電癮院

以初學者的角度,來看待電腦教學這回事。

隨身碟病毒與無法顯示所有的檔案

隨身碟病毒與無法顯示隱藏檔?

現在隨身碟病毒氾濫的程度真的是令人難以想像,幾乎是人人有獎,相當的可怕,當你的隨身碟發生打不開、或無法開啟時,也許就是中了隨身碟病毒了。

這個隨身碟病毒主要有三個檔案,分別為kavo.exeautorun.infntdelect.com,利用登錄檔上的kava鍵值 (kavo.exe) 及autorun.inf來達成生生不息寄生在每個人的硬碟之中,它將自己的檔案屬性設定成隱藏屬性及系統屬性,並將「顯示所有檔案和資料夾」的功能給鎖住,讓你怎麼改資料夾選項的設定也改不了,你就是永遠都沒辦法在視窗的狀況下看到這些「隱藏檔」,讓你殺也殺不了,而且就算是清掉之後又很容易又再度感染。

但這些無法顯示的隱藏檔在「命令提示字元」之下卻是無所遁形的,只要打指令「dir/a」就可以看到所有的檔案清單包括隱藏檔,可見能學會一點簡單的Dos指令是有多重要的一件事。

這篇文章接下來將教大家使用
「方式一、整合怪貓批次檔的移除法(Delkavo)」、
「方式二、手動移除「隨身碟病毒」的流程」

等三種方式,來移除kavo的木馬程式。

2014年補充內容:

由於現在的防毒軟體,已經都能偵測附著在隨身碟中Autorun.inf這類會自動執行的木馬程式,正所謂上有政策、下有對策,因此現在的隨身碟病毒也都已經「進化」了,相關的介紹可以參考「新的隨身碟病毒感染方式,請勿點擊變成「捷徑」的檔案或資料夾!!」這篇文章。

方式一:整合怪貓批次檔的移除法(Delkavo)

一、關閉系統還原:
Step 1. 開啟【開始功能表】->【控制台】->【系統】。
Step 2. 等待「系統內容」對話盒跳出來後,點擊〔系統還原〕活頁標籤,勾選「關閉所有磁碟上的系統還原」,並點擊下方的〔確定〕,最後再按下〔是〕即完成關閉系統還原的動作。

二、清除IE(Internet Explorer)的暫存檔案:
Step 1. 開啟【開始功能表】->【控制台】->【網際網路選項】。
Step 2. 點擊「Temporary Internet files」方框的〔刪除檔案〕。
Step 3. 在跳出的「刪除檔案」對話盒上勾選「刪除所有離線內容」,最後點擊〔確定〕。

三、清除系統的暫存檔案:
Step 1. 開啟【開始功能表】->【所有程式】->【附屬應用程式】->【系統工具】->【清理磁碟】。
Step 2. 在跳出的「選擇磁碟機」對話盒中,選擇「C:」,接著點擊〔確定〕。
Step 3. 出現「(C:)磁碟清理」的對話盒後,將「要刪除檔案」裡的所有項目”全部勾選”,最後按下〔確定〕。
Step 4. 接下來會跳出「您確定要執行這些動作嗎?」對話盒,請點選〔是〕。
Step 5. 請重覆Step 2->4的動作,將電腦中每一部「磁碟機」都做過一次。

四、執行怪貓的解毒批次檔(bat file) -「DELKAVO批次檔」
Step 1. 下載「DELKAVO批次檔」,將delkavo.bat批次檔解壓縮出來。
Step 2. 將電腦重新啟動後,開進「安全模式」 (於進入安全模式請參考「電腦中毒了要怎麼辦?處理流程教學總整理」)。
Step 3. 最後再執行「delkavo.bat」檔即可。

這個批次檔是怪貓所寫的,你壓縮檔案之後檔名為「delkavo.bat」,直按雙點這個批次檔即可,雙點之後,如果出現下面這個「Windows-沒有磁片」的視窗時,請你一直的按「取消」來關掉這個警告視窗,這個取消按鈕,也許需要按個幾次。

上面的訊息為:「刪除完成,kavo的病毒已成功解除,各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的!要接上外接磁碟時請先開啟【檔案總管】再將裝置接上一定要按住【SHIFT鍵】以防止再次中毒。再從【檔案總管】的左邊點選該裝置後,再建立一個【autorun.inf】的資料夾,才安全。解毒完成,請將此畫面【關閉】後就可正常使用了,怕的話請將病毒碼更新後再做一次全系統的病毒掃描。」

老貓很細心的為每個資料夾加上「autorun.inf、kavo.exe、kavo0.dll、kavo1.dll、avp.exe」的資料夾,以免止autorun.inf檔案會再度被執行到,這些資料夾請使用者不要去刪掉它們。這個部份神雕蝦也曾經提過「最簡單的隨身碟病毒防制方法」。

資料來源:怪貓的部落格

方式二:手動移除「隨身碟病毒」的流程

也許你會覺得我已經按照我的流程都做過了,為什麼還是沒有用,的確,我這個方法的確不一定有用遇到比較麻煩的情況時,確實是沒有用。但是有一次,我曾經請一位沒有Dos經驗的人輸入這些命令,我發現他在輸入指令時,會和我教的有出入。

