相信各位應該也有注意到KAVO這一次變種改了個檔案名稱， 導致各種專殺軟體或修復軟體失效 像EFix 4.61以前的版本，KAVO Killer，小精靈KAVO專殺等等。 不過因為我很早就碰到了，所以一改版就ok，現在EFix 4.64版可以直接幹掉 畢竟他只是KAVO變種.... 但有個地方需要注意的 這一次的KAVO變種JVVO.EXE和KXVO.EXE有一個地方很沒良心 當中了這毒之後他第一件做的事情就是釋放驅動文件VGA.SYS 並將原本的系統驅動文件覆蓋掉 這個檔案是Windows的顯示卡預設驅動程式 在一般情形來說，Windows的檔案還原功能會啟動 如果在system32\dllcache資料夾下有VGA.SYS時他會直接還原回去 如果沒有的話會跳出要求放入安裝程式光碟片 以上都還好，因為檔案還原回去了。 但如果檔案還原功能沒有開啟的話(這常見在像SUPER XP這一類非正版Windows) 或者是像系統美化軟體那一類的東西(像Tiger milk那一類的) 那VGA.SYS這個檔案就會確確實實的被覆蓋掉 這一覆蓋就麻煩了 首先 第一個安全模式會進不去 因為安全模式會以Windows預設的驅動程式去驅動硬體周邊設備 而VGA.SYS已經變成病毒檔，所以驅動根本就無法載入，同樣就造成進不去安全模式 的狀態 第二個如果中毒電腦沒有另行安裝顯示卡驅動程式，那他下一次開機時 系統就直接再起不能了...因為同樣沒有另外裝顯示卡驅動程式時 Windows會以預設驅動，就是VGA.SYS去驅動顯示卡 結果就變成和進入安全模式一樣造成無法載入驅動，結果就是進不去系統.... 所以有中的人先不管用什麼軟體去解決之後，建議最好用檢查數位簽章的軟體 去檢查system32\drivers\vga.sys是否有存在數位簽章 如果沒有的話就必須要另外找正常的VGA.SYS將其還原回去 ------------------------------------------------------ 數位簽章軟體我是有找到適用的可以包到EFix內，可惜執行速度慢了點... 不過就算真的檢查出來也沒辦法...沒正常檔案XD --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.135.15.200