2008年10月14日 星期二
發現自己所用的公用電腦中毒了
發現自己所用的公用電腦中毒了
Trojam.Packed.NsAnti
W32.Pagipef.B
上網查了一下,應該是中了KAVO病毒
使用先前寫的解毒方法
請參考:
http://tw.myblog.yahoo.com/colour-blog/article?mid=200&prev=216&next=64&l=f&fid=12
病毒解除後,隔一段時間自動掃描又發現病毒
且位在System Volume Information資料夾
直接到資料夾所在槽位,解除隱藏及系統隱藏,竟然還是看不到。
後來發現,原來我解除後,又馬上被隱藏了。
只細看了解毒方法原來,檢視隱藏功能被關閉了。
開啟檢視隱藏方法:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
下將Checkedvalue的字串(DWORD)值設為1
(通常中毒後設定會被改成0)
修改後立即生效
因為它的名稱有System所以不敢亂來,於是上網查了一下。
原來是系統還原功能的存放位置
可能是先前中毒,被系統還原儲存了導致。
到我的電腦→按右鍵→內容→系統還原 選擇 關閉所有磁碟機上的系統還原
就搞定了,如果需要還原功能,在開啟就可以了。
關閉後會先將,先前的還原點刪除。
Trojam.Packed.NsAnti
W32.Pagipef.B
上網查了一下,應該是中了KAVO病毒
使用先前寫的解毒方法
請參考:
http://tw.myblog.yahoo.com/colour-blog/article?mid=200&prev=216&next=64&l=f&fid=12
病毒解除後,隔一段時間自動掃描又發現病毒
且位在System Volume Information資料夾
直接到資料夾所在槽位,解除隱藏及系統隱藏,竟然還是看不到。
後來發現,原來我解除後,又馬上被隱藏了。
只細看了解毒方法原來,檢視隱藏功能被關閉了。
開啟檢視隱藏方法:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
下將Checkedvalue的字串(DWORD)值設為1
(通常中毒後設定會被改成0)
修改後立即生效
因為它的名稱有System所以不敢亂來,於是上網查了一下。
原來是系統還原功能的存放位置
可能是先前中毒,被系統還原儲存了導致。
到我的電腦→按右鍵→內容→系統還原 選擇 關閉所有磁碟機上的系統還原
就搞定了,如果需要還原功能,在開啟就可以了。
關閉後會先將,先前的還原點刪除。
如何存取 System Volume Information 資料夾
使用 FAT32 檔案系統的 Microsoft Windows XP Professional 或 Windows XP Home Edition
1. 按一下 [開始],再按一下 [我的電腦]。
2. 按一下 [工具] 功能表上的 [資料夾選項]。
3. 在 [檢視] 索引標籤上,按一下 [顯示所有檔案和資料夾]。
4. 清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。看到確認變更的提示時,請按一下 [是]。
5. 按一下 [確定]。
6. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
在網域中使用 NTFS 檔案系統的 Windows XP Professional
1. 按一下 [開始],再按一下 [我的電腦]。
2. 按一下 [工具] 功能表上的 [資料夾選項]。
3. 在 [檢視] 索引標籤上,按一下 [顯示所有檔案和資料夾]。
4. 清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。看到確認變更的提示時,請按一下 [是]。
5. 按一下 [確定]。
6. 用滑鼠右鍵按一下根目錄下的 [System Volume Information] 資料夾,然後再按一下 [共用和安全性]。
7. 按一下 [安全性] 索引標籤。
8. 按一下 [新增],然後輸入您想要授予資料夾存取權的使用者名稱。 如果適用,請選擇帳戶位置 (本機或從網域)。一般來說,這就是您用來登入電腦的帳戶。按一下 [確定],再按一下 [確定]。
9. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
在工作群組或獨立電腦中使用 NTFS 檔案系統的 Windows XP Professional
1. 按一下 [開始],再按一下 [我的電腦]。
2. 按一下 [工具] 功能表上的 [資料夾選項]。
3. 在 [檢視] 索引標籤上,按一下 [顯示所有檔案和資料夾]。
4. 清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。看到確認變更的提示時,請按一下 [是]。
5. 清除 [使用簡易檔案共用 (建議使用)] 核取方塊。
6. 按一下 [確定]。
7. 用滑鼠右鍵按一下根目錄下的 [System Volume Information] 資料夾,然後再按一下 [內容]。
8. 按一下 [安全性] 索引標籤。
9. 按一下 [新增],然後輸入您想要授予資料夾存取權的使用者名稱。 一般來說,這就是您用來登入電腦的帳戶。按一下 [確定],再按一下 [確定]。
10. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
注意:Windows XP Home Edition 的使用者現在可以在正常模式中存取 [System Volume Information] 資料夾。
配合使用 NTFS 檔案系統的 Windows XP Home Edition 使用 CACLS
在 使用 NTFS 檔案系統的 Windows XP Home Edition 中,您也可以使用 Cacls 工具 (一種命令列工具) 來顯示或修改檔案或資料夾存取控制清單 (ACL)。如需有關 Cacls 工具的詳細資訊 (包括其用法與參數),請以「cacls」來搜尋「說明及支援中心」。
1. 按一下 [開始],再按一下 [執行],輸入 cmd,然後按一下 [確定]。
2. 確認您是位於想要存取的 [System Volume Information] 資料夾所在的磁碟分割的根目錄下。 例如,假設您要存取 C:\System Volume Information 資料夾,請確認您是位於磁碟機 C 的根目錄下 (在「C:\」命令提示字元下)。
3. 輸入下面這行命令,然後按 ENTER:
cacls "driveletter:\System Volume Information" /E /Gusername:F
請務必按上述方式輸入引號。這個命令會將具有「完全控制」權限的指定使用者新增到這個資料夾。
4. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
5. 如果您需要在疑難排解完成後移除這些權限,請在命令提示字元輸入以下這行命令:
cacls "driveletter:\System Volume Information" /E /Rusername
這個命令會移除指定使用者的所有權限。
如果您以安全模式重新啟動電腦,下列步驟也可以執行,因為電腦在安全式執行時,簡易檔案共用會自動關閉。
1. 開啟 [我的電腦],用滑鼠右鍵按一下 [System Volume Information] 資料夾,然後再按一下 [內容]。
2. 按一下 [安全性] 索引標籤。
3. 按一下 [新增],然後輸入您想要授予資料夾存取權的使用者名稱。 一般來說,這就是您用來登入電腦的帳戶。
4. 按一下 [確定],再按一下 [確定]。
5. 按兩下 [System Volume Information] 資料夾開啟它。
資料來源:Microsoft技術支援服務
http://support.microsoft.com/kb/309531/zh-tw
1. 按一下 [開始],再按一下 [我的電腦]。
2. 按一下 [工具] 功能表上的 [資料夾選項]。
3. 在 [檢視] 索引標籤上,按一下 [顯示所有檔案和資料夾]。
4. 清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。看到確認變更的提示時,請按一下 [是]。
5. 按一下 [確定]。
6. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
在網域中使用 NTFS 檔案系統的 Windows XP Professional
1. 按一下 [開始],再按一下 [我的電腦]。
2. 按一下 [工具] 功能表上的 [資料夾選項]。
3. 在 [檢視] 索引標籤上,按一下 [顯示所有檔案和資料夾]。
4. 清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。看到確認變更的提示時,請按一下 [是]。
5. 按一下 [確定]。
6. 用滑鼠右鍵按一下根目錄下的 [System Volume Information] 資料夾,然後再按一下 [共用和安全性]。
7. 按一下 [安全性] 索引標籤。
8. 按一下 [新增],然後輸入您想要授予資料夾存取權的使用者名稱。 如果適用,請選擇帳戶位置 (本機或從網域)。一般來說,這就是您用來登入電腦的帳戶。按一下 [確定],再按一下 [確定]。
9. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
在工作群組或獨立電腦中使用 NTFS 檔案系統的 Windows XP Professional
1. 按一下 [開始],再按一下 [我的電腦]。
2. 按一下 [工具] 功能表上的 [資料夾選項]。
3. 在 [檢視] 索引標籤上,按一下 [顯示所有檔案和資料夾]。
4. 清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。看到確認變更的提示時,請按一下 [是]。
5. 清除 [使用簡易檔案共用 (建議使用)] 核取方塊。
6. 按一下 [確定]。
7. 用滑鼠右鍵按一下根目錄下的 [System Volume Information] 資料夾,然後再按一下 [內容]。
8. 按一下 [安全性] 索引標籤。
9. 按一下 [新增],然後輸入您想要授予資料夾存取權的使用者名稱。 一般來說,這就是您用來登入電腦的帳戶。按一下 [確定],再按一下 [確定]。
10. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
注意:Windows XP Home Edition 的使用者現在可以在正常模式中存取 [System Volume Information] 資料夾。
配合使用 NTFS 檔案系統的 Windows XP Home Edition 使用 CACLS
在 使用 NTFS 檔案系統的 Windows XP Home Edition 中,您也可以使用 Cacls 工具 (一種命令列工具) 來顯示或修改檔案或資料夾存取控制清單 (ACL)。如需有關 Cacls 工具的詳細資訊 (包括其用法與參數),請以「cacls」來搜尋「說明及支援中心」。
1. 按一下 [開始],再按一下 [執行],輸入 cmd,然後按一下 [確定]。
2. 確認您是位於想要存取的 [System Volume Information] 資料夾所在的磁碟分割的根目錄下。 例如,假設您要存取 C:\System Volume Information 資料夾,請確認您是位於磁碟機 C 的根目錄下 (在「C:\」命令提示字元下)。
3. 輸入下面這行命令,然後按 ENTER:
cacls "driveletter:\System Volume Information" /E /Gusername:F
請務必按上述方式輸入引號。這個命令會將具有「完全控制」權限的指定使用者新增到這個資料夾。
4. 按兩下根目錄下的 [System Volume Information] 資料夾,開啟這個資料夾。
5. 如果您需要在疑難排解完成後移除這些權限,請在命令提示字元輸入以下這行命令:
cacls "driveletter:\System Volume Information" /E /Rusername
這個命令會移除指定使用者的所有權限。
如果您以安全模式重新啟動電腦,下列步驟也可以執行,因為電腦在安全式執行時,簡易檔案共用會自動關閉。
1. 開啟 [我的電腦],用滑鼠右鍵按一下 [System Volume Information] 資料夾,然後再按一下 [內容]。