小心,輸入這些指令是不能打折扣的,多一個斜線,少一個斜線都是不行的,而且必需小心的打完整行的指令才可以打Enter鍵下達命令,要是輸入命令之後,出現「’ xxx’ 不是內部或外部命令、可執行的程式或批次檔。」時,就代表你指令已經打錯了,請你看清楚再打。

第一步:先開啟附屬應用程式裡的「命令提示字元」。如下圖:

第二步:先檢查一下我的電腦裡的每一個磁碟槽,如C與D槽,至於怎麼檢查,只要輸入指令:

dir c:\ /a/w

若是要檢查D槽的話,就輸入

dir d:\ /a/w

第三步:當發現到有「autorun.inf」與「ntdelect.com」時,在刪除它們之前,要先對它們兩位仁兄先消除「系統」、「隱藏」及「唯讀」等三種屬性。假設我們先要清除C磁碟上的檔案,所要輸入的指令如下:

attrib -s -h -r c:\autorun.inf

attrib -s -h -r c:\ntdelect.com

若是要清除D磁碟上的autorun.inf及ntdelect.com的屬性,就輸入

attrib -s -h -r d:\autorun.inf

attrib -s -h -r d:\ntdelect.com

第四步:當清完屬性之後,就可以刪除這些寄生在每個磁碟的兩位仁兄,分別要輸入的指令如下:(這裡最重要的就是別殺到檔名為NTDETECT.COM這個重要的開機系統檔,為什麼病毒的名字要取作ntdelect.com,就是為了要和NTDETECT.COM魚目混珠,只差了一個字母)

del c:\autorun.inf

del c:\ntdelect.com

若是要刪除D磁碟的檔案,指令如下:

del d:\autorun.inf

del d:\ntdelect.com

果然還是有人不小心殺到了(Gina<-),我把這個正版的「ntdetect.com」放在Hinet空間上,若是不小心殺到,請先不要重開機,若是重開機了,就要想辦法把這個檔放進C槽根目錄底下即可。
>>Windows XP Professional版的ntdetect.com<<

第五步:解決完「autorun.inf」及「ntdelect.com」之後,接下來就輪到「kavo.exe」了,要解決kavo.exe有兩個動作要做,第一個:刪除位於C:\windows\system32裡的kavo.exe;第二個再接著清除位於登錄表上的kava鍵值。接下來我們先從第一個刪除kavo.exe做起,一樣我們還是在「命令提示字元」裡完成這個動作,第一步要執行的指令和之前的一樣,都是要先解決kavo.exe的防護罩,也就是附在它身上的那三個屬性,請你執行指令:

attrib -s -h -r c:\windows\system32\kavo.exe

接著再輸入指令來刪除它,指令如下:

del c:\windows\system32\kavo.exe

接下來要做第二個動作,清除登錄表上的鍵值,關於如何清除登錄表上的鍵值,教學請參考「電腦中毒怎麼辦?手動解毒移除教學」。你要做的就是要清掉
「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」及
「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」裡,
名稱為「kava」,內容為「c:\WINDOWS\system32\kavo.exe」的鍵值。

第六步:就是要解決無法顯示所有檔案的問題,這個問題我們要還原登錄表上的一些數值,你可以複製以下的內容到記事本中,並將這個副檔名改成 .reg檔,然後雙點執行這個檔案來更新登錄表上的值;或是直接下載我幫大家製作好的檔案下來,檔案為 showall.reg,請在連結的上方按右鍵下載下來後,再直接雙點去執行它就可以了。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30500”
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105”

你可能對這些內容也有興趣:

Previous

如何使用Office 2000或Office 2003來讀取Office2007的檔案?

Next

如何使用及設定Windows Vista的「家長監護」功能。

110 Comments

  1. changyang319

    這我不清楚,要看AVG是跟你說中了什麼樣的毒。

    如果AVG有提醒你,也都會跟你說明處理的情況,看是病毒已經刪除了,或是病毒無法刪除,所以這都要看防毒軟體是怎麼跟你說的。

  2. 訪客

    請問一下,我覺得我的電腦中毒了,插入隨身碟後,AVG突然跑出有毒資訊,可我怎麼都無法刪除,然後就無法開啟隨身碟檔案,後來我用命令字元查有沒有你上述所說的病毒,結果甚麼都沒查到,而且電腦似乎一切正常,想請問我電腦到底是由沒有中毒?謝謝

  3. changyang319

    我曾經有寫過這篇文章,可能跟您的狀況類似。
    https://mrtang.tw/blog/post/40179250

    主要還是要看你隨身碟上的資料,還有沒有存在,如果真的被病毒刪掉了,那就只能嘗試用救援的方式,儘量救回資料了。
    https://mrtang.tw/blog/post/41241514

  4. changyang319

    沒有辦法,被惡靈古堡裡的殭屍咬到,還有機會再變回人類嗎?

    應該很難吧…

  5. changyang319

    所以你現在看的到檔案嗎?我這樣好像幫不上您的忙。

  6. 悠遊

    請問如果已經執行了,可不可以有其他不要重灌電腦的方法?
    需要救裡面的資料Orz ,沒有備份到

  7. #62訪客

    你好~~病毒是特洛伊木馬 Trj/Pupack.A
    它是被隔離了!!
    有沒有什麼方法只刪掉病毒而不刪除檔案??

