感染后.在U盘生成autorun.inf     ntdelect.com     SVCHOST.EXE  IEXPLORE.EXE 四个隐藏文件.

通过双击或右键打开U盘后.执行病毒.在%System%下产生kavo.exe和kavo0.dll文件.在C:Documents and SettingsnikyxpLocal SettingsTemp下产生wdagnb7.dll(可能随机命名).文件.在各个盘根目录下产生autorun.inf和ntdelect.com文件.

修改注册列表.在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下生成kava: “C:WINDOWSsystem32kavo.exe”

修改注册列表.HKEY_USERSS-1-5-21-1177238915-1326574676-839522115-1003SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced将Hidden数据修改为:0×00000002(红色数字因系统不同而不同.)

病毒特征:进程多出kavo.exe.打开C.D.E等盘符时在新窗口打开(也见过要求选择打开方式的).不能显示隐藏文件.

杀毒方法:

一.PE下手杀.很简单.删除%System%下产生的kavo.exe和kavo0.dll.各个盘根目录下产生的autorun.inf和 ntdelect.com.重启.进入系统修复下注册列表删除HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun下生成kava: “C:WINDOWSsystem32kavo.exe”
将HKEY_USERSS-1-5-21-1177238915-1326574676-839522115-1003SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced将Hidden数据由0×00000002改回0×00000001(红色数字因系统不同而不同.)

原系统下手杀:

1 结束Explorer进程(结束后暂时不要重建)

2 按WIN+R,运行REGEDIT,解决注册表相关:

1)是kavo.exe的删除.搜索一下就行了,全删了.解决自启动问题.

2)[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
将”CheckedValue”值该为00000001 (只需要输入1就行了).解决无法正常显隐文件或文件夹问题.

3 在命令行窗口手动删除各相关文件,主要是kavo.exe,kavo0.dll,autorun.inf,如果有ntdelect.com和wdagnb7.dll也得删.
或者使用批处理文件删除.(删除结束后,同样可以使用命令行窗口输入:dir /a 检查是否有遗漏)

4 重启,然后再检查一遍.

二.用rar打开各盘符.删除上述文件.重启.像方法一一样修复注册表.

三.将下面代码复制过记事本.另存为1.bat文件执行.修改了一下代码.新加了结束explorer进程后再杀.

@echo off
echo.
echo   正在清理病毒文件，请稍后……
echo.
taskkill  /f /im explorer.exe
attrib -A -S -H -R c:windowssystem32kavo*.*
del c:windowssystem32kavo.exe
del c:windowssystem32kavo0.dll
for %%a in (c d e f g h i j k l m n o p q r s t u v w x y z) do attrib -A -S -H -R %%a:autorun.inf & attrib -A -S -H -R %%a:ntdelect.com & del %%a:autorun.inf & del %%a:ntdelect.com
start  c:windowsexplorer.exe
echo.

不止G盘的自己加上.
重启.修复注册表的.
本来想写个修复注册表的.但考虑到系统的不同.就没写了.有兴趣的可以试试这个.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]

“CheckedValue”=dword:00000001

另存为2.reg执行.

方法三未试过.不过理论上应该可以的.有兴趣的可以中毒来试试

附上autorun.inf里的内容

[AutoRun]
open=ntdelect.com
;shellopen=Open(&O)
shellopenCommand=ntdelect.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=ntdelect.com

——————————————————

比较早之前的文章，原来个blog太空了点，贴回来充实下，嘿嘿。