KAVO的說明及快速解法(也可以解決C、D、E、F槽不能開的問題)
分類:資訊安全
2007/08/31 09:55
KAVO.病毒說明:
1.在你的所有磁碟機中的根目錄中產生2個檔案
c:\「autorun.inf(自動執行檔) 及 ntdelect.com(kavo病毒)」
這2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟裝置就會被變成傳染媒介,變種的檔案名稱「ntdeIect.com、erdeIect.com、XAdeIect.com、copetttt.com、setup.exe、ek.com」一直在改變現在沒有固定的檔名了。
2.在c:\windows\system32\產生「kavo.exe 及 kavo0.dll」.exe檔的功能是將你的檢視隱藏檔的功能給鎖起來(也就是無法檢視隱藏檔),.dll檔掛在Explorer.exe中用來記錄「鍵盤上及滑鼠的操作」及將自己感染到各個磁碟中。
3.將病毒檔複製到→接上電腦的磁碟裝置(如隨身碟、記憶卡)
▲檢查方法:在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定,有開出記事本就要注意了!
open=在這裡的就是病毒要執行的檔案 (在open後面就是病毒檔名,也就是開啟磁碟時所要執行的檔案)
★:千萬要小心不要刪到系統碟底下的「ntdetect.com」刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)。
ntdelect.com 這才是病毒檔;ntdetect.com 這是系統開機會用到的檔案
(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)
--------------------------------- 2007/11/05開放下載---------------------------------
這是給XP用的解法:
快速解法下載:
載點:「http://www.go2upload.com/file/2/134544.html」
(2008/10/19更新_解決登錄無法順利匯入的問題、2K需用手動的方式匯入登錄檔)
★:第一次點進去會開廣告出來,之後再點一次就可以下載了(畢竟他們也是要生存的)。解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了!『快速又有效』
--------------------------------- 2007/11/05開放下載---------------------------------
■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。
★注意:你的隨身碟現可能是這隻病毒的傳染媒體,請參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)
隨身碟病毒的處理可以參考針對目前木馬病毒預防措施! !
手動製作「解除kavo檔」:
請將「分隔線」中的資資、複製起來貼到「記事本」另存新檔,存成「del-kavo.bat」的檔案就好了。
如系統是 Win2K或是XP是家用版的話請用「工作管理員」先將「explorer.exe」給結束工作後再執行「del-kavo.bat」就完成解毒了。
△:「工作管理員」上面的「檔案」→「新工作(執行)」→「瀏覽」(將「檔安類型」改成「所有類型」),就能執行任何你想要執行的檔案了!---------------------------分隔線---------------------------
@echo off
title 清除kavo及同類型變種 XP版 (2008/08/09更新)
set A=C D E F G H I J K L M N O P Q R S T U V W X Y Z
set T=這個資料夾是用來防止病毒寫入的「請勿刪除!」怪貓...
echo 開始解除kavo木馬病毒,請按下任意鍵...
echo 請按任意鍵繼續.........
pause >nul 2>nul
rem 刪除個磁碟中的autorun.inf的自動執行檔,並建立同名的資料夾,用以防止病毒寫入,屬性改成「唯讀、隱藏、系統」
for %%x in (%A%) do (
if exist %%x:\autorun.inf attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul
del %%x:\autorun.inf /q /f >nul 2>nul
if not exist %%x:\AUTORUN.INF md %%x:\AUTORUN.INF >nul 2>nul
attrib +r +s +h %%x:\AUTORUN.INF >nul 2>nul
echo %T%> %%x:\AUTORUN.INF\README.TXT
cls)
rem 病毒感染用的檔案刪除完成
echo.
rem 關閉正在使用病毒檔的程式(工作列會消失一陣子)
start /wait taskkill /f /im explorer.exe
start /wait taskkill /f /im wuauclt.exe
echo.
rem 刪除登錄檔中KAVO病毒的起動值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "jvsoft" /f >nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "tasoft" /f >nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "tava" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tasa" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mnsa" /f >nul 2>nul
echo.
rem 將被鎖定的隱藏檢視功能開啟(登錄檔)
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul
reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "Hidden" /t REG_DWORD /d 00000001 /f >nul 2>nul
reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "ShowSuperHidden" /t REG_DWORD /d 00000001 /f >nul 2>nul
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" /v "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" >nul 2>nul
rem 已修復無法開啟檢視隱藏檔的功能,有需要請到資料夾中的資料夾選項去開啟檢視隱藏的功能,不需要就別開
echo.
rem 刪除kavo的病毒主程式及建立防毒用的資料夾
echo.
for %%z in (
J3EWRO.EXE
JWEDSFDO0.DLL
KAVO.EXE
KAVO0.DLL
KAVO1.DLL
KAVO2.DLL
TAVO.EXE
TAVO0.DLL
JVVO.EXE
JVVO0.DLL
KXVO.EXE
KXVO0.DLL
KXVO1.DLL
) do (
attrib -s -h -r "%windir%\system32\%%z" >nul 2>nul
echo.
echo.
del "%windir%\system32\%%z" >nul 2>nul
if not exist "%windir%\system32\%%z" md "%windir%\system32\%%z" >nul 2>nul
attrib +s +h +r "%windir%\system32\%%z"
echo %T% > "%windir%\system32\%%z\README.TXT")
cls
echo kavo及同類型變種病毒解毒完成,請將此畫面『關閉』重開機後就可正常使用了。
call explorer.exe
---------------------------分隔線---------------------------
更新說明:
8/9 在8日發現在SP3上會有問題,經檢查後發現只有在SP3上才會有問題,不過已解決了。
9/4 把之前寫錯的nddelect.com改正為ntdelect.dll
9/5 增加建立KAVO0.DLL、KAVO1.DLL的資料夾
9/6 增加建立KAVO.EXE、NTDELECT.COM的資料夾
9/8 改用IF判斷,正確率提高不少,不過少部份電腦會停住不動(關閉再執行一次就好了)
9/29 修改成只要執行一個檔案就好了,順便解決大家常見的問題(內有說明),省下重開機的時間
10/13 拿別人的電腦來測試同學寄給我的病毒,發現到這隻病毒的母木馬會存在「c:\windows\debug\」裡面,檔案為「.dll 和 .exe」,不定時會生出「ubs.exe」
10/15 新發現! 「ubs.exe」就是kavo病毒
ubs.exe 的來源是從信件中來的「如:開啟夾帶的執行檔後會開一張美女圖」你就被值入母木馬了(防毒軟體掃不到),接下來就會不定時產生ubs.exe 及 ubs[1].exe 。
解毒方法我還再整體(編寫解毒檔中),現在又確定了kavo的病毒主要的目地就是竊取線上遊戲的帳密。
11/05 找到網路空間,已開放下載(原則上我窵的東西全放在裡面,內有說明檔,請先看說明再決定要用那一個檔案)。
11/23 把多於的指令給拿掉了,本來想說多做幾個預防的動作,就是順便解其他的病毒,後來想清楚後,其他解毒檔另外寫就好了,實在是沒比要寫在一起。
12/16 發現病毒變種了,檔名改為「ntdeIect.com」,在批次檔的部份增加了清除的指令。
97/6/8 針對應變種的病毒修改了一小部份。
以上是我的解法,轉貼請注明出處!
畢竟是花了很多時間一邊測試一邊寫出來的檔案,而且批次檔已經很少人再用了,批次檔的好處就是動作透明,不放心的人可用記事本就可以開出來編輯檢視裡面的動作是否安全。
(有極少數人不敢執行! 呵呵~ 要怕的話應該是要怕 *.COM 及 *.EXE之類的檔案吧?)
留言列表