  8. 訪客~~

    您好!!!我下載的是Panda的防毒軟體,我把之前放在SD卡裡的資料放回電腦後,打開SD卡,點選我要的資料夾後,他就被自動刪掉了,顯示說是什麼木馬程式的!!!怎麼辦!!!!!裡面的檔案很重要!!!!!

  9. changyang319

    這是因為我的Hinet空間已經被取消了,而我剛才找了一下,這個檔案我也沒有備份,再加上怪貓的部落格,因為是在Yahoo的空間,所以也找不到它的部落格,所以就沒辦法下載了…

  10. 小瑜

    您好,在&quot;下載DELKAVO批次檔&quot;中按下去時,它出現&quot;網頁沒有瀏覽權限&quot;這樣的文字,而無法下載,應該怎麼辦呢?

  11. changyang319

    我個人是還沒有碰過隨身碟病毒會造成這樣的狀況,只有碰過所有的檔案全毀(連一半都看不到),另外就是預覽圖只能看一半的情況( https://mrtang.tw/blog/post/40461451 )。

    至於拔隨身碟不當會造成什麼的損壞,也是無法預測的,就是每次都要「安全的移除隨身裝置」就對了。

  12. 訪客

    我存在隨身碟裡的圖片檔突然毀損,檔案還存在,但不是打不開就是圖片只看的到一半,只剩一部份正常,請問這個現象也是隨身碟中毒嗎?可是用小紅傘掃都正常,還是只是我拔隨身碟的方法不當,導致毀損?

  13. changyang319

    首先,要確定防毒軟體只是把它給隔離,有些不是會直接清除嗎?

    如果只是隔離,就到防毒軟體的隔離區,去把它給放出來就好,至於這個功能在哪,當然看每家的防毒軟體,就仔細去找一下吧。

  14. Shu Hua Chang

    不好意思,我想問一下,因為我的防毒軟體把我的檔案變成gzquar檔案還進行隔離,因為裡面資料很重要,我想請問一下要怎麼把資料救回來,因為網路上的是可以救,但是要自行負擔病毒風險QQ

  15. changyang319

    如果這是個檔案,就刪除這個檔案吧。

  16. 我的是F 打dir F:\ /a/w 只有出現autorun.inf又該怎處理??????

  17. changyang319

    要解毒,可能沒那麼簡單,最好還是找個專業一點的人來幫你吧。

  18. changyang319

    會不會被設成隱藏檔案,但你另一台電腦是設定不顯示隱藏檔案?

  19. pixcherry21739

    請問一下,我已經不小心點了同學的隨身碟資料夾變為exe 檔的毒了( 已中毒 ),有什麼方法可以在windows 上解毒的嗎?

  20. NINI

    想問一下,我已在我的筆電清除完病毒,並且檔案也成功救回,可以顯示檔案,為何換另一台電腦後,檔案資料會完全無法顯示出來,但透過搜尋該USB卻仍能夠搜尋到裡頭的檔案?

  21. changyang319

    都有,隨身碟病毒類型的病毒,傳染時一定是雙向的,也就是說電腦沒有中毒時,插上中毒的隨身碟,電腦就有可能會被感染到;若電腦本身已中毒,而插上隨身碟時,這個隨身碟就有可能會中毒,而繼續去加害其他人的電腦。

    所以重買隨身碟是沒有用的,實際上也不需要重買,只要找一台乾淨的電腦,重新格式化就可以了。

    因此,重點一定要根治已中毒的電腦和隨身碟,才不會一直進入中毒的無限迴圈。

    底下這篇,是目前比較常見的隨身碟木馬程式類型,本篇這種類型的木馬程式,已經退流行,因為目前的防毒軟體,都能在中毒前,就將病毒刪除(希望如此…)。
    https://mrtang.tw/blog/post/40179250

  22. 黃雅倫

    請問這種病毒是由隨身碟傳到電腦,導致電腦中毒,還是中毒的是隨身碟?如果重買一個隨身碟會有效嗎?
    倘若我已經中毒,使用別的隨身碟會將毒傳過去嗎?謝謝你

  23. changyang319

    使用命令提示字元時,有用指令「dir/a」來看一下是否有隱藏檔案了嗎?

  24. Tanne

    你好,我將隨身碟接上電腦時,防毒軟體顯示它中毒了 然後裡面的資料目前也都不見了 我以命令提示字元檢視我的隨身碟,並沒有發現上述可疑的病毒,請問有什麼地方出錯了嗎 先謝謝你的回覆了!

  25. changyang319

    不曉得您有看過我這篇文章嗎?
    https://mrtang.tw/blog/post/3692349

    可以試看看是不是NTFS安全性的問題。

  26. DIDI

    大大你好 我的隨身硬碟有一半空間的檔案無法打開,當我點取資料夾想打開,它都會跳出小視窗無法存取:存取被拒
    也無法顯示空間容量 用掃毒軟體可以掃到檔案(但不知被移去哪裡)
    試過很多防毒軟體 都解決不了 小弟不想格式化 有很多小朋友照片就不回來

  27. changyang319

    這個我不確定,你可以使用「regedit」,找看看Windows 8有沒有這個登錄值:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

    找到 CheckedValue ,並將它設成「1」。

  28. 緋夜

    你好,請問關於第六步,適用於WIN8筆電嗎?

