iT邦幫忙

30

解決KAVO隨身碟病毒

近來想必很多人都注意到這隻病毒
kavo - 隨身碟病毒
能自動感染所有的磁碟機(包含熱插拔的儲存裝置)
因為該病毒會寫入autorun.inf的自動執行檔裡
所以受感染的隨身碟一但插入電腦裡
就會自動感染該電腦裡所有的磁碟機
像是usb隨身碟~相機的記憶卡~甚至手機~MP3~MP4~MP5~MP6
都有可能被感染與散佈
毒性超級猛烈啊~
如果有下列症狀就代表中該隻毒囉
1.「我的電腦」點選磁碟機時會跳出「請選擇開啟程式」
(如果是使用檔案總管則會正常開啟)
2.無法開啟檢視隱藏檔的選項
(即使套用後也會被關閉)

該病毒主要會在各磁碟機裡寫入兩個檔案

autorun.inf
ntdelect.com

其中autorun.inf是用來自動執行程式的
也就是當隨身碟插入電腦時
會自動執行那一些程式
所以病毒會寫入這個檔以執行ntdelect.com這個病毒檔
而ntdelect.com則是用來download病毒的
另外在系統資料夾裡的system32里
會有kavo.exe以及kavo01.dll兩個檔案
不過感染後該病毒會將自己偽裝成系統檔
並且關閉「顯示所有檔案與資料夾」
所以無法看到該隻病毒
以下提供兩種解毒方法

第一種方法:

首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)

再來是下載好心人製作的解毒工具
請對著我按右鍵另存新檔
解壓縮後執行KAVO_KILLER.EXE後出現的畫面中

把清除項全勾選再按下清除即可

第二種方法:
首先最重要的是先關閉萬惡深淵的XP自動還原功能
我的電腦按右鍵選內容
到自動還原的頁籤裡點選關閉系統還原
(這個功能幾乎已成為病毒必侵之地,除非有特別喜好最好關掉)
(畢竟比這好的軟體多的是)

再來是下載好心人製作的解毒工具
請對我按右鍵選另存新檔
下載後解開來有兩個批次檔及說明檔
將兩個批次檔(DelAutorun-Virus及123)丟到C碟根目錄
先執行DelAutorun-Virus
依其說明操作
執行完後請重開機
(隨身碟可以插著一併處理)

開完機後接著執行123
該檔案主要目的是清除病毒產生的autorun檔案
並生成同名的資料夾以避免再次被寫入
從A到Z碟一次批次完成清除的動作(包括隨身碟)

完成後接著到登錄檔去清除病毒
(在執行裡打入regedit即可進入)
利用搜尋功能尋找有kavo字串的登錄直接刪除
(直接按F3,然後輸入kavo按搜尋)
(找到後按del刪除,刪完再按F3繼續搜尋)
將登錄檔裡全部有kavo字樣的全刪光光

接下來是要讓檢視隱藏檔的功能重新開啟
請到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersione\Explorer\Advanced\Folder\Hidden\SHOWALL\
下將Checkedvalue的字串(DWORD)值設為1
(通常中毒後設定會被改成0)
重開機之後應該就可以開啟檢視隱藏檔了

最後到各磁碟去將病毒檔刪除
(就是ntdelect.com這個檔)
(刪的時候要注意,有ntdetect.com這個檔是系統檔千萬別刪錯了)
(差在中間是T,病毒的是L)
(記得所有可能中毒的磁碟機包括隨身碟都要處理歐)
還要到windows\system32里面
將kavo.exe及kavo01.dll刪除
就大功告成了


0
jease
iT邦研究生 1 級 ‧ 2008-04-21 09:08:38

kavo真的是很難纏的病毒,有時候利用好心人士的解毒工具也不見有效,
聽說它有些(KAVO)會自動更新,所以解毒工具會失效...
最後就只好重灌了,真的很麻煩耶!
謝謝分享喔~

0
misadm
iT邦高手 10 級 ‧ 2008-04-21 09:19:26

KAVO 有很多變種病毒,像 TAVO 就是其中之一。

中了 KAVO 之後,會看不到隱藏檔,開啟磁碟機時會跳出「請選擇開啟程式」除此之外,還會有什麼引響??

我很好奇 KAVO 這隻病毒的目的是什麼?難道就只是不想讓你看到隱藏檔之類的嗎?還是它有淺藏性的危機呢?

0
bing077
iT邦新手 3 級 ‧ 2008-04-21 09:51:26

自從使用kavo_killer(張書維作)以後,KAVO中毒逐漸減少,但是USB交換使用太頻繁,根本防不勝防,一般的防毒軟體好像效果很差,一直無法解決。最近裝上Wow! USB Protector 只要插上USB或者光碟等外來物品,就會做掃毒動作,也殺了好幾隻病毒。下載位置
http://rt.openfoundry.org/Foundry/Project/Download/?Queue=905

0
john651216
iT邦研究生 1 級 ‧ 2008-04-21 10:24:09

謝謝分享,我們公司之前也有中kavo,使用第一種方法後問題也就解決

0
skite
iT邦大師 5 級 ‧ 2008-04-21 11:02:01

中了kavo之後除了看不到隱藏檔和無法開啟explorer之外,電腦還是變得奇慢無比,整個效能都被拖累了。而且一部分的kavo是有包含木馬程式的,也是有資料洩漏的危險性存在。

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-21 11:28:37

沒中過這病毒
可能是還沒發現吧

謝謝

0
vincent118
iT邦高手 5 級 ‧ 2008-04-21 15:40:33

可以安裝WowUSBProtector預防喔,個人認為很好用。是中研院做的ㄝ。

0
davistai
iT邦大師 1 級 ‧ 2008-04-21 16:09:55

唔..想不到KAVO這麼紅..

