理性．感性．影像

近日KAVO.exe這個USB病毒在學校盛行，收集了網路上的解毒資訊，將下面的程式存成MS-DOS的批次檔，直接執行就可以解KAVO.EXE、Autorun.inf、Ntdelect.com。

檔案下載：cleanUSb.bat

使用方式：

※若您有使用USB隨身碟、讀卡機，請事前將以上設備，安裝在電腦，再執行以下步驟。

• 1.請將滑鼠游標對準附加檔案 「CleanUsb.bat」
• 2.按滑鼠「右鍵」，點選「另存目標」
• 3.更改檔案名稱：cleanUsb.bat，檔案類別改為「所有檔案」，儲存。
• 4.滑鼠連擊cleanUsb.bat兩下，執行Cleanusb.bat
• 5.完成執行後，即可解決Kavo.exe病毒及無法經由「我的電腦」開啟資料夾及檔案的問題。

－－程式碼－－－－(參考自：AutoRun.INF USB 病毒之解決方法- 陳平和的部落格家庭- Yahoo!奇摩部落格、木馬解法－Kavo.exe）

@echo off
cls
echo.
echo ==============================================
echo.
echo       刪除 AutoRun 與 NtDelect 檔案資料
echo.
echo         === 防治 USB 病毒再次產生 ===
echo.
echo ==============================================
echo.
echo.
pause
cls

echo.  
echo 自動修改REGister檔第1個步驟  
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kavo" /f >nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "C:\WINDOWS\system32\" /f >nul 2>nul
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul  
echo.  
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "DefaultValue" /t REG_DWORD /d 00000002 /f >nul 2>nul  
echo.  
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CHKeyRoot" /t REG_DWORD /d 80000001 /f >nul 2>nul  
echo.  
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "ValueName" /t REG_SZ /d Hidden /f >nul 2>nul  
echo.  
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "Text" /t REG_SZ /d "@shell32.dll,-30500" /f >nul 2>nul  
echo.  
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "Type" /t REG_SZ /d radio /f >nul 2>nul  
echo.  
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "RegPath" /t REG_SZ /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f >nul 2>nul  
echo.  
cls

echo.
echo == 解除 AutoRun 檔案屬性與刪除 AutoRun 檔案 ==
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
attrib -r -s -h +a /D /S %%a:\autorun.inf >nul 2>nul
del %%a:\autorun.inf >nul 2>nul
MD %%a:\autorun.inf >nul 2>nul
attrib +r +s +h +a /D /S %%a:\autorun.inf >nul 2>nul)
cls

 

echo.
echo == 解除 NtDelect 檔案屬性與刪除 NtDelect 檔案 ==
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
attrib -r -s -h +a /D /S %%a:\ntdelect.com >nul 2>nul
del %%a:\ntdelect.com >nul 2>nul
MD %%a:\ntdelect.com >nul 2>nul
attrib +r +s +h +a /D /S %%a:\ntdelect.com >nul 2>nul)
cls

echo.
echo == 解除 KAVO 檔案屬性與刪除 KAVO 檔案 ==
echo.
attrib -r -s -h "%windir%\system32\kav*.*" >nul 2>nul
del "%windir%\system32\kav*.*" >nul 2>nul
attrib -r -s -h "%windir%\fly32.*" >nul 2>nul
del "%windir%\fly32.*" >nul 2>nul
attrib -r -s -h "%windir%\system32\kavo0.*" >nul 2>nul
del "%windir%\system32\kav*.*" >nul 2>nul
MD "%windir%\system32\kavo.exe" >nul 2>nul
attrib +r +s +h "%windir%\system32\kavo.exe" >nul 2>nul
MD "%windir%\system32\kav0.dll" >nul 2>nul
attrib +r +s +h "%windir%\system32\kav0.dll" >nul 2>nul
MD "%windir%\system32\kav1.dll" >nul 2>nul
attrib +r +s +h "%windir%\system32\kav1.dll" >nul 2>nul
MD "%windir%\system32\kavo0.dll" >nul 2>nul
attrib +r +s +h "%windir%\system32\kavo0.dll" >nul 2>nul
cls

echo.
echo == 刪除資源回收筒內的執行檔 ==
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
for %%b in (EXE COM PIF BAT DLL SYS) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul
))
cls

echo.
echo == 刪除 TEMP 資料夾內的暫存檔案 ==
echo.
for %%a in (C) do (
for %%b in (EXE COM PIF BAT DLL SYS) do (
attrib -r -s -h -a /D /S %%a:"\Temp\*.%%b" >nul 2>nul
del %%a:"\Temp\*.%%b" /s /q /f >nul 2>nul
attrib -r -s -h -a /D /S "%windir%\Temp\*.%%b" >nul 2>nul
del "%windir%\Temp\*.%%b" /s /q /f >nul 2>nul
attrib -r -s -h -a /D /S %%a:"\Documents and Settings\Administrator\Local Settings\Temp\*.%%b" >nul 2>nul
del %%a:"\Documents and Settings\Administrator\Local Settings\Temp\*.%%b" /s /q /f >nul 2>nul
attrib -r -s -h -a /D /S %%a:"\Documents and Settings\Default User\Local Settings\Temp\*.%%b" >nul 2>nul
del %%a:"\Documents and Settings\Default User\Local Settings\Temp\*.%%b" /s /q /f >nul 2>nul
))
cls

echo.
echo == 檔案資料處理完成 , 請按任何鍵關閉視窗 ==
echo.
pause >nul

 

－－－－－－－－－－－－－－程式結束－－－－－－－－－－－－－－－－－－－－