Kavo病毒

防毒

clement 2008-03-23 21:17:23 ‧ 10731 瀏覽

分享至

有人中過Kavo病毒嗎?
該如何解毒?

看更多先前的討論...收起先前的討論...

5min iT邦好手 3 級 ‧ 2008-03-25 10:11:53 檢舉

這一隻我在去年底幫朋友處理好幾次，倒是常見的病毒

cyctaco iT邦新手 4 級 ‧ 2008-03-25 10:15:15 檢舉

現在這隻病毒的變種還挺不少...清除不易的原因在於感染的方式很容易...
個人使用的避免方式，在磁碟機當中的根目錄，會建立名稱為autorun.inf的資料夾，同時將其設定為隱藏...只要中獎...只會變更這個目錄的屬性，不會發作...算是個不差的方法

john651216 iT邦研究生 1 級 ‧ 2008-03-25 11:14:11 檢舉

kavo 我們公司有中,有參考symantec 官方說明,可是因為該病毒會隱藏及變種,所以跟它奮鬥一星期放棄,從新安裝windows以免後續的問題

skite iT邦大師 5 級 ‧ 2008-03-25 14:22:39 檢舉

我也中過幾次，都是用kavo殺手處理的，使用簡單效果也不錯。

ping iT邦研究生 1 級 ‧ 2008-03-26 10:14:38 檢舉

這病毒影響是不大
但傳染力真是太強了
防不勝防

rogerchien iT邦新手 1 級 ‧ 2008-03-29 11:13:36 檢舉

公司有共用網路磁碟,
感染力太強了~~
目前還沒找到好用的方式解決~~

jease iT邦研究生 1 級 ‧ 2008-11-24 23:35:00 檢舉

這隻太強了~好像市面上的掃毒軟體都逃不過它的手掌心....

不過~也有解決的辦法!有熱心的網友寫出小程式，可以刪除這種隨身碟病毒，
可以參考看看....

1.海芋小站的EFIX(隨時更新)
http://inote.tw/2007/11/efix-30.html

2.張書維的Kavo 病毒殺手(Kavo killer 4.13)
http://www.webrush.net/game76420/p_20080819024613316222
PS:可惜4.13以後要加入會員才能用~"~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

yha88800

iT邦好手 3 級 ‧ 2008-03-23 23:30:09

最佳解答

Kavo病毒殺手的功效

1.專殺kavo病毒

2.殺掉硬碟或隨身碟裡的 autorun.inf 跟ntdelect.com
的病毒檔案，所以中了其他隨身碟型的病毒，也是可以殺的掉

3.恢復不能顯示影藏檔，有的病毒會讓系統無法顯示隱藏檔，用這個軟體可以改回來

這次的kavo病毒會利用，隨身碟，記憶卡，手機傳輸，MP3感染
所以記得把這些東西接到電腦以後，用此程式來掃毒喔

下載網址
http://game76420.myweb.hinet.net/kavo_killer.exe

回應
分享
檢舉

登入發表回應

dylantsao

iT邦研究生 5 級 ‧ 2008-03-25 11:49:12

不用任何防毒軟體
只需利用XP Professional所提供的指令和程式即可處理乾淨

這個病毒會在各磁碟寫入 autorun.inf 和 ntdelect.com (網路磁碟不確定會不會)
點擊該磁碟機時, autorun.inf會執行ntdelect.com, 如果ntdelect.com被防毒軟體擋掉或刪除, 便會出現程式選單問說要用什麼程式開
在%windir%/system32 目錄下寫入kavo.exe kavo.dll kavo1.dll等隱藏唯讀檔案
在%temp% 目錄下寫入名稱不特定的 .exe和.dll檔

會在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這兩個地方寫入自動執行 kavo.exe 或 %temp% 目錄下那個.exe檔

會讓顯示所有檔案和資料匣的選項無效

利用工作管理員查詢, 應該看不到 ntdelect.com kavo.exe這幾個程式(說真的有點忘了會不會出現, 反正如果出現就先停再說 )
如果光是把這幾個檔砍掉, 很快的又會跑出來
利用tasklist -m kav* 的程式, 可以找出那些執行程式呼叫了這些有毒的dll

處理方法

關閉所有應用程式
開啟工作管理員
開啟 cmd 視窗
cmd視窗下利用 dir /a:h 的指令找出 %windir%\system32 和 %temp% 下的隱藏dll 和 exe檔, 理論上就是前面所提的那些
cmd視窗下和用 attrib -s -h -r 將前面所找到檔案的屬性消除, 這樣才能砍掉
cmd視窗下將前面所找到的檔案砍掉, 應該會發現 .有些檔案砍不掉, 砍不掉的就是正在執行中的檔案, 如果是exe檔, 就到工作管理員裏停掉該程式再砍, 如果是dll檔請看下一步, 如果不知該不該砍, %temp%目錄下的全砍就是了, %windir%\system32 下的kavo開頭的砍了就是了
cmd視窗下用 tasklist -m kav* 列出呼叫kav*.dll的程式, 您會找到 explorer,exe taskmgr.exe 這兩個程序在裏面, 如果還有其他程序先停掉
在工作管理員--處理程序裏將explorer.exe 結束處理程序, 此時桌面會消失, 只剩下cmd視窗和工作管理員, 然後再把工作管理員結束
再利用tasklist -m kav* 應該就找不到呼叫 kav*.dll的程式, 此時就可以把那些dll砍光了, 小心別亂砍
在cmd視窗下, 到各磁碟根目錄, 利用attrib -s -h -r消除autorun.inf ntdelect.com 的屬性然後砍掉
在cmd視窗下執行 explorer, 桌面即可復原
用regedit 檢查,如果有前面提到的請刪掉

回應
分享
檢舉

登入發表回應

Roger

iT邦新手 4 級 ‧ 2008-03-25 12:12:29

趨勢科技提供Kavo病毒修復工具，有興趣的人，可以從http://www.trendmicro.com.tw/support/downloads/kavoremove.zip 下載。

Roger Chiu
Malware-Test Lab
http://www.sakuramall.com.tw

回應
分享
檢舉

登入發表回應

xsenie628

iT邦新手 1 級 ‧ 2008-04-03 00:35:54

這裡提供網頁上說最簡單解法，參考看看囉...
一、下載EFix.exe
二、執行前請先將所有程式（如word、瀏覽器…等）關閉掉
三、執行(按二下)EFix.exe，電腦畫面會消失，並僅會出現下列畫面，表示程式已在尋找電腦內有關KAVO.exe的病毒檔

四、若您的電腦之前有執行過【解法一】中的del_kavo.zip，因為此程式會在各磁碟機建立一個autorun.inf資料夾，以避免病毒寫入，故【解法二】的程式會偵測出並誤判，然後會出現【C:\autorun.inf\*，您確定要執行嗎（Y/N)】，請填【N】，因為此autorun.inf的資料夾已被解法一的程式改為唯讀了，您填Y的話，也無法刪除的。