused.googlepages.com/index.htm
2009-03-04 2:43 pm
您好:
  參考如下處理方式!

KavoRemove 趨勢科技 kavo 清除程式
小精靈 隨身碟病毒清除程式
清除KAVO病毒的小軟體
USB Cleaner v6.0 繁體中文版
EFix 下載地點及使用說明
  如上處理後,建議在詳細掃毒一下!
一、關閉所有磁碟上的系統還原
二、 線上掃病毒(木馬) 
非趨勢用戶掃毒(間諜)方式半自動化
http://tw.myblog.yahoo.com/ddovwmk/article?mid=26152&prev=-1&next=26051
三、更新病毒碼(目前您在使用的防毒軟體)
四、拔除網路線
五、進入安全模式方式
六、安裝防木馬軟體
Ad-Aware SE Professional
CCleaner 清理無用垃圾、登錄檔處理方式
Wise Registry Cleaner 綠色多語版(進階)
CCleaner軟體 VS Internet Explorer 清除上網記錄方便 (供參考)
惡意軟體(程式)清除處理工具
參考: 參考如上處理方式!
2009-03-04 9:19 am
幫小強補充一下! (純支援,勿選)
另外千萬別漏了這裡也會有相同的資料
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
-------複製(如此就不會有空白有無的疑問)以下用記事本,存成clskavo.bat,存在桌面點二下執行,隨身碟請先插上。
attrib -s -h -r c:\windows\system32\uret463.exe
del c:\windows\system32\uret463.exe
attrib -s -h -r c:\windows\system32\kacsde.exe
del c:\windows\system32\kacsde.exe
attrib -s -h -r c:\windows\system32\godert1.dll
del c:\windows\system32\godert1.dll
attrib -s -h -r c:\windows\system32\lhgjyit0.dll
del c:\windows\system32\lhgjyit0.dll
attrib -s -h -r c:\windows\system32\lhgjyit1.dll
del c:\windows\system32\lhgjyit1.dll
attrib -s -h -r c:\6vu680.exe
del c:\6vu680.exe
attrib -s -h -r d:\6vu680.exe
del d:\6vu680.exe
rem 注意如果你有D以上碟,請將以下二行視成一組,再複製將"C:\改成D:\",隨身碟也要
attrib -s -h -r c:\autorun.inf
del c:\autorun.inf
-------END
另外解決隱藏資料設定問題
-----以下存成killkxvo.reg (注意存檔時檔案類型選所有檔案*.*)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001


2009-03-04 01:31:28 補充:
killkxvo.reg也是點二下再確認二次。
順便打個簡易的預防針

複製以下成123.bat,一樣視磁碟數各給予一組指令,包含隨身碟。

md c:\autorun.inf
attrib +s +h +r c:\autorun.inf
2009-03-04 3:28 am
試試這個!!

http://www.wretch.cc/blog/jackychen/15665051

有用的話請幫我推薦喔:)
2009-03-03 7:00 pm
2009-03-03 8:13 am
換 個 防 毒 軟 體 試 試 看 唷!
介 紹 你 一 款 超 好 用 的 防 毒 軟 體,

繁 體 中 文 操 作 介 面,一 看 就 懂!

操 作 與 安 裝 超 簡 單,不 用 猜 字 或 找 翻 譯!

雖 然 是《 試用版本 》但 是 功 能 超 強。
建 議 你 先 移 除《 電 腦 裡 的 防 毒 軟 體 》再 來 安 裝 新 的 防 毒 軟 體。

使 用 e 級 防 毒 軟 體 進 行﹝掃 毒﹞與﹝清 毒﹞之 前,

請 先 做 好 下 列 事 前 工 作。

首 先 開 啟 首 頁

→ 點 選﹝工 具﹞

→ 點 選﹝網 際 網 路 選 項﹞

→ 點 選﹝刪 除 COOKIE﹞

→ 點 選﹝刪 除 檔 案﹞並 勾 選 刪 除 離 線 內 容

→ 點 選﹝清 除 紀 錄﹞

按 一 下﹝確 定﹞

→ 開 始 掃 毒


◆ e 級 防 毒 軟 體 標 準 版

◆ 下 載︰ http://toget.pchome.com.tw/intro/utility_antivirus/utility_antivirus_program/25300_dl.html

◆ 軟 體 分 類:病 毒 防 護
軟 體 性 質:Trial
最 近 版 本:8.x
作 業 系 統:Windows XP/2000/Me/98/NT
語 言 界 面:繁 體 中 文
試 用 限 制:30 天
原 創 公 司:大 手 有 限 公 司 http://www.escan.com.tw/

◆ 美 商 Micro World 專 精 於 防 毒 和 內 容 安 全,
致 力 於 提 供 更 簡 單、更 安 全 的 防 毒 與 清 毒 軟 體。

◆ e 級 防 毒 使 用 更 少 的 系 統 資 源,
有 效 地 減 少 使 用 防 毒 軟 體 而 使 系 統 變 慢 的 問 題。

◆ e 級 防 毒 提 供 了 避 免 病 毒、特 洛 依 木 馬、
蠕 蟲 和 潛 伏 在 網 際 網 路 中 的 其 它 威 脅 的 最 佳 保 護 與 病 毒 的 清 除。

◆ e 級 防 毒 象 徵 著 從 新 觀 點 管 理 威 脅 的 防 毒 軟 體 產 品 新 世 代。
它 建 立 在 Micro World Winsock Layer (MWL) 技 術 之 上。

◆ MWL 在 您 的 系 統 周 圍 構 築 了 一 個 保 護 幕
並 且 從 你 啟 動 了 電 腦 直 到 關 機 都 一 直 守 護 著 你 的 電 腦。


◆ PS: 下 載 完 後 e 級 防 毒 會 要 求 更 新 病 毒 檔 定 義

所 以 時 間 上 會 安 裝 的 比 較 久 一 點

大 約 需 要 3 到 5 分 鐘 左 右
參考: PC Home 下 載
2009-03-03 8:00 am


收錄日期: 2021-04-26 18:20:01
原文連結 [永久失效]:
https://hk.answers.yahoo.com/question/index?qid=20090302000016KK12158

檢視 Wayback Machine 備份