  29. changyang319

    當然是輸入〔Y〕鍵。

    但是,您這邊有個小小的疑問,就是為何您的隨身碟上,會有一個「autorun.inf資料夾」呢?
    通常會有這個資料夾,都是一些專門在解決隨身碟木馬程式的軟體,所產生出來的資料夾,目的是為了避免木馬程式在您的隨身碟上放置「autorun.inf」。

    如果您要試的話,可以請您輸入「dir g: /a」,然後再請您將這個畫面顯示了哪裡資料給我看,我再跟您說您的隨身碟有沒有可疑的地方。

  30. 紫薰

    不好意思,可否問一下

    C:\Users\123&gt;del g:\autorun.inf
    g:\autorun.inf\*,您確定要執行嗎 (Y/N)?

    接著我要如何輸入呢?感謝!

  31. changyang319

    我還真沒碰過這樣的狀況,也搞不太清楚這種狀況要怎麼解決。

  32. H

    關於這款Microsoft Security Essentials的事情..
    我前個禮拜立刻就去試了 毒雖然還沒完全掃完 但有個更嚴重的問題
    就是載了這個並更新之後 我的網頁就無法開啟除了FB的任何頁面 都會顯示無法使用
    於是我就拜託FB的朋友去查查有沒有類似資料 後來的結論是據說有更新到某一種防毒 結果會促成類似的結果 後來把這個軟體刪掉之後才又恢復正常…
    所以恐怕Microsoft Security Essentials大概是沒辦法用了

  33. changyang319

    要找出你電腦裡的病毒比較不容易,因此我會建議,你可以拿您的隨身碟來試,把隨身碟插進電腦,然後打開「我的電腦」,接著直接點擊打開「隨身碟圖示」,然後觀察裡面的檔案,有沒有變成執行檔,如果有的話,就代表是你的電腦有問題。同樣的方法,也拿到你會使用到的電腦來嘗試,當然,你隨身碟的檔案,不要放重要的資料,以免救不回來。

    而已經中毒的隨身碟,在還沒格式化之前,切記不要去執行到。

    另外,你如果要使用防毒軟體的話,如果您的Windows是原版的話,您可以下載微軟的免費防毒軟體「Microsoft Security Essentials」,若不是,則可以下載「AVG Free」,也是免費的。

    https://mrtang.tw/blog/post/25851069

  34. H

    承上題 我本身主要就是只有一支隨身碟 另外是存資料的兩顆隨身硬碟 隨身硬碟最近則沒怎麼在碰 只是在一些作業上會用到隨身碟在各處來往使用 而病毒究竟是從哪邊染上的 老實說 我也沒辦法特定 我現在在使用的電腦裡面也有不少檔案尚未整理 應該也會整理一下 然後放進隨身硬碟裡 我想請問我該怎麼找出病毒所植入的檔案呢 因為硬碟我也會繼續使用 假設我所存入的檔案也有病毒那麼似乎還是會再重蹈覆轍 我還能做些什麼呢? P.S. 順便想請問您所推薦的防毒軟體是哪個呢 我個人並沒有使用防毒軟體的習慣 因此也並不太熟悉…. 麻煩指點迷津 謝謝

  35. changyang319

    Kavo這個東西,是很久以前的木馬程式,現在我已經很少聽到有人中這個木馬了,原因就是現在的防毒軟體已經都能偵測到這個木馬了。

    我在好幾個月前,也曾經中過這種會讓隨身碟都變成執行檔的木馬程式,這應該算是目前最常見的木馬,那時是整個筆電還原之後,剛好在那時KMPlayer被植入木馬程式時,而安裝到有毒的KMPlayer,當時,所有插進去我電腦的隨身碟,裡面的檔案都會被換成.exe檔,也就是檔名還是一樣,可是卻變成一個可執行檔,目的就是要騙您上勾。

    而中了這個毒之後,你要特別的注意,因為我們的電腦本身看不太出來已經中毒,因此無論您的隨身碟怎麼格式化,只要再插上您的電腦,並且從我的電腦中去打開這個磁碟時,就會再次中毒,因此,要根絕這個問題,首先格式化所有您的隨身碟,並且在格式化完之後,立即拔出電腦。若您要使用別人的電腦來格式化隨身碟時,插上隨身碟之後,進入我的電腦,就直接在該隨身碟上方,直接使用滑鼠右鍵,來格式化隨身碟,千萬不要再去點擊隨身碟來開啟。

    最後,就是重灌您的電腦,在重灌之後,儘快把防毒軟體裝上。

    然後再插回您的隨身碟時,最好可以用「命令提示字元」,切換到該隨身碟,再次檢查一下,裡面是否已經清空。

  36. H

    您好 我也有像這樣在隨身碟的資料夾全部變成.exe的檔案 並且原來的檔案也被隱藏的困擾 似乎只有影響到隨身碟 卻沒影響隨身硬碟 在約莫一兩周前 我花了點時間在網路上找方法想要根除這個問題 後來找到了 kavo killer 這個程式 我在將我的隨身碟格式化之後 啟動了這個程式後 畫面變只剩桌面圖案和啟動中的程式 雖不知這樣正不正常不過重新啟動時開機比平常花了更多時間 而確實似乎有起到了效果 我的隨身碟新增了資料夾後也沒有出現EXE了 但今天又突然開始出問題 並且上述的方式也沒有了效果
    第一個方式由於小弟學識淺薄 所以看不太懂 於是我改試第二個方法 C D 以及隨身碟的I 都嘗試過了 並沒有找到autorun.inf及ntdelect.com和kavo.exe這幾個檔案 反而是虛擬磁碟的H出現了autorun.inf這個檔案 請問這樣沒關係嗎
    隨身碟也格式化了好幾次 除了會出現原本資料夾的.exe檔案以外還會出現一些其他的比如.trash之類的.exe 請問這樣是否代表著我電腦的其他硬碟也有中毒 或者說有可能是因為學校的關係而中毒了呢 希望能幫幫我

  37. changyang319

    不客氣,也謝謝您的造訪。

  38. 小蟲

    您好, 非常感謝您的指導,真是造福人群, 而且讓我找回檔案 ~!!!

