薇朵兒✦朵貓貓藏私角

KAVO.病毒說明：

它會在你的所有磁碟機中的根目錄中產生4個檔案
c:\「autorun.inf(自動執行檔) 及 ntdelect.com(kavo病毒)」 

變種的檔案「ntdeIect.com、erdeIect.com、XAdeIect.com、copetttt.com、setup.exe、ek.com」

這2個檔案的功能是一直複製自己到別的磁碟中，只要是磁碟裝置就會被變成傳染媒介。

c:\windows\system32\「kavo.exe 及 kavo0.dll」

這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。(也就是無法檢視隱藏檔)

另一個動作是，將病毒檔複製到→接上電腦的磁碟裝置(如隨身碟)

▲檢查方法：在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定，有開出記事本就要注意了！

open=ntdelect.com (在open後面就是病毒檔名，也就是一開始要執行的檔案)

★：千萬要小心不要刪到系統碟底下的「ntdetect.com」刪到之後將會不能開機，這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了！)。

ntdelect.com 這才是病毒檔；ntdetect.com 這是系統開機會用到的檔案

(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)


解法一：直接下載這個程式，它會幫你殺

【軟體名稱】：USB隨身碟蠕蟲病毒清除精靈1.2.0.4(Kavo專殺)版
【軟體語言】：繁體中文
【開發語言】：VB
【是否加殼】：有
【軟體類型】：清除病毒工具
【軟體格式】：RAR檔
【軟體大小】：USB_1.2.0.4.rar上傳後24KB
【上傳空間】：BDG　(30天內無人下載系統自動刪除檔案)
【適用作業系統】：Windows XP


kavo 又有變種了~在根目錄產生Copetttt.com檔案者.

[AutoRun]
;;;ggggsssshell\open=Open(&O)
open=copetttt.com
shell\open\Command=copetttt.com
shell\open\Default=1
shell\explore\Command=copetttt.com

1.2.0.4是今年我出的(Kavo專殺)最後一個版本,本來1.2.0.3是今年我出的(Kavo專殺)最後一個版本,可是這兩天又發現新的樣本,想想還是改個版好了...有需要的朋友麻煩重新下載.

*本程式並非防毒軟體,而是針對已經中毒的電腦或USB隨身碟做清除病毒檔案,防止病毒繼續散撥的一個工具.

* 此版本只針對Kavo病毒及其變種做清除動作.

* 1.2.0.4版增加對kavo變種病毒查殺(根目錄有Copetttt.com)檔案者.


本軟體仿"張書維"大大的kavo_kill所製,只是程式碼完全不同,覺得個人需要所製,該清除工具增加了關閉電腦autorun功能及打開電腦autorun功能以防其他autorun蠕蟲病毒透過電腦autorun感染,有需要的朋友可以下載使用,對了~因為本工具有加殼保護所以會被某些掃毒軟體誤判為有病毒,所以不相信本程式的朋友請勿下載~謝謝.






下載位置:http://www.badongo.com/file/7104557

PS：

在執行USB隨身碟蠕蟲病毒清除精靈時，由於作者此工具有加殼保護所以會被某些掃毒軟體誤判為有病毒..

經由網站的檢查，並將其結果列為以下：

紅字的部份為其防護軟體的誤報。

這是給XP用的解法：

快速解法下載：

載點：「http://www.zshare.net/download/4730003dd50c4b/」
            「http://www.zshare.net/download/566658227053cb/」(12/16更新)
★：第一次點進去會開廣告出來，之後再點一次就可以下載了(畢竟他們也是要生存的)。

解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了！『快速又有效』

--------------------------------- 2007/11/05開放下載---------------------------------

■：最後將你的防毒軟體的病毒碼更新到最新，再做一次全系統的掃瞄，會更完整。

★注意：你的隨身碟現可能是這隻病毒的傳染媒體，請參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)

隨身碟病毒的處理可以參考針對目前木馬病毒預防措施！ ！


■：手動製作「解除kavo檔」：

請將「分隔線」中的資資、複製起來貼到「記事本」另存新檔，存成「del-kavo.bat」的檔案就好了。(在頁面最下方)

如系統是 Win2K或是XP是家用版的話請用「工作管理員」先將「explorer.exe」給結束工作後再執行「del-kavo.bat」就完成解毒了。


更新說明：

9/4 把之前寫錯的nddelect.com改正為ntdelect.dll 

9/5   增加建立KAVO0.DLL、KAVO1.DLL的資料夾

9/6   增加建立KAVO.EXE、NTDELECT.COM的資料夾

9/8   改用IF判斷，正確率提高不少，不過少部份電腦會停住不動(關閉再執行一次就好了)

