求助 - 唉唉!!!wincab.sys中毒

[getter]

這一隻是新的隨身碟類型 ( autorun.inf 引導 ) 的病毒，
我也是用 AVAST，確定目前無法攔阻
中毒的症狀:
1.出現 wincab.sys 訊息。
2.無法將檔案總管的顯示隱藏檔功能開啟，病毒會將其改回去。
3.無法使用 WinPE 切入救援，當 WinPE 完成開機後，用檔案總管欲進入
中毒的磁碟時，出現異常的錯誤訊息。

解毒方式 1:
1.下載 winCV http://myweb.hinet.net/home1/cview/wincv05.exe
2.安裝 winCV ，使用 winCV 將所有磁碟中的 autorun.inf & ntdelect.com
刪除。注意 ntdelect.com 跟 C:\ 系統檔案 的 ntdetect.com 有一字之差。
3.使用 GOHST 還原先前的備分
4.需要在安全模式中刪檔

[chang5632]

說明：
1.此木馬為USB專門病毒（歸類木馬），舉凡隨身碟、硬碟、記憶卡等都會感染！！！
因為會載入autorun.ini以您身邊最近有插過USB的周邊得都要一一清除！！
只要感染的隨身碟，插到哪裡就感染到哪裡，很可怕！本人至少感染了四台電腦
含公司伺服器。

2.先弄清楚是如何感染的，是下載檔案還，是使用了感染的USB隨身碟？

3.
請千萬別小看此木馬程式，有很多的掃毒軟體是掃不出來的，其實他有相關的程式隱身在系統裡如下C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo.dll
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
C:\ntdelect.com（系統裡有個NTDTECT.COM千萬別刪除看清楚！！病毒是 l系統檔是T）
但您也別太高興！因為它把系統全部隱藏起來了
無論您麼改顯示統檔案，一跳出設定他又隱藏了起來了！
著就是此病毒的特色。

～以下為清病毒方法～

1.下載delautorun.rar 執行它（此軟體修改註冊機碼，關閉所有的autorun)
http://sylovanas.myweb.hinet.net/Ant...delautorun.rar
2.網路搜尋下載Hijackthis
使用Hijackthis選取下列項次修復 (數字項次左邊打勾後按Fix Checked）
04項看到kavo或kava就選取他按Fix checked
http://www.merijn.org/files/hijackthis_sfx.exe

3.然後一定要重新開機
開完機後要去修改註冊機碼（regedit)
在開始→執行中，輸入【regedit】，在
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL下找到Checkedvalue這個檔案
修改這個Checkedvalue的值
把0改為1
(記得動作要快）
4.打開我的電腦-工具-資料夾選項-檢視-顯示所檔案和資料夾（打勾）-隱藏保護的作業系統（不要打勾）
5.先刪除C:\ntdelect.com 還有系統所的磁區都要，如D.E.F....等
然後進入c:\wundows\system32\ 然後搜尋KAVO看看是否有
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo.dll
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
全殺掉。
至此系統應是乾淨的
6.把身邊的所有的USB儲存裝置，都拿來清除
注意看裡頭大概有兩個隱藏檔
autoexe.ini
ntdelect.com
改快把它殺了，千萬別執行它，因為就是此2檔自動執行而感染的，

～凡插過必留下病毒～
祝殺毒成功

[猜謎人]

引用:

作者: getter

這一隻是新的隨身碟類型 ( autorun.inf 引導 ) 的病毒，
我也是用 AVAST，確定目前無法攔阻
中毒的症狀:
1.出現 wincab.sys 訊息。
2.無法將檔案總管的顯示隱藏檔功能開啟，病毒會將其改回去。
3.無法使用 WinPE 切入救援，當 WinPE 完成開機後，用檔案總管欲進入
中毒的磁碟時，出現異常的錯誤訊息。

解毒方式 1:
1.下載 winCV http://myweb.hinet.net/home1/cview/wincv05.exe
2.安裝 winCV ，使用 winCV 將所有磁碟中的 autorun.inf & ntdelect.com
刪除。注意 ntdelect.com 跟 C:\ 系統檔案 的 ntdetect.com 有一字之差。
3.使用 GOHST 還原先前的備分
4.需要在安全模式中刪檔

我就是誤刪了NTDETECT.COM導致系統全毀！即使有相同的檔拷貝回去也沒有用！
AVAST無用不知哪個才檔的住

[getter]

引用:

作者: 猜謎人

我就是誤刪了ntdelect.com導致系統全毀！即使有相同的檔拷貝回去也沒有用！
AVAST無用不知哪個才檔的住

新病毒應該沒有，我有回寄給 AVAST 這一隻病毒然後阿
您應該刪除到 ntdetect.com 而不是 ntdelect.com

系統檔 ntdetect.com
病毒檔 ntdelect.com

中間不一樣，看大寫的檔名差更多

怕殺錯，我有寫一支簡單的 批次檔
---------------------------------------------------
@echo off
del /f /q /a:- %windir%\Prefetch\ntdelect.co*
del /f /q /a:- %windir%\system32\fly32.dll
del /f /q /a:- %windir%\system32\poor32.dll
del /f /q /a:- %windir%\system32\kavo*.*
del /f /q /a:- %windir%\system32\kav0*.*
del /f /q /a:- %windir%\system32\kav1*.*
del /f /q /a:- %windir%\system32\wincab.sys
for %%V in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO del /f /q /a:h %%V:\autorun.inf
for %%V in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO del /f /q /a:h %%V:\ntdelect.com
---------------------------------------------------

把虛線中的內容複製，貼到記事本中，存成副檔名是 .cmd 或 .bat 執行即可
只能在 安全模式 中使用不然殺了又生.