0
stefanielove
iT邦新手 4 級 ‧ 2008-04-22 00:00:02

安全卫士360 就不错 上面有专杀磁碟机的 很不错 据说磁碟机感染了的电脑最先杀的软件就是带360字样的。。。
url=http://www.360.cn/

0
misadm
iT邦高手 10 級 ‧ 2008-04-22 08:21:51

WowUSBProtector 需要常駐在系統,會不會跟現有的防毒軟體或木馬防護程式衝突呢?例如 Symantec AntiVirus, AVG... 等等。

0
gatesakagi
iT邦新手 3 級 ‧ 2008-04-22 09:23:05

可以透過修改群組原則來防止使用者「自動播放」這功能
電腦設定->系統管理範本->系統->關閉「自動播放」
選擇「已啟用」->所有磁碟機

這樣使用者每次插入USB碟,就不會自動執行USB裡面的autorun檔,減低中毒的機率。

0
winni
iT邦新手 4 級 ‧ 2008-04-23 16:19:26

真的是很可怕的病毒說>//<
先前我電腦也是種了這種病毒,結果CD槽被感染了不打緊...
連我最重要的隨身碟也中了= =
到最後只好全部砍掉重來了...唉

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-23 23:04:12

沒遇過,感謝提供分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-04-23 23:33:58

感謝分享這個資訊

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-23 23:45:13

謝謝分享

0
huichung
iT邦新手 2 級 ‧ 2008-04-28 21:36:21

之前有同事中過.也是用張書維的kavo_killer,真的很好用,,
不過還有個小撇步,就是插隨身碟時加按shift,可以不要去執行
隨身碟,再掃毒,,若有中毒可以再用kavo_killer,,這樣就可以減少中毒了..

0
loripan
iT邦研究生 1 級 ‧ 2008-05-05 21:57:23

謝謝分享

0
amber093100
iT邦研究生 1 級 ‧ 2008-05-05 22:38:09

謝謝分享

0
jennymsn
iT邦好手 10 級 ‧ 2008-05-05 23:01:44

謝謝分享

0
funkent
iT邦高手 1 級 ‧ 2008-05-11 18:51:37

本公司也深受其害阿

0
mmm12345
iT邦研究生 1 級 ‧ 2008-05-11 22:16:43

謝謝分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-26 00:04:42

謝謝分享

0
liao1029
iT邦新手 3 級 ‧ 2008-10-01 17:57:09

謝謝分享

0
cooch
iT邦研究生 3 級 ‧ 2008-10-01 19:32:17

個人觀點分享:

1 為病毒而關閉系統還原的功能實在很好笑,
原本不錯的功能卻為了區區幾隻病毒而捨棄不用...
似乎搞錯方向了!

2 隨身碟病毒並不是一插入隨身碟就開始進行病毒感染,
而是在滑鼠有對隨身碟進行開啟動作時才開始進行感染..

3 製作一個與病毒檔案相同名稱的目錄其實效果不如想像好用,
事實上,
預防效果只會越來越差,
甚至沒用!

4 檢視隱藏檔的功能本身沒有任何安全問題,
事實上,
在我服務單位內的電腦都用了這個隱藏功能,
將使用者不需要用到的管理工具目錄隱藏起來,
倒是可以減少一些不必要的困擾!

5 自動撥放功能也不是問題,
小弟服務單位數百台電腦,
沒有管制隨身碟的使用,
沒有關閉自動撥放功能的狀況下,
今年來說還沒發現任何電腦因透過隨身碟的使用而中毒..

0
xxxyyyzzz
iT邦研究生 1 級 ‧ 2008-12-28 08:42:50

感謝分享

0
davistai
iT邦大師 1 級 ‧ 2008-12-28 08:47:30

"感謝分享"病毒比KAVO更難解喲^_^

0
鐵殼心
iT邦高手 1 級 ‧ 2008-12-28 09:24:54

這個病毒我也有中過, 非常非常不好解.

鐵殼心 iT邦高手 1 級 ‧ 2008-12-28 09:27:11 檢舉

"謝謝分享" 這隻病毒還有變種, 包含"頭香", "坐沙發" 等等的都是, 更重要的是還具有跨平台感染的能力.

0
davistai
iT邦大師 1 級 ‧ 2008-12-28 13:38:26

尤其是與點數有關的活動一推出, 此病毒就更活躍...
而且感染後, 完全沒有辦法產生免疫力...
就像戒煙, 最後變成借煙...:P
(我18歲,但我不抽煙..呵)
p.s. 請教鐵大, 蝦米係"頭香", "坐沙發" ???

tom6507 iT邦大師 1 級 ‧ 2008-12-29 01:09:42 檢舉

頭香:香火鼎盛的廟宇每當在逢年過節的時候開放香客搶插在香爐上的第一柱香
坐沙發:先來的坐沙發,慢來的坐板凳...

0
557557
iT邦新手 4 級 ‧ 2009-11-10 17:27:32

沒遇過
sogo論壇

0
b47519
iT邦研究生 1 級 ‧ 2011-01-23 08:05:49

感謝版大分享知識

我要留言

立即登入留言