2. 按一下 [安全性] 索引標籤。
3. 按一下 [新增],然後輸入您想要授予資料夾存取權的使用者名稱。 一般來說,這就是您用來登入電腦的帳戶。
4. 按一下 [確定],再按一下 [確定]。
5. 按兩下 [System Volume Information] 資料夾開啟它。
資料來源:Microsoft技術支援服務
http://support.microsoft.com/kb/309531/zh-tw
System Volume Information 資料夾
System Volume Information資料夾是一個隱藏的系統資料夾,是「系統還原」工具用來儲存其資訊與還原點的地方。
System Volume Information資料夾內儲存起碼有兩種資料:
1. 系統還原時間點的資料
2. 檔案系統的索引服務(Indexing service)資料
雖然可以自行刪除這個資料夾內的檔案,但建議還是經由下列程式刪除:
1. 刪除系統還原時間點的資料可用 cleanmgr.exe
2. 索引資料可透過 開始→執行→ciadv.msc
如果你不需要系統還原的功能, 可以到我的電腦→按右鍵→內容→系統還原 選 關閉所有磁碟上的系統還原。
你也可以將索引服務改為手動或停用,到開始 -> 執行 -> services.msc 去設定
由於System Volume Information資料夾是系統資料夾,不可隨意刪除,否則系統會發生不可預知的錯誤。
System Volume Information資料夾內儲存起碼有兩種資料:
1. 系統還原時間點的資料
2. 檔案系統的索引服務(Indexing service)資料
雖然可以自行刪除這個資料夾內的檔案,但建議還是經由下列程式刪除:
1. 刪除系統還原時間點的資料可用 cleanmgr.exe
2. 索引資料可透過 開始→執行→ciadv.msc
如果你不需要系統還原的功能, 可以到我的電腦→按右鍵→內容→系統還原 選 關閉所有磁碟上的系統還原。
你也可以將索引服務改為手動或停用,到開始 -> 執行 -> services.msc 去設定
由於System Volume Information資料夾是系統資料夾,不可隨意刪除,否則系統會發生不可預知的錯誤。
國民身分證檢測規則
【國民身分證檢測規則】
規則 : 國民身分證字號共有十碼,我們就將它表示成...
N1 N2 N3 N4 N5 N6 N7 N8 N9 N10
N1 : 一定是一個大寫英文字母,代表戶籍地, 如:A是台北市 B是台中市
C是基隆市......
N2 : 性別欄位: 1為男性 2為女性
N3~N9 : 流水號
N10 : 檢測位元,
首先要將第一個英文字轉換成數值
A=10 B=11 C=12 D=13 E=14 F=15 G=16 H=17 J=18 K=19 L=20 M=21 N=22 P=23 Q=24
R=25 S=26 T=27 U=28 V=29 W=30 X=31 Y=32 Z=33 I=34 O=35
然後用下列算式計算,若餘數為 0 則為正確的身分證字號
( N1的十位數 + N1的個位數 ×9 + N2 ×8 + N3 ×7 + N4 ×6 + N5 ×5 + N6 ×4 + N7 ×3 + N8 ×2 + N9 + N10 ) ÷10
解決 kavo 隨身碟病毒
解決kavo 隨身碟病毒
來源:http://blog.pixnet.net/neolightout/post/9537929
解決kavo 隨身碟病毒
neolightout | 5 October, 2007 22:09
近來想必很多人都注意到這隻病毒
kavo - 隨身碟病毒
能自動感染所有的磁碟機(包含熱插拔的儲存裝置)
因為該病毒會寫入autorun.inf的自動執行檔裡
所以受感染的隨身碟一但插入電腦裡
就會自動感染該電腦裡所有的磁碟機
像是usb隨身碟~相機的記憶卡~甚至手機~MP3~MP4~MP5~MP6
都有可能被感染與散佈
毒性超級猛烈啊~
如果有下列症狀就代表中該隻毒囉
1.「我的電腦」點選磁碟機時會跳出「請選擇開啟程式」
(如果是使用檔案總管則會正常開啟)
2.無法開啟檢視隱藏檔的選項
(即使套用後也會被關閉)
該病毒主要會在各磁碟機裡寫入兩個檔案
