主題: 唉唉!!!wincab.sys中毒
查看單個文章
舊 2007-09-10, 12:20 AM   #9 (permalink)
getter
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765391 金幣
預設
引用:
作者: 猜謎人 查看文章
真的嗎?我是從光碟上複製回去
你朋友是如何複製回去的?
我版本沒錯耶
那個我只是大概聽他表述 ... 詳情不懂

想起來了 ... 別台電腦

我電腦裡的是 NTDETECT.COM 46.4 KB (47,564 位元組)

有關,我以我手上的 ntdelect 病毒樣本

它會在登錄檔的 [HKEY_CURRENT_USER\Software\Microsoft\Windows] 中的三處留下紀錄
1.在 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 中
留下機碼 {e03cdb20-5ed2-11dc-b770-00c1260a8394} 可能是孳生源。
2.在 [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] 中
留下字串值 "X:\\ntdelect.com"="kava" 之類,表示病毒感染的進入點。
3.在 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 中
留下字串值 "kava"="C:\\Windows\System32\kavo.exe" 可能是開機宰入的其中一種的點

然後它的 autorun.inf 內容如下:

[AutoRun]
open=ntdelect.com
;shell\open=Open(&O)
shell\open\Command=ntdelect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=ntdelect.com

這是我第一次看到如此複雜的


重新寫一個批次檔可以粗略的刪除登錄檔中的 ntdelect 病毒紀錄,如下

語法:
@echo off
cls
echo "kavo & ntdelect" 病毒移除器
echo ----------------------------
echo.
pause
echo.
echo.

echo 產生清除 "kavo & ntdelect" 病毒所寫入登錄的機碼
echo -----------------------------------------------
echo.
echo. 

echo Windows Registry Editor Version 5.00 >>del_kavo.reg
echo. >>del_kavo.reg
echo [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ] >>del_kavo.reg
echo. >>del_kavo.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] >>del_kavo.reg
echo "CheckedValue"=dword:00000001 >>del_kavo.reg
echo. >>del_kavo.reg


echo 執行清除 "kavo & ntdelect" 病毒所寫入登錄的機碼
echo -----------------------------------------------
echo.
echo. 

regedit /s del_kavo.reg
del /f /q  del_kavo.reg
reg.exe delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul

echo 移除潛藏於系統,可能的病毒檔
echo ----------------------------

del /f /q /a:- %windir%\Prefetch\ntdelect.co*
del /f /q /a:- %windir%\system32\fly32.dll
del /f /q /a:- %windir%\system32\poor32.dll
del /f /q /a:- %windir%\system32\kavo*.*
del /f /q /a:- %windir%\system32\kav0*.*
del /f /q /a:- %windir%\system32\kav1*.*
del /f /q /a:- %windir%\system32\wincab.sys

echo.
echo. 
echo 移除潛藏於各磁碟代號中的病毒引導啟動檔 "autorun.inf" 及病毒檔
echo -------------------------------------------------------------

for %%V in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO del /f /q /a:- %%V:\autorun.inf
for %%V in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO del /f /q /a:- %%V:\ntdelect.com

echo.
echo.
echo 作業完成
echo.
echo.

pause
加上 chang5632 大大說貼除來的那個批次檔,可以修復 檔案總管的隱藏檔的檢視功能 ...

註:已將修復 檔案總管 的隱藏檔的檢視功能加入至我編寫的批次檔中。
此帖於 2007-09-15 03:19 AM 被 getter 編輯. 原因: 批次檔補充
__________________
在「專業主討論區」中的問題解決後,要記得按一下 http://forum.slime.com.tw/images/stamps/is_solved.gif 按鈕喔,
這是一種禮貌動作。

一樣是在「專業主討論區」中發問,不管問題解決與否,都要回應別人的回答文喔。
不然搞 [斷頭文],只看不回應,下次被別人列入黑名單就不要怪人喔。

天線寶寶說再見啦~ ... 天線寶寶說再見啦~

迪西:「再見~ 再見~」

Otaku Culture Party 關心您 ...
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次
回覆時引用此帖