9/29  修改成只要執行一個檔案就好了，順便解決大家常見的問題(內有說明)，省下重開機的時間

10/13 拿別人的電腦來測試同學寄給我的病毒，發現到這隻病毒的母木馬會存在「c:\windows\debug\」裡面，檔案為「.dll 和 .exe」，不定時會生出「ubs.exe」

/15 新發現！ 「ubs.exe」就是kavo病毒

ubs.exe 的來源是從信件中來的「如：開啟夾帶的執行檔後會開一張美女圖」你就被值入母木馬了(防毒軟體掃不到)，接下來就會不定時產生ubs.exe 及 ubs[1].exe 。

解毒方法我還再整體(編寫解毒檔中)，現在又確定了kavo的病毒主要的目地就是竊取線上遊戲的帳密。

11/05 找到網路空間，已開放下載(原則上我窵的東西全放在裡面，內有說明檔，請先看說明再決定要用那一個檔案)。

11/23 把多於的指令給拿掉了，本來想說多做幾個預防的動作，就是順便解其他的病毒，後來想清楚後，其他解毒檔另外寫就好了，實在是沒比要寫在一起。

12/16 發現病毒變種了，檔名改為「ntdeIect.com」，在批次檔的部份增加了清除的指令。



轉自：奇怪的貓

---------------------------分隔線---------------------------
@echo off

echo 開始解除kavo木馬病毒，請按下任意鍵...

pause >nul 2>nul

@set A=C D E F G H I J K L M N O P Q R S T U V W X Y Z

@set T=這個資料夾是用來防病毒的，所以故意取跟病毒的檔名一樣，這樣就能防止病毒寫入！「請勿刪除！」，近期發現部份軟體會將「AutoRun.inf」的資料夾給刪除掉，請隨時注意這個資料夾是否存在。 怪貓...

start /wait taskkill /f /im explorer.exe

cls

echo.

rem 刪除登錄檔中KAVO病毒的起動值

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tasa" /f >nul 2>nul

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mnsa" /f >nul 2>nul

echo.

rem 刪除個磁碟中的autorun.inf及ntdelect.com的病毒檔，並建立同名的資料夾，用以防止病毒寫入，屬性改成「唯讀、隱藏、系統」

for %%x in (%A%) do (

@if exist %%x:\autorun.inf attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul

@del %%x:\autorun.inf /q /f >nul 2>nul

@if exist %%x:\ntdelect.com attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul

@del %%x:\ntdelect.com /q /f >nul 2>nul

@if exist %%x:\ntdeIect.com attrib -r -s -h -a %%x:\ntdeIect.com >nul 2>nul

@del %%x:\ntdeIect.com /q /f >nul 2>nul

@if not exist %%x:\AUTORUN.INF md %%x:\AUTORUN.INF >nul 2>nul

@attrib +r +s +h %%x:\AUTORUN.INF >nul 2>nul

@if not exist %%x:\NTDELECT.COM md %%x:\NTDELECT.COM >nul 2>nul

@attrib +r +s +h %%x:\NTDELECT.COM >nul 2>nul

@if not exist %%x:\NTDEIECT.COM md %%x:\NTDEIECT.COM >nul 2>nul

@attrib +r +s +h %%x:\NTDEIECT.COM >nul 2>nul

@echo %T%> %%x:\AUTORUN.INF\README.TXT

@echo %T% > %%x:\NTDELECT.COM\README.TXT & cls

@echo %T% > %%x:\NTDEIECT.COM\README.TXT & cls)

rem 病毒感染用的檔案刪除完成

echo.

rem 將被鎖定的隱藏檢視功能開啟(登錄檔)

reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul

rem 已修復無法開啟檢視隱藏檔的功能，有需要請到資料夾中的資料夾選項去開啟檢視隱藏的功能，不需要就別開

cls

echo.

rem 刪除kavo的病毒主程式

attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul&echo.&echo.& del "%windir%\system32\kav*.*" >nul 2>nul

echo.

@for %%z in (KAVO.EXE KAVO0.DLL KAVO1.DLL KAVO2.DLL) do (if not exist "%windir%\system32\%%z" md "%windir%\system32\%%z" >nul 2>nul

attrib +s +h +r "%windir%\system32\%%z"

echo %T% > "%windir%\system32\%%z\README.TXT")

@cls

echo 刪除完成，kavo的病毒已成功解除，各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的！

echo.

echo 解毒完成，請將此畫面『關閉』後就可正常使用了，不過還是建議重開機會比較好。

echo 可以的話請將防毒軟體的病毒碼更新後再做一次全系統的病毒掃瞄，會更好只是會浪費很多時間。

call explorer.exe

 ---------------------------分隔線---------------------------