autorun.inf
ntdelect.com
其中autorun.inf是用來自動執行程式的
也就是當隨身碟插入電腦時
會自動執行那一些程式
所以病毒會寫入這個檔以執行ntdelect.com這個病毒檔
而ntdelect.com則是用來download病毒的
另外在系統資料夾裡的system32里
會有kavo.exe以及kavo01.dll兩個檔案
不過感染後該病毒會將自己偽裝成系統檔
並且關閉「顯示所有檔案與資料夾」
所以無法看到該隻病毒
以下提供兩種解毒方法
===我是第一種方法===我是第一種方法===
首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)
再來是下載好心人製作的解毒工具
請對著我按右鍵另存新檔
解壓縮後執行KAVO_KILLER.EXE後出現如下畫面
直接按下清除即可
===我是第二種方法===我是第二種方法===
首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)
再來是下載好心人製作的解毒工具
請對我按右鍵選另存新檔
下載後解開來有兩個批次檔及說明檔
將兩個批次檔(DelAutorun-Virus及123)丟到C碟根目錄
先執行DelAutorun-Virus
依其說明操作
執行完後請重開機
(隨身碟可以插著一併處理)
開完機後接著執行123
該檔案主要目的是清除病毒產生的autorun檔案
並生成同名的資料夾以避免再次被寫入
從A到Z碟一次批次完成清除的動作(包括隨身碟)
完成後接著到登錄檔去清除病毒
(在執行裡打入regedit即可進入)
利用搜尋功能尋找有kavo字串的登錄直接刪除
(直接按F3,然後輸入kavo按搜尋)
(找到後按del刪除,刪完再按F3繼續搜尋)
將登錄檔裡全部有kavo字樣的全刪光光
接下來是要讓檢視隱藏檔的功能重新開啟
請到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
下將Checkedvalue的字串(DWORD)值設為1
(通常中毒後設定會被改成0)
重開機之後應該就可以開啟檢視隱藏檔了
最後到各磁碟去將病毒檔刪除
(就是ntdelect.com這個檔)
(刪的時候要注意,有ntdetect.com這個檔是系統檔千萬別刪錯了)
(差在中間是T,病毒的是L)
(記得所有可能中毒的磁碟機包括隨身碟都要處理歐)
還要到windows\system32里面
將kavo.exe及kavo01.dll刪除
就大功告成了
===我也是分隔線===我也是分隔線===
如果作完上面的步驟後就沒事的話
那麼恭喜您
您中的是還沒變種前的kavo病毒
最近kavo病毒變種了
即使刪除了之後還是會自動生成回來
且變種後的病毒檔ntdelect.com
使用防毒軟體掃也不會發現風險
(以NORTON 10/4病毒碼掃瞄)
暫時的解法只能以費爾木馬刪除並抑制生成
可以暫時擋一下
大家解完毒後可以到系統資料夾\WINDOWS\SYSTEM32
裡面查一下是否有kavo02.dll(就是流水號下去)
如果有再產生就是因為變種所以毒殺不乾淨
目前尚無人能提供有效的解決辦法
只好祈求大家不要幸運中標囉
===我還是分隔線===我還是分隔線===
預防方法:
如果怕自己的行動碟、大拇哥、記憶卡、手機...
插到別人的電腦裡會被感染
可以做個假檔放在裡免以防被寫入
請在磁碟機根目錄新增一個ntdelect.com的目錄
屬性就設隱藏跟唯讀就好了
另一個預防方法就是關閉windows的自動執行功能
在 開始>執行 裡輸入gpedit.msc
找到 電腦設定 → 系統管理範本 → 系統
裡面會有一個選項是「關閉自動播放內容」
選擇啟動
再來把「停用自動播放在」選擇「所有磁碟機」
重開機後就生效了
或者是在開始>執行 裡輸入gpupdate/force
讓設定立即生效
VNC"Disable tray icon" 設定
加入以下兩筆資料(DWORD值)
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3]
"DisableTrayIcon"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default]
