随身碟病毒与无法显示隐藏文件？

　　现在随身碟病毒泛滥的程度真的是令人难以想象，几乎是人人有奖，相当的可怕，当你的随身碟发生打不开、或无法开启时，也许就是中了随身碟病毒了。

　　这个随身碟病毒主要有三个档案，分别为kavo.exe、autorun.inf及ntdelect.com，利用登录档上的kava键值 (kavo.exe) 及autorun.inf来达成生生不息寄生在每个人的硬盘之中，它将自己的档案属性设定成隐藏属性及系统属性，并将「显示所有档案和数据夹」的功能给锁住，让你怎么改数据夹选项的设定也改不了，你就是永远都没办法在窗口的状况下看到这些「隐藏档」，让你杀也杀不了，而且就算是清掉之后又很容易又再度感染。

　　但这些无法显示的隐藏文件在「命令提示字符」之下却是无所遁形的，只要打指令「dir/a」就可以看到所有的档案清单包括隐藏文件，可见能学会一点简单的Dos指令是有多重要的一件事。

　　这篇文章接下来将教大家使用
　　「方式一、整合怪猫批次档的移除法(Delkavo)」、
　　「方式二、手动移除「随身碟病毒」的流程」
　　 等三种方式，来移除kavo的木马程序。

方式一：整合怪猫批次档的移除法(Delkavo)

一、关闭系统还原：
　　 Step 1. 开启【开始菜单】->【控制台】->【系统】。
　　 Step 2. 等待「系统内容」对话盒跳出来后，点击〔系统还原〕活页卷标，勾选「关闭所有磁盘上的系统还原」，并点击下方的〔确定〕，最后再按下〔是〕即完成关闭系统还原的动作。

二、清除IE(Internet Explorer)的临时文件：
　　Step 1. 开启【开始菜单】->【控制台】->【因特网选项】。
　　Step 2. 点击「Temporary Internet files」方框的〔删除档案〕。
　　Step 3. 在跳出的「删除档案」对话盒上勾选「删除所有离线内容」，最后点击〔确定〕。

三、清除系统的临时文件：
　　Step 1. 开启【开始菜单】->【所有程序】->【附属应用程序】->【系统工具】->【清理磁盘】。
　　Step 2. 在跳出的「选择磁盘驱动器」对话盒中，选择「C：」，接着点击〔确定〕。
　　Step 3. 出现「(C:)磁盘清理」的对话盒后，将「要删除档案」里的所有项目”全部勾选”，最后按下〔确定〕。
　　Step 4. 接下来会跳出「您确定要执行这些动作吗？」对话盒，请点选〔是〕。
　　Step 5. 请重复Step 2->4的动作，将电脑中每一部「磁盘驱动器」都做过一次。

四、执行怪猫的解毒批次档(bat file) -「DELKAVO批次檔」
　　Step 1. 下载「DELKAVO批次档」，将delkavo.bat批次档解压缩出来。
　　Step 2. 将电脑重新启动后，开进「安全模式」 (于进入安全模式请参考「电脑中毒了要怎么办？处理流程教学总整理」)。
　　Step 3. 最后再执行「delkavo.bat」檔即可。

　这个批次档是怪猫所写的，你压缩档案之后档名为「delkavo.bat」，直按双点这个批次档即可，双点之后，如果出现下面这个「Windows-没有磁盘」的窗口时，请你一直的按「取消」来关掉这个警告窗口，这个取消按钮，也许需要按个几次。

　　上面的讯息为：「删除完成，kavo的病毒已成功解除，各磁盘的根目录下会有autorun.inf的数据夹那是用来保护的！要接上外接磁盘时请先开启【档案总管】再将装置接上一定要按住【SHIFT键】以防止再次中毒。再从【档案总管】的左边点选该装置后，再建立一个【autorun.inf】的数据夹，才安全。解毒完成，请将此画面【关闭】后就可正常使用了，怕的话请将病毒码更新后再做一次全系统的病毒扫描。」

