KAVO.病毒說明:

它會在你的所有磁碟機中的根目錄中產生
4個檔案
c:\autorun.inf(自動執行檔) ntdelect.com(kavo病毒) 

變種的檔案「ntdeIect.com、erdeIect.com、XAdeIect.com、copetttt.com、setup.exe、ek.com」

2個檔案的功能是一直複製自己到別的磁碟中,只要是磁碟裝置就會被變成傳染媒介。

c:\windows\system32\
kavo.exe kavo0.dll

2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。(也就是無法檢視隱藏檔)

另一個動作是,將病毒檔複製到→接上電腦的磁碟裝置
(如隨身碟)

▲檢查方法
:在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定,有開出記事本就要注意了!

open
=ntdelect.com (
open後面就是病毒檔名,也就是一開始要執行的檔案)

:千萬要小心不要刪到系統碟底下的「ntdetect.com」刪到之後將會不能開機,這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了!)

ntdelect.com
這才是病毒檔;ntdetect.com 這是系統開機會用到的檔案

(
刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)


解法一:直接下載這個程式,它會幫你殺

【軟體名稱】:USB隨身碟蠕蟲病毒清除精靈1.2.0.4(Kavo專殺)版
【軟體語言】:繁體中文
【開發語言】:VB
【是否加殼】:有
【軟體類型】:清除病毒工具
【軟體格式】:RAR檔
【軟體大小】:USB_1.2.0.4.rar上傳後24KB
【上傳空間】:BDG (30天內無人下載系統自動刪除檔案)
【適用作業系統】:Windows XP


kavo 又有變種了~在根目錄產生Copetttt.com檔案者.

[AutoRun]
;;;ggggsssshell\open=Open(&O)
open=copetttt.com
shell\open\Command=copetttt.com
shell\open\Default=1
shell\explore\Command=copetttt.com


1.2.0.4是今年我出的(Kavo專殺)最後一個版本,本來1.2.0.3是今年我出的(Kavo專殺)最後一個版本,可是這兩天又發現新的樣本,想想還是改個版好了...有需要的朋友麻煩重新下載.

*本程式並非防毒軟體,而是針對已經中毒的電腦或USB隨身碟做清除病毒檔案,防止病毒繼續散撥的一個工具.

* 此版本只針對Kavo病毒及其變種做清除動作.

* 1.2.0.4版增加對kavo變種病毒查殺(根目錄有Copetttt.com)檔案者.


本軟體仿"張書維"大大的kavo_kill所製,只是程式碼完全不同,覺得個人需要所製,該清除工具增加了關閉電腦autorun功能及打開電腦autorun功能以防其他autorun蠕蟲病毒透過電腦autorun感染,有需要的朋友可以下載使用,對了~因為本工具有加殼保護所以會被某些掃毒軟體誤判為有病毒,所以不相信本程式的朋友請勿下載~謝謝.






下載位置:http://www.badongo.com/file/7104557

PS:

在執行USB隨身碟蠕蟲病毒清除精靈時,由於作者此工具有加殼保護所以會被某些掃毒軟體誤判為有病毒..

經由網站的檢查,並將其結果列為以下:

紅字的部份為其防護軟體的誤報。

檔案 USB_1.2.0.4.rar 接收於 2007.12.31 10:05:38 (CET)
反病毒引擎版本最後更新掃瞄結果
AhnLab-V32007.12.31.102007.12.31-
AntiVir7.6.0.462007.12.31-
Authentium4.93.82007.12.30-
Avast4.7.1098.02007.12.30-
AVG7.5.0.5162007.12.30-
BitDefender7.22007.12.31-
CAT-QuickHeal9.002007.12.29-
ClamAV0.91.22007.12.31-
DrWeb4.44.0.091702007.12.31-
eSafe7.0.15.02007.12.30suspicious Trojan/Worm
eTrust-Vet31.3.54172007.12.31-
Ewido4.02007.12.30-
FileAdvisor12007.12.31-
Fortinet3.14.0.02007.12.31-
F-Prot4.4.2.542007.12.31-
F-Secure6.70.13030.02007.12.31-
IkarusT3.1.1.152007.12.31-
Kaspersky7.0.0.1252007.12.31-
McAfee51952007.12.28New Malware.ac
Microsoft1.31092007.12.31-
NOD32v227572007.12.30-
Norman5.80.022007.12.28-
Panda9.0.0.42007.12.30-
Prevx1V22007.12.31-
Rising20.24.52.002007.12.29-
Sophos4.24.02007.12.31-
Sunbelt2.2.907.02007.12.30-
Symantec102007.12.31-
TheHacker6.2.9.1752007.12.29-
VBA323.12.2.52007.12.29-
VirusBuster4.3.26:92007.12.30-
Webwasher-Gateway6.6.22007.12.31-
 
附加訊息
File size: 23098 bytes
MD5: df822c434fbbf07ba64575e02ee965cf
SHA1: 6613deaecc69ccfdfafc7fdb8a55c58f85761f2e
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
下載後請自行掃毒...
心存懷疑...請勿下載..並請自行擔負使用上的風險..
 


若出現這樣的狀況:


 
下載http://www.glrecordings.com/superyahtzee/download/mscomctl.ocx

丟到 c:\windos\system32\
按開始-->執行

Windows 95, 98, or Me在執行輸入
regsvr32 \windows\system\MSCOMCTL.OCX

如果你家是

Windows NT or 2000在執行輸入
regsvr32 \WINNT\system32\MSCOMCTL.OCX

如果你家是

Windows XP在執行輸入
regsvr32 \windows\system32\MSCOMCTL.OCX



■:解法二:
--------------------------------- 2007/11/05開放下載---------------------------------

這是給XP用的解法:

快速解法下載:

載點:「http://www.zshare.net/download/4730003dd50c4b/
            「http://www.zshare.net/download/566658227053cb/」(12/16更新)
★:第一次點進去會開廣告出來,之後再點一次就可以下載了(畢竟他們也是要生存的)。

解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了!『快速又有效』

--------------------------------- 2007/11/05
開放下載---------------------------------

■:最後將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。

★注意:你的隨身碟現可能是這隻病毒的傳染媒體,請參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」
(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)

隨身碟病毒的處理可以參考
針對目前木馬病毒預防措施!


■:
手動製作「解除
kavo檔」:

請將「分隔線」中的資資、複製起來貼到「記事本」另存新檔,存成「
del-kavo.bat」的檔案就好了。(在頁面最下方)

如系統是
Win2K或是XP是家用版的話請用「工作管理員」先將「explorer.exe」給結束工作後再執行「del-kavo.bat」就完成解毒了。


更新說明:

9/4 把之前寫錯的nddelect.com改正為ntdelect.dll 

9/5   
增加建立KAVO0.DLLKAVO1.DLL的資料夾

9/6   
增加建立KAVO.EXENTDELECT.COM的資料夾

9/8   
改用IF判斷,正確率提高不少,不過少部份電腦會停住不動(關閉再執行一次就好了)

9/29  
修改成只要執行一個檔案就好了,順便解決大家常見的問題(內有說明),省下重開機的時間

10/13
拿別人的電腦來測試同學寄給我的病毒,發現到這隻病毒的母木馬會存在「c:\windows\debug\」裡面,檔案為「.dll .exe」,不定時會生出「ubs.exe

/15
新發現! ubs.exe」就是kavo病毒

ubs.exe
的來源是從信件中來的「如:開啟夾帶的執行檔後會開一張美女圖」你就被值入母木馬了(防毒軟體掃不到),接下來就會不定時產生ubs.exe ubs[1].exe

解毒方法我還再整體
(編寫解毒檔中),現在又確定了kavo的病毒主要的目地就是竊取線上遊戲的帳密。

11/05
找到網路空間,已開放下載(原則上我窵的東西全放在裡面,內有說明檔,請先看說明再決定要用那一個檔案)

