Board logo

主題: [其他] [分享]有關於kavo病毒移除後 上網後重新再生問題 [打印本頁]
發表人: mmcatdog    時間: 2007-9-17 06:51 PM     主題: [分享]有關於kavo病毒移除後 上網後重新再生問題

基本上
此病毒是透過網頁瀏覽模式發生 目前來看大都發生在yahoo網路郵件 而大多數都是認識的人寄的
此病毒會自行下載wincab的檔案 將檔案中 kavo kavo1 kavo2 放置於 windows\system32\下
並此關閉系統隱藏檔檢視功能 並於各磁碟機下 放置autorun.inf
NTDELECT.COM
(注意 不要刪除NTDETECT.COM系統檔) 約101k
但重點是依造網路解法為何重開機後又重新復發 答案在於新的病毒主檔在於windows下包含winpo的檔案於每次使用explorer的功能時如果有上網則於網路上重新下載病毒
該檔案為winpo* 檔案大小為30~120k 重點是時間 檔案建立日期為2047年(windows 2000 無法顯示)
提供各位參考 網路上目前應無相關文件
如有其他更好防護方式請提供 但不要再提winpe 這不是了解病毒的方法 更無法解決此次病毒問題
發表人: 孤客飄凌    時間: 2007-9-17 07:10 PM

這支病毒是隨身碟病毒的變種~

目前聽說只有趨勢跟卡巴偵測的出來~

中了你還會看不到隱藏檔~資料夾選項那怎麼開都會回復~

詳細處理方法請看這裡:點我進入網址
發表人: lmam    時間: 2007-9-17 09:23 PM


引用:
孤客飄凌寫到:
這支病毒是隨身碟病毒的變種~

目前聽說只有趨勢跟卡巴偵測的出來~

中了你還會看不到隱藏檔~資料夾選項那怎麼開都會回復~

詳細處理方法請看這裡:點我進入網址


小紅傘可以啦!!
發表人: h1324512    時間: 2007-9-17 10:21 PM

F-secure Client Secunity7也行
會把病毒全砍了
連ntdelect.com也砍了
開一些磁碟機會開不了
小心
發表人: kaoru    時間: 2007-9-17 10:44 PM

......我就中過,但是當初還沒有看到這一篇文章的時候,我的做法是重灌,因為中的不只一隻
然後刪也刪不掉,直到最後我才發現......原來我的隨身碟有毒那時候nod掃不到
發表人: zbqpoki    時間: 2007-9-17 11:14 PM


引用:
h1324512寫到:
F-secure Client Secunity7也行
會把病毒全砍了
連ntdelect.com也砍了
開一些磁碟機會開不了
小心

這個可以用regedit查詢中毒的自動autorun的值
我都直接砍掉整串
就可以重新開磁碟機了...
發表人: rohwa    時間: 2007-9-18 12:03 AM

使用 kavo 移除工具試看看

http://twed2k.org/viewthread.php?tid=189816&extra=page%3D1
發表人: saltire    時間: 2007-9-18 03:51 PM

NOD32應該可以吧
我同事把有中毒的隨身碟一插入我的電腦時
就被NOD32抓到詢問是否刪除
發表人: spp99    時間: 2007-10-7 12:56 PM

一個有點笨的方法,在磁碟機(包含隨身碟及相機記憶卡)的根目錄加入autorun.inf的目錄同時修改屬性為唯讀及隱藏。雖然不是很有效但是至少可以避免病毒繼續蔓延。
發表人: killer00    時間: 2007-10-7 02:43 PM

保險的作法:本機別連網路或卸除式裝置。

我自己是用虛擬機器在跑網路、隨身碟或外接式硬碟,所以不擔心中毒的問題,因為兩個系統屬於不同階層,所以再強的病毒也無法感染本機,虛擬機器中毒也沒關係,1 second就可以恢復到原樣。

缺點:電腦硬體要夠強(比“流暢的Vista”低個50%差不多)。

[killer00 在  2007-10-7 02:45 PM 作了最後編輯]
發表人: RetupmocSoft    時間: 2007-10-12 12:18 PM

典型的沙坑式的作法......

離題: VT 技術普及以後,虛擬機器的執行效率應該會比現行更高.....

但如果病毒偵測到自己跑的是虛擬機器
在虛擬機器內故意不發作,以為沒有事情了,換回物理安裝的馬上發作....

[RetupmocSoft 在  2007-10-12 12:21 PM 作了最後編輯]
發表人: killer00    時間: 2007-10-12 04:23 PM

想這樣做當然可以,不過能達成這目地的只有病毒(而且體積會變很大,這對病毒散佈是不利的),木馬是辦不到的,所以目地一樣達到了。

病毒、木馬兩者是完全不同的東西,不論是生成方式、傳染途徑、目地都不同,雖然WIKI 的解釋很詳細,不過定義不大符合資工的水準,也許該名作者不是本地資工方面的人(以前的課本讀過,可惜詳細內容已經忘得差不多,真是抱歉)。

不過,既然時下並沒有這類的病毒,就表示這方法還是可以用,總不能說因為明天會中毒,所以今天就不用,這樣不是太…離譜了。

PS:那如果說因為開電腦就會中毒,所以乾脆不用電腦了,也是相同的邏輯,不是嗎?

[killer00 在  2007-10-12 04:25 PM 作了最後編輯]
發表人: kant    時間: 2007-10-14 02:24 PM

KAVO 病毒 NOD32 偵測的出來喔~
看您要不要把原防毒軟體更換成新版的 NOD32 防毒軟體.

另外,大陸有一 FreeWare 叫 USBHCleanner , 它目前有可查查殺.
要使用 20071010 版本才行.
http://www.usbcleaner.cn/download.htm  (沒有 .com 喔)

以上資料供大家參考

[kant 在  2007-10-14 02:37 PM 作了最後編輯]
發表人: kone    時間: 2007-10-16 12:41 AM

殺完kavo檔 用免子掃 可以解決winpo*的插件 重新開機後 就不會再出現 個人經驗…
發表人: imdy    時間: 2007-11-2 04:23 PM


引用:
kone寫到:
殺完kavo檔 用免子掃 可以解決winpo*的插件 重新開機後 就不會再出現 個人經驗…


請問要用兔子的那個功能去掃..?
發表人: bookers    時間: 2007-11-10 04:00 PM


引用:
h1324512寫到:
F-secure Client Secunity7也行
會把病毒全砍了
連ntdelect.com也砍了
開一些磁碟機會開不了
小心

ntdelect.com是病毒檔
該砍沒錯阿
只是我發現很多人看錯
砍成NTDE"T"ECT.COM
還跑去罵分享解法的人..
一個是DE"L" 一個是DE"T"
不一樣的....
發表人: bookers    時間: 2007-11-10 04:05 PM


引用:
rohwa寫到:
使用 kavo 移除工具試看看

http://twed2k.org/viewthread.php?tid=189816&extra=page%3D1

有一位張書維有提供一個不錯用的工具
http://tw.myblog.yahoo.com/shu-wei/
http://game76420.myweb.hinet.net/kavo_killer.exe
需要的人可以去下載來用
發表人: 新陶    時間: 2007-11-13 10:59 PM


引用:

有一位張書維有提供一個不錯用的工具
http://tw.myblog.yahoo.com/shu-wei/
http://game76420.myweb.hinet.net/kavo_killer.exe
需要的人可以去下載來用


我也是用他的程式清除病毒的,還不錯用。



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0