iT邦幫忙

0

Kavo病毒

有人中過Kavo病毒嗎?
該如何解毒?

看更多先前的討論...收起先前的討論...
5min iT邦好手 10 級 ‧ 2008-03-25 10:11:53 檢舉
這一隻我在去年底幫朋友處理好幾次,倒是常見的病毒
cyctaco iT邦新手 4 級 ‧ 2008-03-25 10:15:15 檢舉
現在這隻病毒的變種還挺不少...清除不易的原因在於感染的方式很容易...
個人使用的避免方式,在磁碟機當中的根目錄,會建立名稱為autorun.inf的資料夾,同時將其設定為隱藏...只要中獎...只會變更這個目錄的屬性,不會發作...算是個不差的方法
john651216 iT邦研究生 1 級 ‧ 2008-03-25 11:14:11 檢舉
kavo 我們公司有中,有參考symantec 官方說明,可是因為該病毒會隱藏及變種,所以跟它奮鬥一星期放棄,從新安裝windows以免後續的問題
skite iT邦大師 5 級 ‧ 2008-03-25 14:22:39 檢舉
我也中過幾次,都是用kavo殺手處理的,使用簡單效果也不錯。
ping iT邦研究生 1 級 ‧ 2008-03-26 10:14:38 檢舉
這病毒影響是不大
但傳染力真是太強了
防不勝防
公司有共用網路磁碟,
感染力太強了~~
目前還沒找到好用的方式解決~~
jease iT邦研究生 1 級 ‧ 2008-11-24 23:35:00 檢舉
這隻太強了~好像市面上的掃毒軟體都逃不過它的手掌心....

不過~也有解決的辦法!有熱心的網友寫出小程式,可以刪除這種隨身碟病毒,
可以參考看看....

1.海芋小站的EFIX(隨時更新)
http://inote.tw/2007/11/efix-30.html

2.張書維的Kavo 病毒殺手(Kavo killer 4.13)
http://www.webrush.net/game76420/p_20080819024613316222
PS:可惜4.13以後要加入會員才能用~"~
54
yha88800
iT邦好手 3 級 ‧ 2008-03-23 23:30:09
最佳解答

Kavo病毒殺手的功效

1.專殺kavo病毒

2.殺掉 硬碟 或隨身碟裡的 autorun.inf 跟ntdelect.com
的病毒檔案,所以中了其他隨身碟型的病毒,也是可以殺的掉

3.恢復 不能顯示影藏檔,有的病毒會讓系統無法顯示隱藏檔,用這個軟體可以改回來

這次的kavo病毒會利用,隨身碟,記憶卡,手機傳輸,MP3感染
所以記得把這些東西接到電腦以後,用此程式來掃毒喔

下載網址
http://game76420.myweb.hinet.net/kavo\_killer.exe

40
dylantsao
iT邦研究生 5 級 ‧ 2008-03-25 11:49:12

不用任何防毒軟體
只需利用XP Professional所提供的指令和程式即可處理乾淨

這個病毒會在各磁碟寫入 autorun.inf 和 ntdelect.com (網路磁碟不確定會不會)
點擊該磁碟機時, autorun.inf會執行ntdelect.com, 如果ntdelect.com被防毒軟體擋掉或刪除, 便會出現程式選單問說要用什麼程式開
在%windir%/system32 目錄下 寫入kavo.exe kavo.dll kavo1.dll等隱藏唯讀檔案
在%temp% 目錄下寫入名稱不特定的 .exe和.dll檔

會在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這兩個地方寫入自動執行 kavo.exe 或 %temp% 目錄下那個.exe檔

會讓 顯示所有檔案和資料匣 的選項無效

利用工作管理員查詢, 應該看不到 ntdelect.com kavo.exe這幾個程式(說真的有點忘了會不會出現, 反正如果出現就先停再說 )
如果光是把這幾個檔砍掉, 很快的又會跑出來
利用tasklist -m kav* 的程式, 可以找出那些執行程式呼叫了這些有毒的dll

處理方法

  1. 關閉所有應用程式
  2. 開啟工作管理員
  3. 開啟 cmd 視窗
  4. cmd視窗下利用 dir /a:h 的指令 找出 %windir%\system32 和 %temp% 下的隱藏dll 和 exe檔, 理論上就是前面所提的那些
  5. cmd視窗下和用 attrib -s -h -r 將前面所找到檔案的屬性消除, 這樣才能砍掉
  6. cmd視窗下將前面所找到的檔案砍掉, 應該會發現 .有些檔案砍不掉, 砍不掉的就是正在執行中的檔案, 如果是exe檔, 就到工作管理員裏停掉該程式再砍, 如果是dll檔請看下一步, 如果不知該不該砍, %temp%目錄下的全砍就是了, %windir%\system32 下的kavo開頭的砍了就是了
  7. cmd視窗下用 tasklist -m kav* 列出呼叫kav*.dll的程式, 您會找到 explorer,exe taskmgr.exe 這兩個程序在裏面, 如果還有其他程序先停掉
  8. 在工作管理員--處理程序 裏 將explorer.exe 結束處理程序, 此時桌面會消失, 只剩下cmd視窗和工作管理員, 然後再把工作管理員結束
  9. 再利用tasklist -m kav* 應該就找不到呼叫 kav*.dll的程式, 此時就可以把那些dll砍光了, 小心別亂砍
  10. 在cmd視窗下, 到各磁碟根目錄, 利用attrib -s -h -r消除autorun.inf ntdelect.com 的屬性然後砍掉
  11. 在cmd視窗下執行 explorer, 桌面即可復原
  12. 用regedit 檢查,如果有前面提到的請刪掉
32
Roger
iT邦新手 4 級 ‧ 2008-03-25 12:12:29

趨勢科技提供Kavo病毒修復工具,有興趣的人,可以從http://www.trendmicro.com.tw/support/downloads/kavoremove.zip 下載。

Roger Chiu
Malware-Test Lab
http://www.sakuramall.com.tw

36
xsenie628
iT邦新手 1 級 ‧ 2008-04-03 00:35:54

這裡提供網頁上說最簡單解法,參考看看囉...
一、下載EFix.exe
二、執行前請先將所有程式(如word、瀏覽器…等)關閉掉
三、執行(按二下)EFix.exe,電腦畫面會消失,並僅會出現下列畫面,表示程式已在尋找電腦內有關KAVO.exe的病毒檔

四、若您的電腦之前有執行過【解法一】中的del_kavo.zip,因為此程式會在各磁碟機建立一個autorun.inf資料夾,以避免病毒寫入,故【解法二】的程式會偵測出並誤判,然後會出現【C:\autorun.inf\*,您確定要執行嗎(Y/N)】,請填【N】,因為此autorun.inf的資料夾已被解法一的程式改為唯讀了,您填Y的話,也無法刪除的。

五、直到最後出現【請按任意鍵繼續…】,即程式執行完畢!

六、完畢時,會出現一個掃毒的記錄檔,供高手參考用。

還有其他2個解法在參考網頁上

22
plutosrita
iT邦研究生 1 級 ‧ 2008-04-06 10:28:24

我們公司電腦中過,是去趨勢科技下載解毒軟體

我要發表回答

立即登入回答