11/23
把多於的指令給拿掉了,本來想說多做幾個預防的動作,就是順便解其他的病毒,後來想清楚後,其他解毒檔另外寫就好了,實在是沒比要寫在一起。

12/16
發現病毒變種了,檔名改為「ntdeIect.com」,在批次檔的部份增加了清除的指令。



轉自:奇怪的貓

---------------------------分隔線---------------------------
@echo off

echo 開始解除kavo木馬病毒,請按下任意鍵...

pause >nul 2>nul

@set A=C D E F G H I J K L M N O P Q R S T U V W X Y Z

@set T=這個資料夾是用來防病毒的,所以故意取跟病毒的檔名一樣,這樣就能防止病毒寫入!「請勿刪除!」,近期發現部份軟體會將「AutoRun.inf」的資料夾給刪除掉,請隨時注意這個資料夾是否存在。 怪貓...

start /wait taskkill /f /im explorer.exe

cls

echo.

rem 刪除登錄檔中KAVO病毒的起動值

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tasa" /f >nul 2>nul

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mnsa" /f >nul 2>nul

echo.

rem 刪除個磁碟中的autorun.infntdelect.com的病毒檔,並建立同名的資料夾,用以防止病毒寫入,屬性改成「唯讀、隱藏、系統」

for %%x in (%A%) do (

@if exist %%x:\autorun.inf attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul

@del %%x:\autorun.inf /q /f >nul 2>nul

@if exist %%x:\ntdelect.com attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul

@del %%x:\ntdelect.com /q /f >nul 2>nul

@if exist %%x:\ntdeIect.com attrib -r -s -h -a %%x:\ntdeIect.com >nul 2>nul

@del %%x:\ntdeIect.com /q /f >nul 2>nul

@if not exist %%x:\AUTORUN.INF md %%x:\AUTORUN.INF >nul 2>nul

@attrib +r +s +h %%x:\AUTORUN.INF >nul 2>nul

@if not exist %%x:\NTDELECT.COM md %%x:\NTDELECT.COM >nul 2>nul

@attrib +r +s +h %%x:\NTDELECT.COM >nul 2>nul

@if not exist %%x:\NTDEIECT.COM md %%x:\NTDEIECT.COM >nul 2>nul

@attrib +r +s +h %%x:\NTDEIECT.COM >nul 2>nul

@echo %T%> %%x:\AUTORUN.INF\README.TXT

@echo %T% > %%x:\NTDELECT.COM\README.TXT & cls

@echo %T% > %%x:\NTDEIECT.COM\README.TXT & cls)

rem 病毒感染用的檔案刪除完成

echo.

rem 將被鎖定的隱藏檢視功能開啟(登錄檔)

reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul

rem 已修復無法開啟檢視隱藏檔的功能,有需要請到資料夾中的資料夾選項去開啟檢視隱藏的功能,不需要就別開

cls

echo.

rem 刪除kavo的病毒主程式

attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul&echo.&echo.& del "%windir%\system32\kav*.*" >nul 2>nul

echo.

@for %%z in (KAVO.EXE KAVO0.DLL KAVO1.DLL KAVO2.DLL) do (if not exist "%windir%\system32\%%z" md "%windir%\system32\%%z" >nul 2>nul

attrib +s +h +r "%windir%\system32\%%z"

echo %T% > "%windir%\system32\%%z\README.TXT")

@cls

echo 刪除完成,kavo的病毒已成功解除,各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的!

echo.

echo 解毒完成,請將此畫面『關閉』後就可正常使用了,不過還是建議重開機會比較好。

echo 可以的話請將防毒軟體的病毒碼更新後再做一次全系統的病毒掃瞄,會更好只是會浪費很多時間。

call explorer.exe

 ---------------------------分隔線---------------------------

 

Posted by 薇朵兒❤朵貓貓 at 痞客邦 PIXNET Guestbook(0) 人氣()