RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 
 18  1/2  1  2  > 


 
主題: [其他] [分享]有關於kavo病毒移除後 上網後重新再生問題   字型大小:||| 
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7402
 . 失蹤: 44
#1 : 2007-9-17 06:51 PM     只看本作者 引言回覆

基本上
此病毒是透過網頁瀏覽模式發生 目前來看大都發生在yahoo網路郵件 而大多數都是認識的人寄的
此病毒會自行下載wincab的檔案 將檔案中 kavo kavo1 kavo2 放置於 windows\system32\下
並此關閉系統隱藏檔檢視功能 並於各磁碟機下 放置autorun.inf
NTDELECT.COM
(注意 不要刪除NTDETECT.COM系統檔) 約101k
但重點是依造網路解法為何重開機後又重新復發 答案在於新的病毒主檔在於windows下包含winpo的檔案於每次使用explorer的功能時如果有上網則於網路上重新下載病毒
該檔案為winpo* 檔案大小為30~120k 重點是時間 檔案建立日期為2047年(windows 2000 無法顯示)
提供各位參考 網路上目前應無相關文件
如有其他更好防護方式請提供 但不要再提winpe 這不是了解病毒的方法 更無法解決此次病毒問題



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
孤客飄凌
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14
一抺輕雲

 . 積分: 1126
 . 文章: 1008
 . 收花: 10732 支
 . 送花: 376 支
 . 比例: 0.04
 . 在線: 3876 小時
 . 瀏覽: 10031 頁
 . 註冊: 7055
 . 失蹤: 791
#2 : 2007-9-17 07:10 PM     只看本作者 引言回覆

這支病毒是隨身碟病毒的變種~

目前聽說只有趨勢跟卡巴偵測的出來~

中了你還會看不到隱藏檔~資料夾選項那怎麼開都會回復~


詳細處理方法請看這裡:點我進入網址








[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
lmam
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 26
 . 文章: 140
 . 收花: 164 支
 . 送花: 62 支
 . 比例: 0.38
 . 在線: 198 小時
 . 瀏覽: 4234 頁
 . 註冊: 6944
 . 失蹤: 4683
#3 : 2007-9-17 09:23 PM     只看本作者 引言回覆


引用:
孤客飄凌寫到:
這支病毒是隨身碟病毒的變種~

目前聽說只有趨勢跟卡巴偵測的出來~

中了你還會看不到隱藏檔~資料夾選項那怎麼開都會回復~


詳細處理方法請看這裡:點我進入網址


小紅傘可以啦!!



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
h1324512
銀驢友〔初級〕
等級: 12等級: 12等級: 12
小小黃

今日心情

 . 積分: 414
 . 文章: 797
 . 收花: 3256 支
 . 送花: 2363 支
 . 比例: 0.73
 . 在線: 1870 小時
 . 瀏覽: 51077 頁
 . 註冊: 7318
 . 失蹤: 23
#4 : 2007-9-17 10:21 PM     只看本作者 引言回覆

F-secure Client Secunity7也行
會把病毒全砍了
連ntdelect.com也砍了
開一些磁碟機會開不了
小心



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
kaoru
青銅驢友
等級: 11等級: 11等級: 11等級: 11


今日心情

 . 積分: 267
 . 文章: 988
 . 收花: 1958 支
 . 送花: 839 支
 . 比例: 0.43
 . 在線: 715 小時
 . 瀏覽: 20130 頁
 . 註冊: 7159
 . 失蹤: 3197
#5 : 2007-9-17 10:44 PM     只看本作者 引言回覆

......我就中過,但是當初還沒有看到這一篇文章的時候,我的做法是重灌,因為中的不只一隻
然後刪也刪不掉,直到最後我才發現......原來我的隨身碟有毒那時候nod掃不到



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
zbqpoki
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13
流風回雪

十週年紀念徽章(五級)  

 . 積分: 656
 . 文章: 590
 . 收花: 5511 支
 . 送花: 1360 支
 . 比例: 0.25
 . 在線: 3213 小時
 . 瀏覽: 71977 頁
 . 註冊: 7298
 . 失蹤: 11
#6 : 2007-9-17 11:14 PM     只看本作者 引言回覆


引用:
h1324512寫到:
F-secure Client Secunity7也行
會把病毒全砍了
連ntdelect.com也砍了
開一些磁碟機會開不了
小心

這個可以用regedit查詢中毒的自動autorun的值
我都直接砍掉整串
就可以重新開磁碟機了...



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
rohwa
鐵驢友〔高級〕
等級: 6等級: 6


今日心情

 . 積分: 75
 . 文章: 111
 . 收花: 523 支
 . 送花: 5 支
 . 比例: 0.01
 . 在線: 678 小時
 . 瀏覽: 2790 頁
 . 註冊: 7062
 . 失蹤: 4224
#7 : 2007-9-18 12:03 AM     只看本作者 引言回覆

使用 kavo 移除工具試看看

http://twed2k.org/viewthread.php?tid=189816&extra=page%3D1



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
saltire
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
御姊萌妹美少女推倒委員長

今日心情

 . 積分: 728
 . 精華: 3
 . 文章: 4461
 . 收花: 4240 支
 . 送花: 28757 支
 . 比例: 6.78
 . 在線: 2170 小時
 . 瀏覽: 34517 頁
 . 註冊: 8212
 . 失蹤: 392
 . 宇宙殖民地
#8 : 2007-9-18 03:51 PM     只看本作者 引言回覆

NOD32應該可以吧
我同事把有中毒的隨身碟一插入我的電腦時
就被NOD32抓到詢問是否刪除



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
spp99
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13


