葦原醜男的小說部落格

筆者碎碎念:

這篇感謝  

新竹市立竹蓮國小 資訊組長  李老師

以及

新竹市立載熙國小 資訊組長 黃老師

沒有你們的的協助  這篇文是無法誕生的，另一方面，最近趁著晚上考試後的空檔，把這些頗花時間的東西整理成記錄檔，需要的人可以參照處理，也未嘗不是件好事。

**********

很多人大概最近會被[autorun.inf]帶來的病毒所困擾....花了我快要一個月的時間....我大概把過程整理出來之後
終於可以輕鬆一點了

請將[手術刀]WINDOWS PE(光碟開機版的WINXP作業系統)準備妥當....讓我們把這支該死的東西切割並且趕出去!!

取得手術刀的位置:

http://oem.microsoft.com/downloads/worldwide/OPK_XPSP2/xpsp2_2180_cht_x86fre_opk.zip

另外一種手術刀，BOOK維的清掃工具：（不過還是有超過八成的病毒會回檔，所以請參照下列方式開刀，以策安全）
http://game76420.myweb.hinet.net/kavo_killer.exe

**********
#特別註明:

除非您熟悉整個WINDOWS系統以及你有預先進行系統備份..否則一旦開始[軟體手術]後發生任何意外導致系統毀損或者是系統完全消失....本文件一概不需負起且無相關責任..特此聲明!!

手術過程:

請先以下列方式檢查你的PC是否中毒：

一、WINXP（不管哪一版都是用）可以在「開始」，「執行」處按下msconfig命令，呼叫出開機流程的畫面（如附圖）如果你發現你的「啟動」有kavo或taso   或者是你不熟悉的執行檔（例如：ek.com或copytttt.exe等檔案）不要懷疑！你中毒了。



二、如果你是windows2000的作業系統，請嘗試打開隱藏檔，如果隱藏檔「不賞臉」，請準備執行下列「外科手術動作」進行砍毒的動作。

外科手術執行過程：

一.請點下[開始]->[執行]鍵入regedit後進入下列畫面



找出病毒的執行檔，通常在剛剛前面以msconfig看見的檔案，就可以動手以搜尋/刪除機碼的方式手動清除，特別是變種品版本（windows2000的系統不適用，請利用book維所寫的工具掃除後再參照本文進行）。


接下來請選擇下列機碼(如圖)並且進行修改

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
{XXXXXXXX-XXXXXXXXXXX}\shell

注意:
這邊開始要注意一點，除了機碼為「autoplay」，而且後面跟著的不是[command]指令以外，其他的請以「None」指令取代，如圖。



以下圖示請「注意參照」！！到時開不了機，不要在那邊哭喔～特此聲明！！

手術刀的落點位：（適用於無法以「我的電腦」開磁碟機的情況）



殺完之後，你可以選擇利用BOOK維的工具或WINPE砍檔。

WINPE砍檔的區域：c:\windows\system32\
檔案：kavo.exe kavo.dll（包括變形的檔案名稱，以隱藏檔方式藏匿）

還有:C:\Documents and Settings\ (帳號）\Local Settings\Temp\下面的檔案，請全部刪除。
不管是taso.exe,dll等檔案，殺完後，請再利用防毒系統好好的掃蕩一遍。

＃附註：變種品EK.com以及COPYTTTT.exe都會出現在c:底下，以隱藏檔方式出現，刪除檔案後，請「務必」把上述流程跑完，手術刀切割的乾淨一點，自然不會再復發。