　　老猫很细心的为每个数据夹加上「autorun.inf、kavo.exe、kavo0.dll、kavo1.dll、avp.exe」的资料夹，以免止autorun.inf档案会再度被执行到，这些数据夹请使用者不要去删掉它们。这个部份神雕虾也曾经提过「最简单的随身碟病毒防制方法」。

资料来源：怪猫的部落格

方式二：手动移除「随身碟病毒」的流程

　　也许你会觉得我已经按照我的流程都做过了，为什么还是没有用，的确，我这个方法的确不一定有用遇到比较麻烦的情况时，确实是没有用。但是有一次，我曾经请一位没有Dos经验的人输入这些命令，我发现他在输入指令时，会和我教的有出入。

　　小心，输入这些指令是不能打折扣的，多一个斜线，少一个斜线都是不行的，而且必需小心的打完整行的指令才可以打Enter键下达命令，要是输入命令之后，出现「' xxx' 不是内部或外部命令、可执行的程序或批次文件。」时，就代表你指令已经打错了，请你看清楚再打。

　　第一步：先开启附属应用程序里的「命令提示字符」。如下图：

　　第二步：先检查一下我的电脑里的每一个磁盘槽，如C与D槽，至于怎么检查，只要输入指令：

　　　　dir c:\ /a/w

　　　　若是要检查D槽的话，就输入

　　　　dir d:\ /a/w

　　第三步：当发现到有「autorun.inf」与「ntdelect.com」时，在删除它们之前，要先对它们两位仁兄先消除「系统」、「隐藏」及「只读」等三种属性。假设我们先要清除C磁盘上的档案，所要输入的指令如下：

　　　　attrib -s -h -r c:\autorun.inf

　　　　attrib -s -h -r c:\ntdelect.com

　　　　若是要清除D磁盘上的autorun.inf及ntdelect.com的属性，就输入

　　　　attrib -s -h -r d:\autorun.inf

　　　　attrib -s -h -r d:\ntdelect.com

　　第四步：当清完属性之后，就可以删除这些寄生在每个磁盘的两位仁兄，分别要输入的指令如下：(这里最重要的就是别杀到档名为NTDETECT.COM这个重要的开机系统文件，为什么病毒的名字要取作ntdelect.com，就是为了要和NTDETECT.COM鱼目混珠，只差了一个字母)

　　　　del c:\autorun.inf

　　　　del c:\ntdelect.com

　　　　若是要删除D磁盘的档案，指令如下：

　　　　del d:\autorun.inf

　　　　del d:\ntdelect.com

　　果然还是有人不小心杀到了(Gina<-)，我把这个正版的「ntdetect.com」放在Hinet空间上，若是不小心杀到，请先不要重开机，若是重开机了，就要想办法把这个文件放进C槽根目录底下即可。
　　　>>Windows XP Professional版的ntdetect.com<<

　　第五步：解决完「autorun.inf」及「ntdelect.com」之后，接下来就轮到「kavo.exe」了，要解决kavo.exe有两个动作要做，第一个：删除位于C:\windows\system32里的kavo.exe；第二个再接着清除位于登录表上的kava键值。接下来我们先从第一个删除kavo.exe做起，一样我们还是在「命令提示字符」里完成这个动作，第一步要执行的指令和之前的一样，都是要先解决kavo.exe的防护罩，也就是附在它身上的那三个属性，请你执行指令：

　　　　attrib -s -h -r c:\windows\system32\kavo.exe

　　接着再输入指令来删除它，指令如下：

　　　　del c:\windows\system32\kavo.exe

　　接下来要做第二个动作，清除登录表上的键值，关于如何清除登录表上的键值，教学请参考「电脑中毒怎么办？手动解毒移除教学」。你要做的就是要清掉
「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」及
「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」里，
名称为「kava」，内容为「c:\WINDOWS\system32\kavo.exe」的键值。

　　第六步：就是要解决无法显示所有档案的问题，这个问题我们要还原登录表上的一些数值，你可以复制以下的内容到记事本中，并将这个扩展名改成 .reg档，然后双点执行这个档案来更新登录表上的值；或是直接下载我帮大家制作好的档案下来，档案为 showall.reg，请在连结的上方按右键下载下来后，再直接双点去执行它就可以了。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"