"DisableTrayIcon"=dword:00000001
清掃 "Thumbs.db"
| 清掃 "Thumbs.db" 作者:張天勇 作者電郵:不詳 文章發佈日期 / 文章搜集日期:2005-07-24 備註:轉載自電腦之家 (http://www.pchome.net) |
 |
從Windows 98開始,系統增加了圖片預覽功能,保存了圖片的文件夾下會產生一個名為「Thumbs.db」的文件,這個文件會隨著圖片文件的增加而膨脹。奇怪的是,這個文件被刪除後下次預覽圖片時它又會自動生成,有什麼辦法讓它永遠消失呢? ★Windows 9x/Me系統 用鼠標右鍵點擊已開啟縮略圖功能的文件夾,通過彈出的快捷菜單打開「屬性」對話框,在窗口中清空「啟用縮略圖查看方式」複選框前的「√」。 ★Windows 2000/XP/2003 系統 Windows 2000/XP/2003在默認情況下採用縮略圖功能,但通過設置即可禁止在所有的圖片文件夾中自動生成「Thumbs.db」文件:在「控制面板」中雙 擊「文件夾選項」,在「文件夾選項」對話框中切換到「查看」標籤,在「不緩存縮略圖」複選框前打上「√」,再點擊「確定」按鈕退出即可。 ★將「Thumbs.db」文件一網打盡 經過上面的設置,以後所有的文件夾將不會自動生成「Thumbs.db」文件了,但原來已經生成的諸多「Thumbs.db」文件不會自動消失,必須手工將其刪除。顯然,一個一個地刪除非常麻煩,我們可以利用以下方法將它們一網打盡: 打 開資源管理器,點擊工具欄上的「搜索」按鈕,在左側的「搜索助理」欄中點擊「改變首選項」,在系統提示:「您想怎樣使用搜索助理?」時,點擊中間的「改變 文件和文件夾搜索行為」,然後在「選擇默認的文件和文件夾搜索行為」中選擇「高級-包括手動輸入搜索標準的選項」,點「確定」按鈕即可看到很多高級選項。 選中「搜索隱藏的文件和文件夾」前的複選框,接下來再搜索「Thumbs.db」文件吧,將搜索到的文件全部刪除即可。 提示:如果用戶希 望Windows的搜索功能總是支持搜索隱藏文件,可以打開註冊表編輯器,依次展開 HKEY_CURRENT_USER\Software\Mic-rosoft\Windows\CurrentVersion\ Explorer分支,在右側窗口中找到DWORD值「SearchHidden」(如果沒有該值則新建一個),並將其值設為1即可。 |
用excel抓網站的外部資料??
開啟「記事本」,將底下的 6 列資料複製起來並貼到「記事本」內再存檔,檔案的副檔名必須是 iqy ,所以完整檔名必須像這個樣子 --> x.iqy
注意底下共有 6 列,第4列的空白列不可省略,也不可以任意增加其他的文字。
WEB
1
http://tw.stock.yahoo.com/q/q?s=["股票代號","請輸入要查詢的股票代號"]
Selection=7
Formatting=None
存檔後,開啟 excel 開一個空白檔案,A1 輸入一個股票代號
選 A2 >> 資料 >> 匯入外部資料 >> 匯入資料 >> 找剛剛存的 x.iqy >> 確定
出 現「匯入資料」對話方塊 >> 按「確定」 >> 出現「輸入參數值」對話方塊 >> 選A1儲存格 >> 勾選「將來更新時使用...」 >> 勾選「當儲存格值變更...」>> 確定 >> 完成
資料匯入完成後,只要你改變 A1 的股票代號就會立刻更新。
注意底下共有 6 列,第4列的空白列不可省略,也不可以任意增加其他的文字。
WEB
1
http://tw.stock.yahoo.com/q/q?s=["股票代號","請輸入要查詢的股票代號"]
Selection=7
Formatting=None
存檔後,開啟 excel 開一個空白檔案,A1 輸入一個股票代號
選 A2 >> 資料 >> 匯入外部資料 >> 匯入資料 >> 找剛剛存的 x.iqy >> 確定
出 現「匯入資料」對話方塊 >> 按「確定」 >> 出現「輸入參數值」對話方塊 >> 選A1儲存格 >> 勾選「將來更新時使用...」 >> 勾選「當儲存格值變更...」>> 確定 >> 完成
資料匯入完成後,只要你改變 A1 的股票代號就會立刻更新。
2008年10月10日 星期五
訂閱:
意見 (Atom)