  39. changyang319

    通常有些檔案是系統檔案,所以看不到是正常的,可以透過在資料夾選項的「顯示隱藏的檔案、資料夾或磁碟機」打勾及「隱藏保護的作業系統檔案」不要打勾,這樣就可以看到那些原本看不到的檔案,但如果這些設定值已經設定,但又會自動再跑回來的話,那你的電腦就是中毒了。

  40. may

    我的記憶卡放入讀卡機,
    插入電腦中,
    但有些檔案看不到
    應如何??

  41. Jay

    我的隨身碟中了autorun.inf
    我輸入了attrib -s -h -r g:\autorun.inf
    但是沒有辦法把它刪掉,是不是哪裡輸入錯誤了??

    還有就是命令提示字元能不能切換磁碟槽,像我要怎麼從C:\改成D:\
    ??

  42. Tiger Yo

    您好,
    對於您的文章我覺得有幫助,
    首先我是我的手機出現資料夾變成exe檔案,
    然後對某個資料夾按兩下之後,就全部的資料夾都消失了。
    後來知道了是中毒,我就用防毒軟體掃了一次,但沒有發現任何中毒程式。
    之後我也用了您說的方法,但還是沒有發現任何一個kavo.exe、autorun.inf及ntdelect.com
    不過我有用attrib這個方法找回我遺失的資料夾,但還是有my documents和usb 2.0 driver沒有救回來
    請問這樣是怎麼回事?
    這樣是不是雖然找回來了,但還是沒有根除病毒?

  43. 雞蛋糕

    大大 我無法顯示副檔名耶…但是隱藏檔那些都可以顯示

  44. changyang319

    其實這類隨身碟病毒,我覺得目前的防毒軟體都有辦法解決了,只要用防毒軟體掃一下,都可以掃描的出來。

  45. 路人K

    您好:
    我再隨身碟的&quot;autorun.inf&quot;, &quot;recycle&quot; &quot;recycled&quot; &quot;recycler&quot; &quot;setup&quot; 以手動方式移除usb的自動執行功能(這篇文章教的:http://domynews.blog.ithome.com.tw/post/1252/39128),但現在我很想掃毒,可是想請問:
    (1)請問我可以還去哪下載您的DELKAVO批次檔呢?因為您提供的下載點我無法下載… 🙁
    (2)當我下載了DELKAVO批次檔,並執行您所教的程序以後,碰到我usb的autorun.inf,我該怎麼處理呢?
    感謝感謝!!!^^

  46. 隨身碟

    謝謝分享

  47. 隨身碟

    真是太實用了
    圖文並茂 感到您的用心

  48. changyang319

    因為你是SD卡的資料不見,所以建議你可以看這篇「https://mrtang.tw/blog/post/29594084」,來嘗試看看,有沒有辦法救的了資料回來。

  49. Lee

    你好
    我的SD卡中毒 相片的資料夾不見了
    我按照版主的方式檢查了一遍
    不過都沒有看到「autorun.inf」、「ntdelect.com」、「kavo.exe」
    都沒有看到這類病毒的話要如何操作呢?

    謝謝您!!

  50. changyang319

    在「附屬應用程式」裡,文中有提到。

  51. SHAN

    第二個手動的那個圖阿
    那個要怎麼用ㄚ 命令提示字元
    我的都是顯示
    C:\Document and Settings\computer&gt;

  52. changyang319

    我不曉得該怎麼詳細的跟你說,總之,用防毒軟體掃掃毒吧。

  53. 阿滿

    筆電用隨身碟後,沒連網路線,結果桌面跑出好幾個網頁連結捷徑,並且都是同一個.游標移到上面,會顯示出htt://888.992233.com/
    這要如何處理,感謝您

  54. ZIA

    真是太感謝了ㄒ_ㄒ
    我的SD卡中毒 相片都找不到~ 趕緊上網來尋求幫助….

  55. 冏人

    現在有了,我把問題PO上去了,您應該可以去看看了。

  56. changyang319

    隨身碟有時真的會發生這種現象,但這種現象並不常見。建議你可以把整個MP4給格式化掉,再觀察看看還會不會有同樣的情況,如果還會有的話,可以問一下廠商,是不是產品有問題。
    另外你那個Blog,我怎麼沒有看到有任何的文章?

  57. 冏人

    我的4G→MP4檔案無緣無故消失不見,而且留下我放檔案的資料夾,我用「命令提示字元」的資料如下(部分):從&quot;【&quot;到&quot;】&quot;

    F:\ 的目錄

    [XYZ] [ZYX]

    就「XYZ」、「ZYX」兩個資料夾,我把「唯讀」勾掉按確定後刪除,結果兩個字→無效。他說:「無法刪除XYZ(ZYX)資料夾目錄不是空的」,到http://www.wretch.cc/video/zzxc85510看。因為這樣我解釋不清楚,您也會誤會我的意思。就到這裡去看看吧!