十週年紀念徽章(五級)  

 . 積分: 738
 . 文章: 1664
 . 收花: 6535 支
 . 送花: 5908 支
 . 比例: 0.9
 . 在線: 2356 小時
 . 瀏覽: 18566 頁
 . 註冊: 7315
 . 失蹤: 127
#9 : 2007-10-7 12:56 PM     只看本作者 引言回覆

一個有點笨的方法,在磁碟機(包含隨身碟及相機記憶卡)的根目錄加入autorun.inf的目錄同時修改屬性為唯讀及隱藏。雖然不是很有效但是至少可以避免病毒繼續蔓延。


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
killer00
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


今日心情

 . 積分: 823
 . 文章: 942
 . 收花: 7508 支
 . 送花: 3026 支
 . 比例: 0.4
 . 在線: 3881 小時
 . 瀏覽: 7911 頁
 . 註冊: 6980
 . 失蹤: 2884
#10 : 2007-10-7 02:43 PM     只看本作者 引言回覆

保險的作法:本機別連網路或卸除式裝置。

我自己是用虛擬機器在跑網路、隨身碟或外接式硬碟,所以不擔心中毒的問題,因為兩個系統屬於不同階層,所以再強的病毒也無法感染本機,虛擬機器中毒也沒關係,1 second就可以恢復到原樣。

缺點:電腦硬體要夠強(比“流暢的Vista”低個50%差不多)。

[killer00 在  2007-10-7 02:45 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
RetupmocSoft
銀驢友〔初級〕
等級: 12等級: 12等級: 12


今日心情

 . 積分: 356
 . 文章: 1171
 . 收花: 2660 支
 . 送花: 731 支
 . 比例: 0.27
 . 在線: 1193 小時
 . 瀏覽: 7870 頁
 . 註冊: 7484
 . 失蹤: 1087
#11 : 2007-10-12 12:18 PM     只看本作者 引言回覆

典型的沙坑式的作法......

離題: VT 技術普及以後,虛擬機器的執行效率應該會比現行更高.....

但如果病毒偵測到自己跑的是虛擬機器
在虛擬機器內故意不發作,以為沒有事情了,換回物理安裝的馬上發作....

[RetupmocSoft 在  2007-10-12 12:21 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
killer00
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


今日心情

 . 積分: 823
 . 文章: 942
 . 收花: 7508 支
 . 送花: 3026 支
 . 比例: 0.4
 . 在線: 3881 小時
 . 瀏覽: 7911 頁
 . 註冊: 6980
 . 失蹤: 2884
#12 : 2007-10-12 04:23 PM     只看本作者 引言回覆

想這樣做當然可以,不過能達成這目地的只有病毒(而且體積會變很大,這對病毒散佈是不利的),木馬是辦不到的,所以目地一樣達到了。

病毒、木馬兩者是完全不同的東西,不論是生成方式、傳染途徑、目地都不同,雖然WIKI 的解釋很詳細,不過定義不大符合資工的水準,也許該名作者不是本地資工方面的人(以前的課本讀過,可惜詳細內容已經忘得差不多,真是抱歉)。

不過,既然時下並沒有這類的病毒,就表示這方法還是可以用,總不能說因為明天會中毒,所以今天就不用,這樣不是太…離譜了。

PS:那如果說因為開電腦就會中毒,所以乾脆不用電腦了,也是相同的邏輯,不是嗎?

[killer00 在  2007-10-12 04:25 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
kant
銀驢友〔初級〕
等級: 12等級: 12等級: 12


今日心情

 . 積分: 383
 . 文章: 890
 . 收花: 2977 支
 . 送花: 851 支
 . 比例: 0.29
 . 在線: 4930 小時
 . 瀏覽: 41522 頁
 . 註冊: 7323
 . 失蹤: 176
 . taichang
#13 : 2007-10-14 02:24 PM     只看本作者 引言回覆

KAVO 病毒 NOD32 偵測的出來喔~
看您要不要把原防毒軟體更換成新版的 NOD32 防毒軟體.

另外,大陸有一 FreeWare 叫 USBHCleanner , 它目前有可查查殺.
要使用 20071010 版本才行.
http://www.usbcleaner.cn/download.htm  (沒有 .com 喔)

以上資料供大家參考

[kant 在  2007-10-14 02:37 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
kone
鐵驢友〔初級〕
等級: 4


今日心情

 . 積分: 44
 . 文章: 221
 . 收花: 288 支
 . 送花: 1424 支
 . 比例: 4.94
 . 在線: 842 小時
 . 瀏覽: 8320 頁
 . 註冊: 7396
 . 失蹤: 8
 . TAIWAN
#14 : 2007-10-16 12:41 AM     只看本作者 引言回覆

殺完kavo檔 用免子掃 可以解決winpo*的插件 重新開機後 就不會再出現 個人經驗…


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
imdy
銅驢友〔初級〕
等級: 8等級: 8


 . 積分: 118
 . 文章: 163
 . 收花: 732 支
 . 送花: 2597 支
 . 比例: 3.55
 . 在線: 3354 小時
 . 瀏覽: 38734 頁
 . 註冊: 8213
 . 失蹤: 7
#15 : 2007-11-2 04:23 PM     只看本作者 引言回覆


引用:
kone寫到:
殺完kavo檔 用免子掃 可以解決winpo*的插件 重新開機後 就不會再出現 個人經驗…


請問要用兔子的那個功能去掃..?



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

 18  1/2  1  2  > 
   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-25 09:49 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025704 second(s), 6 queries , Qzip disabled