還要把執行 regedit，收尋跟 ntdelect.com 、kavo.exe 有關的機碼，並刪除
崇開機就差不多了，不過隱藏檔的開放那個就被鎖住了

還好我平時有用 GHOST ...


大家都在趕流行嘛 中標嘛 ...

[猜謎人]

為什麼NTDETECT.COM拷回去也沒用呢

[getter]

引用:

作者: 猜謎人

為什麼NTDETECT.COM拷回去也沒用呢

這就不清楚了

我的一個朋友，也發生跟您一樣誤刪的狀況
不過也跟您一樣複製回去，結果他好了 ...

我想會不會是 NTDETECT.COM 也有版本之分
如 SP1 或 SP2 或 HOME 或是 Pro... 等

[猜謎人]

引用:

作者: getter

這就不清楚了

我的一個朋友，也發生跟您一樣誤刪的狀況
不過也跟您一樣複製回去，結果他好了 ...

我想會不會是 NTDETECT.COM 也有版本之分
如 SP1 或 SP2 或 HOME 或是 Pro... 等

真的嗎？我是從光碟上複製回去
你朋友是如何複製回去的？
我版本沒錯耶

[getter]

引用:

作者: 猜謎人

真的嗎？我是從光碟上複製回去
你朋友是如何複製回去的？
我版本沒錯耶

那個我只是大概聽他表述 ... 詳情不懂

想起來了 ... 別台電腦

我電腦裡的是 NTDETECT.COM 46.4 KB (47,564 位元組)

有關，我以我手上的 ntdelect 病毒樣本

它會在登錄檔的 [HKEY_CURRENT_USER\Software\Microsoft\Windows] 中的三處留下紀錄
1.在 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 中
留下機碼 {e03cdb20-5ed2-11dc-b770-00c1260a8394} 可能是孳生源。
2.在 [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] 中
留下字串值 "X:\\ntdelect.com"="kava" 之類，表示病毒感染的進入點。
3.在 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 中
留下字串值 "kava"="C:\\Windows\System32\kavo.exe" 可能是開機宰入的其中一種的點

然後它的 autorun.inf 內容如下:

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com

這是我第一次看到如此複雜的


重新寫一個批次檔可以粗略的刪除登錄檔中的 ntdelect 病毒紀錄，如下

語法:

@echo off
cls
echo "kavo & ntdelect" 病毒移除器
echo ----------------------------
echo.
pause
echo.
echo.

echo 產生清除 "kavo & ntdelect" 病毒所寫入登錄的機碼
echo -----------------------------------------------
echo.
echo. 

echo Windows Registry Editor Version 5.00 >>del_kavo.reg
echo. >>del_kavo.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ] >>del_kavo.reg
echo. >>del_kavo.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] >>del_kavo.reg
echo "CheckedValue"=dword:00000001 >>del_kavo.reg
echo. >>del_kavo.reg


echo 執行清除 "kavo & ntdelect" 病毒所寫入登錄的機碼
echo -----------------------------------------------
echo.
echo. 

regedit /s del_kavo.reg
del /f /q  del_kavo.reg
reg.exe delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul

echo 移除潛藏於系統，可能的病毒檔
echo ----------------------------

del /f /q /a:- %windir%\Prefetch\ntdelect.co*
del /f /q /a:- %windir%\system32\fly32.dll
del /f /q /a:- %windir%\system32\poor32.dll
del /f /q /a:- %windir%\system32\kavo*.*
del /f /q /a:- %windir%\system32\kav0*.*
del /f /q /a:- %windir%\system32\kav1*.*
del /f /q /a:- %windir%\system32\wincab.sys

echo.
echo. 
echo 移除潛藏於各磁碟代號中的病毒引導啟動檔 "autorun.inf" 及病毒檔
echo -------------------------------------------------------------

for %%V in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO del /f /q /a:- %%V:\autorun.inf
for %%V in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO del /f /q /a:- %%V:\ntdelect.com

echo.
echo.
echo 作業完成
echo.
echo.

pause

加上 chang5632 大大說貼除來的那個批次檔，可以修復 檔案總管的隱藏檔的檢視功能 ...

註:已將修復 檔案總管 的隱藏檔的檢視功能加入至我編寫的批次檔中。