  58. 你好呀 我已經試了你的方法
    發現 我電腦內 沒有kavo 這個病毒
    但我的檔案還是沒法看見
    登錄檔我都試了 也是開不了 奇怪的是 我用盡方法都找不到 kavo 的病毒
    或是ntdelect.com
    你說NTDE[L]ECT.COM才是病毒NTDE[T]ECT.COM的是正常的

    但我按了 dir c:\ /a/w 看見 沒有你所說的問題檔案 請問我可以怎樣做呢?

  59. changyang319

    autorun.inf這個東西一定要在最外層的根目錄下才有意義,若是放在其它的子目錄下,就沒有辦法去自動執行Kavo.exe這個程式(應該是這樣),除非你直接去雙點kavo.exe程式。
    你可以加「參數s」,例如:
    c:\del kavo.exe /s
    c:\del autorun.inf /s
    c:\del ntdelect.com /s
    註:c:\為命令提示字元。

  60. Noname

    請問隨身碟裡的三個檔案kavo.exe、autorun.inf及ntdelect.com有可能隱藏在很多層下的子資料夾而不是最外層嗎??
    若是在子資料夾
    是不是只能用命令提示字元一個個資料夾查詢後再刪除??
    謝謝

  61. fish

    我用ㄌ妳ㄉ方法~但還是沒辦法把隨身碟的毒殺掉~怎麼辦~

  62. changyang319

    這種亂數命名的檔名,在網路上不太可能可以找到解決的辦法,但解決的辦法仍然是有的,就是好好看看我部落格中的解毒方法。當然解毒以一個不太懂電腦的人來說,還是有點困難,但你不試著開始學習,你總是只能送電腦公司解決。
    而我在網路上是無法憑著支字片語就可以幫大家做詳細的解毒說明的,真正要靠的還是自己。

  63. Conan

    怪貓大大您好:
    我的電腦中了x1o8uo.exe與s6.bat這兩隻病毒,用您上述的方法(Dos)能無法解毒咩。
    x1o8uo.exe與s6.bat
    是較新的病毒,網路上較少它們的資料咩。
    懇請您一起來解毒咩!

  64. changyang319

    如果你已執行過showall.reg,結果還是看不到隱藏檔的話,那就代表你電腦中毒的蠻嚴重的,因為每次你修正登錄檔後,常駐在系統中的病毒又把你修正的登錄檔又改回來。
    建議你要先將病毒解一解後,再開始做上面教的這些動作。

  65. Conan

    怪貓大大您好:
    我按照您的第六步進行,但電腦還是無法顯示所有隱藏檔案呦!^0^

  66. Kayan

    我用了方法2 del了c:\的autorun,但是到del別的盤時..卻刪除不了…重複做了del g:\autorun.inf約一百次都刪除不了?而且每次我插入外置hardisk時..我的防毒軟件都說我中了autorun毒..我應該怎麼辦??thanks

  67. changyang319

    如果記憶卡中的資料夾是「隱藏」的,而你已經開啟了顯示所有檔案及系統檔了,但還是看到到這些隱藏的資料夾時,這就代表你電腦中毒了。

  68. 33

    請教 我的記憶卡部分資料夾無法顯示 應該是中毒 請問使用方式一即可嗎 不太懂
    謝謝

  69. 幸村月

    感謝您詳細的講解 解決了我的問題 要不然每次遇到這個 就都只能把硬碟格示化而已= =

  70. 小鬼

    阿 .. sorry 我沒看清楚
    可以麻煩把我留言刪掉吧 ..

  71. 小鬼

    不好意思
    上面那個刪除ntdelect.com 會讓人搞混的步驟..
    能不能先向前註明清楚
    為了使用者著想 以防刪錯 = =

  72. jing

    收回以上的話。。。paise。。。

    changyang 我用adware 找到兩個virus
    Infections Found

    Family Id:1131 Name:Win32.AdWare.Cinmus Category:Adware TAI:5
    [300027144] Root: HKCR Path: clsid\{385ab8c6-fb22-4d17-8834-064e2ba0a6f0}
    [300027147] Root: HKLM Path: software\microsoft\windows\currentversion\explorer\browser helper objects\{385ab8c6-fb22-4d17-8834-064e2ba0a6f0}

    現在該怎么辦? 無法刪除了。。。
    然後請您儘快幫我想想辦法。。。
    我不想用 format 的方法解決。。。
    restore 無法使用 &gt;.&lt;

    特性:Win32.Adware.Cinmus is a chinese
    adware program that,once installed,
    make coneections to chinese ad site. lt
    installs and operates in stealth and makes internet connections without user consent.

  73. jing

    糟糕的是它們不是病毒。。。
    這個file 分別是a &amp; b
    a – 幾分鈡IE會自動啓動遊覽特定wedsite
    b – 導致開機速度慢 等問題。。。

  74. changyang319

    這些東西簡單的可以使用adware解決,嚴重的就要看我的解毒流程去試試。
    比較嚴重的還是重灌會比較快。

  75. changyang319

    我剛看過我的第五步沒有問題。
    清除登錄表上的鍵值是在「執行」裡輸入,不是在「命令提示字元」。

  76. jing

    我找到導致我的IE無端的開啓遊覽特定網頁的來源了!

