【討論】這是kavo的變種嗎?中毒後nod32會失效..



贊助商連結


頁 : [1] 2 3

arlona
2008-05-07, 05:19 PM
今天遇到的一個案例,不知是不是新變種~~
中毒後再安裝nod32來解毒,沒想到nod32會失效...
開機完進桌面會現出現二個錯誤訊息
「jvvo.exe ... 」記憶體錯誤~以及「kxvo.exe...」記憶體錯誤...
會造成nod32 不會自動常駐... 即使手動開啟後,仍然掃不到這隻...

於是進安全模式以手工清除後,好像就掃掉了...
不知道有無高手曾遇過這隻呢?
......................................

有取得樣本了... 小紅傘可以攔截,但尚未從中毒環境中做測試...
virustotal 測出,目前僅有9套防毒軟體偵測的到...
該樣本似乎與 kavo變種不同隻... >"< 抱歉,我再找找看..

贊助商連結


ㄚ一
2008-05-07, 06:48 PM
2008/5/7 下午 06:46:25 C:\WINDOWS\explorer.exe Set windows hook C:\WINDOWS\Debug\pctools.dll allowed
2008/5/7 下午 06:46:18 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe Set windows hook C:\WINDOWS\Debug\pctools.dll allowed
2003/5/7 下午 06:46:14 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe Create process C:\WINDOWS\system32\cmd.exe allowed
2008/5/7 下午 06:46:00 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe Create process C:\WINDOWS\system32\cmd.exe allowed
2008/5/7 下午 06:45:54 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.sfx.exe Create process C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe allowed
2008/5/7 下午 06:45:30 C:\Documents and Settings\Administrator\桌面\粉不錯~~~相片喔.exe Create process C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.sfx.exe allowed

ㄚ一
2008-05-07, 06:57 PM
http://farm3.static.flickr.com/2343/2472699609_aa97761c28_o.png

ㄚ一
2008-05-07, 07:00 PM
http://farm4.static.flickr.com/3283/2472703679_5bdf7de24f_o.png

ㄚ一
2008-05-07, 07:04 PM
http://farm3.static.flickr.com/2323/2472708089_2b91352b41_o.png

http://farm4.static.flickr.com/3004/2472708091_c71ac4dc2e_o.png

ㄚ一
2008-05-07, 07:16 PM
http://farm4.static.flickr.com/3037/2472722147_a6049fc2d7_o.png

http://farm3.static.flickr.com/2047/2472722151_da63f2aeca_o.png

http://farm4.static.flickr.com/3295/2472722153_5dab81b68f_o.png

2003/5/7 U 07:13:40 Create C:\WINDOWS\Debug\pctools.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2003/5/7 U 07:13:40 Create C:\WINDOWS\system32\pctools.exe Denied: KLSystemData/KLSystemFiles/SystemExe

Roger
2008-05-07, 07:29 PM
測試 EQ 沙箱

arlona
2008-05-07, 10:23 PM
不知有無賢人(閒人)有空以中毒環境做掃毒測試嗎???
因為通常遇到中毒問題時,都是已經病入膏肓的狀況,
在不重灌os的前提下,比較偏向可以在中毒的環境安裝防毒軟體,
且能夠順利清除病毒...

待小弟有空會親身測試看看.. 目前手上只有nod32跟Avira Premium,
在中毒的狀況下~kavo變種(暫稱)會導致nod32 失效,待有空再來測試小紅傘..
在乾境的環境下~nod32 無法偵測出該病毒樣本...小紅傘可以。

rogershu
2008-05-08, 12:09 AM
不知有無賢人(閒人)有空以中毒環境做掃毒測試嗎???
因為通常遇到中毒問題時,都是已經病入膏肓的狀況,
在不重灌os的前提下,比較偏向可以在中毒的環境安裝防毒軟體,
且能夠順利清除病毒...

待小弟有空會親身測試看看.. 目前手上只有nod32跟Avira Premium,
在中毒的狀況下~kavo變種(暫稱)會導致nod32 失效,待有空再來測試小紅傘..
在乾境的環境下~nod32 無法偵測出該病毒樣本...小紅傘可以。

我昨天用xpe+nod32 進去掃毒,半手動的方式順利清除了。

中毒時出現的訊息和樓主發文敘述的蠻相近的。

billeccentrec
2008-05-08, 09:27 AM
良心比較建議不要使用eset
掃得到清不掉