    ———————————————–
    C:\WINDOWS\system32\shdoclc.dll/offcancl.htm
    *從網頁的file &gt; properties 找到的*
    ———————————————–

    不過我只在system32找到shdoclc.dll 與隔壁有個與它相同的檔案

    [URL=http://imageshack.us][IMG]http://img267.imageshack.us/img267/7013/dfdfxr4.png[/IMG][/URL]

    然後我用 deletedr ,unlorker 刪除
    結果檔案還存在…

    請您儘快回復

  77. jing

    我遇到一個大問題。。。
    不知爲何我的pc一開機與等候幾分鈡后,
    IE會無端的開啓 然後遊覽一個特定的網頁。。。

    有什麽辦法能封鎖/治療?
    **請快速回復**

  78. jing

    還有在於第5步驟的[清除登錄表上的鍵值]
    是在於「命令提示字元」裏
    輸入regedit
    找尋

    「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run」及
    「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
    \CurrentVersion\Run」裡,
    名稱為「kava」,內容為「c:\WINDOWS\system32\kavo.exe」的鍵值

    然後點擊keyboard右邊的delete?
    *一直看不明。。。

  79. jing

    格式化 是什麽意識?

    每當我用URL把手機與電腦連接時,不只爲何電腦的floopy (A:) 會自動啓動

    你能給我你的email嗎? 我send圖給你看

  80. changyang319

    手機裡的這種檔案,你可以先將那個不能刪除之外的檔案,先複製到電腦裡來,然後將手機格式化掉。
    我不明白你所謂的貼身檔案是什麼種類的檔案?你知道那是什麼樣的軟體在用的嗎?

  81. jing

    如果我有些檔案無法刪除 有什麽好辦法解決?

    例如:電腦/手機裏有個貼身檔案 一直無法刪除

  82. changyang319

    一直以來我對Norton、Symantec的防毒軟體比較有好感,但我沒有很深入的去用其它的防毒軟體,所以也不太清楚其它防毒軟體的優缺點。
    但我認為「中不中毒?」最重要的還是在自己,只要自己上網的習慣良好,知道什麼可以按、什麼不可以按,什麼程式可以用、什麼程式不能用,要從錯誤中去學習避免中毒的知識。
    例如:下載外掛幾乎一定會中毒,如果你不信而去下載了,最後結果真的中毒了,下次就不要再去下載了。(但有些人還是照樣去下載外掛,我只能說這些人真是活該,再好的防毒軟體都是沒有用的)

  83. jing

    哦~原来如此~
    那你能告诉我哪个anti virus你使用过
    觉得是最好的?
    我家的 AVG FREE 觉得有点烂。。。
    *如果是免register code那更好 ^^

  84. changyang319

    有些防毒軟體在安裝時,會去偵測有沒有其它的防毒軟體存在,如果有的話,就會要求你要先行移除,當然有些防毒軟體好像不會特別要求。
    至於為什麼不能擁有兩個以上的AntiVirus,先不論兩個防毒相容性及打架的問題,我想最嚴重的就是電腦會變慢,一套防毒軟體安裝後多多少少都會犧牲一些效能,更何況是裝了兩套。

  85. jing

    restart后行了!
    我還有事想問
    爲何電腦不能擁有兩個anti virus 以上?

    *請問那裏可讓我發表問題?
    如果繼續在這裡發表…好像離題了…

  86. changyang319

    一般將autorun.inf從C磁碟移除,且重新開機後,就應該可以點開C磁碟了。

  87. jing

    謝謝你的幫忙!現在可以顯示了!
    對了,請問如果不能雙擊按C磁碟
    該怎麽辦?
    我雙擊按后,卻出現一個視窗關於
    用什麽程式去開啓
    只能用 右建 + open 。。。
    很麻煩。。。

  88. changyang319

    先謝謝Jing的造訪。
    在第一個步驟中若是只有看到autorun.inf,而沒有ntdelect.com時,就代表著ntdelect.com可能已經被防毒軟體給刪除了,所以是件好事。
    而到system32資料夾中,沒有發現到kavo這個檔案時,當然就可以不用做第五個步驟。
    而第六個步驟,是要解決「無法顯示所有檔案」的問題,你要使用滑鼠去點擊文章中的「showall.reg」這個連結下載後,再雙點執行它即可。
    以上的是屬於「方法二」,事實上你可以直接去下載「方法一」怪貓的批次檔來使用,不僅包括方法二中所有的操作,他的批次檔還會去新增kavo.exe…等等之類的資料夾來做「預防」的動作。

  89. jing

    哈咯~有事想請教你!
    我在於第一步驟時,發現 C 與 D 只有
    autorun.inf
    於是我去刪除了

    然後呢
    到第5步驟時,發覺system32 沒有kavo這個file

    就將不知該怎麽辦&gt;.&lt;

    *第5與6 看不明
    可否send email 給我
    幫我解決問題?

  90. 路人甲乙丙

    我想也是,但是我已經找不到任何kav*.*的檔案了

  91. changyang319

    1.隱藏檔出現後,本來就是會呈現半透明狀,這你不用擔心,這是為了要讓我們知道,它是個隱藏檔。
    2.「顯示所有檔案和資料夾」不是只能作單選嗎?是的。
    3. 這個我就不曉得會什麼會這樣了,也許是你kavo病毒還沒解乾淨吧!

  92. changyang319

    1.我覺得有可能是因為你電腦上的防毒軟體將ntdelect.com給清除了,所以才會只留下autorun.inf這個檔案。
    2.由於kavo的變種很多,有些情況會比較嚴重,taso這個確定是可以完全的清除的,只要你清除掉登錄值,還有也將電腦裡的蛝存檔案都清乾淨。但是這個kava這個就不一定了,有時候使用delkavo清除完後,重新開機後還是會再看到它,不過,由於kavo.exe已經被清除,所以這個kava登錄值自然會找不到kavo.exe檔案來執行,我覺得這樣倒是沒有什麼關係。

  93. 路人甲乙丙

    你好,我依照大大所教的方式二去作,雖然沒看到ntdelect.com,但我還是先把所有硬碟、隨身碟等裡面所找到的autorun.inf殺掉,然後執行大大作好的showall.reg,隱藏檔真的都出來了,真是太感謝您了。
    但是現在又有問題了,千呼萬喚始出來的隱藏檔的圖示依舊是半透明狀態,按右鍵看內容也是隱藏,資料夾選項/檢視裡的「不顯示隱藏的檔案和資料夾」和「
    顯示所有檔案和資料夾」不是只能作單選嗎?
    但是我執行完showall.reg以後,兩個○都被點選住,即使我按了不顯示,資料夾的選項還是改不了,請問這是什麼原因呢?

  94. 路人甲乙丙

    請問,我照你所說的方式二去檢查磁碟,只有看到autorun.inf這個檔,卻沒有看到ntdelect.com這個檔也。
    會不會跟我之前用PowerRmv這個軟體清除過有關呢?
    另外關於登錄表上的鍵值,我先前已經清除過kvao跟taso這兩個鍵值,清除後會再出現?

  95. changyang319

    是Windows Pro版的嗎?我現在寄一份ntdetect.com給你。

  96. Gina

    大大.. 我真的殺錯了…
    現在不敢關機了,請救我!!!
    拜託拜託!!

  97. changyang319

    f槽是硬碟還是光碟?如果是硬碟、隨身碟、記憶卡這類就要殺,而如果是光碟的話,當然就不用,反正也殺不了。這個autorun.inf並不是壞東西,它只不過被kavo給利用了,一般我們光碟片的自動執行程式都是要靠autorun.inf的。

  98. 路人(同上)

    對不起~
    我剛剛終於把上個問題弄懂了…
    可是,
    有一個新問題…
    如果打上dir f:\ /a/w
    出現了一個AutoRun.inf
    這個要刪除嗎?

  99. 路人

    你好,
    我是偶然路過這裡的路人,
    因為最近插上別人的隨身碟中毒了,
    所以按照您的方法來清除,
    可是…
    我讓所有檔案和資料夾及保護的作業系統全顯示,
    發現I碟裡有ntdelect.com
    可是按照您的第二步驟並沒有發現任何符合的相關檔案耶…
    請問該如何處理呢^^?

  100. changyang319

    我正在修改這篇文章中…
    建議你下載這個Kavo的自動執行批次檔來試試看。
    http://mrtangcomputer.myweb.hinet.net/delkavo.zip

    另外如果解了之後,還不能上網請參考:
    http://blog.pixnet.net/changyang319/post/3330314

  101. 小魚

    你好~我已經照你所說的方法去刪除病毒
    但是我還是無法打開隱藏資料夾和及時通
    請問我該怎麼辦呢!?

  102. changyang319

    沒錯 NTDETECT.EXE 是木馬程式,要把它處理掉。

  103. 力紗

    那個…我打錯了Orz
    正常的是NTDETECT.COM沒錯!!所以我要把那個NTDETECT.EXE的檔殺掉囉?
    再把我的隨身碟格式化? 謝謝~

  104. changyang319

    注意喔! 正常的是「NTDETECT.COM」,另一個隨身碟病毒是「NTDELECT.COM」,比較一下它們倆只差一個字母,別搞錯了,殺錯,下次就開不了機了喔!

  105. 力紗

    你好,我之前有在留言板問過怎樣解毒,我已經用安全模式把病毒檔案殺掉了!謝謝你的幫忙~^^
    那時你連結這一篇文章給我看,我發現我的C槽裡除了正常的ntdelect.com檔案外,居然還有NTDELECT.exe這個檔案,
    這個是什麼檔案啊?是表示我的隨身碟中毒了嗎?謝謝~

  106. willy

    很實用, 謝謝你的解毒方法.

  107. changyang319

    檔案總管可以打開沒錯,可是在檔案總管裡面可以看到被鎖住的隱藏檔嗎?

  108. 貓飼料

    用檔案總管真的可以打開…

  109. changyang319

    真的會有這樣的情況嗎?雖然我沒有試過直接用檔案總管去開啟隨身碟的資料,可以檔案總管和開啟資料夾的情況是一樣的東西,所以應該是不會有這樣的情況發生才對。

  110. homeni

    之前我有遇到中毒後資料看不見的問題,可是後來按右鍵以檔案總管的方式開啟隨身碟,就可以看見許多隱藏的資料耶…請問,檔案總管還是會看不到某些隱藏檔嗎?

發佈留言

Powered by WordPress & Theme by Anders Norén