【木馬】無法顯示資料夾、kavo病毒解決之道!

第 1 頁,共 2 頁 1 2 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 12 筆
  1. #1
    佩岑後援會 monstar 的大頭照
    註冊日期
    2001-05-21
    討論區文章
    34

    【木馬】無法顯示資料夾、kavo病毒解決之道!

    以下內容轉貼至怪貓大大

    最近很多人都中這隻病毒。
    主要來源為信件,中了之後就會把磁碟當作傳染的媒介(如:隨身碟、記憶卡、手機、數位相機 等...)

    解法:

    1.到這個網址下載「DelAutorun-Virus.bat」先執行,可以解決被病毒寫入AutoRun.inf的檔案(算是做個預防工作)。
    「裕笠科技討論專區」http://ns2.ublink.org/phpbb/viewtopic.php?p=2072

    2.再開登錄編輯器搜索「kavo.exe」找到此機碼就刪除之後才重開機。
    「這裡是給不會操作登錄編輯器的人用的」或是將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,
    檔名就打「kavo.reg」按下儲存後,再去執行這個檔案,會問你是否要匯入,選是之後開機就不會去執行這隻病毒了。

    -----------------分格線-----------------
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
    "kava"="懂的人請將此病毒的機碼刪除(目前已不影響系統)"
    -----------------分格線-----------------

    3.用記事本寫一個批次檔來殺病毒檔,將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「del-kavo.bat」按下儲存後,
    再去執行這個檔案,病毒就被你殺掉了。

    -----------------分格線-----------------
    attrib -s -h -r C:WINDOWSsystem32kavo.exe
    attrib -s -h -r C:WINDOWSsystem32kavo0.dll
    del C:WINDOWSsystem32kav*.*
    -----------------分格線-----------------

    4.用記事本寫一個登錄檔來解決被病毒影響所造成的問題修復檔。
    將分格線中的內容貼到記事本中,使用另存新檔-存檔類型要改成「所有檔案」,檔名就打「xxx.reg」按下儲存後,再去執行這個檔案,會問你是否要匯入,
    選是之後被影響的地方就修好了。

    -----------------分格線-----------------
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
    "CheckedValue"=dword:00000001
    -----------------分格線-----------------

    5.將你的防毒軟體的病毒碼更新到最新,再做一次全系統的掃瞄,會更完整。

    以上是我的解法,希望轉貼的人能夠注明出處,不要亂轉貼!
    不然Po的人一定會越來越少的!

    2007/8/30 怪貓


    此文章於 2007-08-31 11:53 AM 被 monstar 編輯。

  2. #2
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    書維的部落格 - Yahoo!奇摩部落格
    由於kavo 將來還會有不同變種, 例如taso, 如果發現Yahoo! 即時通會自動關閉, 建議到原作者網站找尋最新殺毒程式

    kavo.exe的行為

    解決之後便是預防, 預防之道便是關閉 "Autorun", "NoDriveTypeAutoRun" 機碼預設值可能是 "0x91" 或 "0x95", "0x95" 比 "0x91" 安全, 若不放心, 則乾脆改成 "0xdf" 或 "0xff", 以上裕笠科技連結所提供的批次檔就有關閉 "Autorun" 的功能

    關閉系統服務 "Shell Hardware Detection" 也可以停止自動播放
    Windows系統服務面面觀(下)
    Shell Hardware Detection(ShellHWDetection): 這項系統服務會監視及提供「自動播放」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置(例如光碟、隨身碟)上的內容(例如圖檔或影音檔),然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用,並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃(Flash)媒體、PC卡、外接的USB或1394硬碟;支援的內容類型包括: 圖檔(.jpg、.bmp、.gif、.tif)、音樂檔案(.mp3、.wma)、視訊檔案(.mpg、.asf)。如果停用這項系統服務,就會停止「自動播放」功能。
    此文章於 2007-10-24 05:11 AM 被 FYI 編輯。

  3. #3
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294

    電腦 + 人腦 vs. kavo + taso

    (大概)今天同事打開信件時中了kavo 變種, 可能是taso, 小弟下載張書維的kavo_killer.exe, 但是好像被病毒攔截了, 只好另外設法下載, 但是仍無法根除, 最後不得已只好執行AutoRuns, 以肉眼觀察, 結果發現在 "Exploere" 之下
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    多了一個不明的 "c:\windows\help\F3xxxxxxxxxx.dll", 由於檔案總管無法設定顯示隱藏檔, 所以從命令提示字元執行 "dir c:\windows\help /ah", 結果找到兩個同名的隱藏檔(dll & exe), 小弟由日期和屬性判斷, 99.999% 是病毒, 因為 "c:\windows\help" 之下不應該有任何 "見不得人" 的檔案, 難怪清除kavo, taso, ntdelete, 和autorun.inf 之後再開啟檔案總管, 則防毒程式又發現不明程式入侵, 但無法清除

    最後總整理一下, 小弟的清除方法是以BartPE 開機(或者搜尋網友jzdai0903 所製作的 "XPE), 下載並執行張書維的kavo_killer.exe, 手動清除 "c:\windows\help\F3xxxxxxxxxx.*", 接著啟動Windows 安全模式, 執行 "regedt32", 首先以#1 所介紹的方法將 "CheckedValue" 設為1, 再找到上面所提到的 "ShellExecuteHooks", 複製第一個字串名, 然後從頭搜尋該字串名, 由搜尋到的第一個CLSID 可以確定和 "F3xxxxxxxxxx.dll" 相關, 接下來就可以放心刪除和該字串相關的機碼, 最後再把
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    之下不該出現的字串值刪除, 就大功告成(不敢保證)

  4. #4
    嚴禁大濕暴走
    註冊日期
    2001-05-05
    所在地區
    CHT FTTB
    討論區文章
    3,315

    回覆: 【木馬】無法顯示資料夾、kavo病毒解決之道!

    去下載「費爾托斯特安全」下來試用,就可以完整清除了。

    試用完再移除程式即可。

  5. #5
    Mission In Smile
    註冊日期
    2005-07-01
    討論區文章
    16

    回覆: 電腦 + 人腦 vs. kavo + taso

    小弟對於KAVO不斷的重生也是十分困擾,
    簡直就是隻打不死的小強,
    感謝大大提供解決之道。

    Autoruns真的是好工具啊,
    以後就不用再傻傻的開啟registry一個一個慢慢看
    謝謝大大。



  6. #6
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,294
    觀察Autoruns 是不得已的作法, 也許是小弟的同事太幸運了, 在防毒程式發佈新的病毒碼之前就收到這個禮物, 加上會陷害你的通常都是熟人, 不過今天小弟把病毒傳給裝卡巴的同事, 卡巴可以偵測到病毒

    觀察Autoruns 有個技巧, 由於項目太多, 所以請觀察Publisher 非Microsoft 的項目, 方法是點選 Options -> Hide Microsoft Entries, 再按F5 (Refresh), 這樣就少很多了

    由於同事並未把信件留下, 所以目前不知道兇手是誰, 小弟今天在PowerShadow 的測試環境下執行病毒檔(日期:2007-10-27), 病毒只把自己隱藏到 "c:\windows\help" 之下, 並未發現kavo 的行為, 有興趣的網友不妨掃描看看
    附加檔案 附加檔案
    此文章於 2007-11-02 04:26 PM 被 FYI 編輯。

  7. #7
    會員
    註冊日期
    2007-03-22
    所在地區
    CABLE
    討論區文章
    94

    回覆: 【木馬】無法顯示資料夾、kavo病毒解決之道!




  8. #8
    會員
    註冊日期
    2006-01-29
    討論區文章
    20

    回覆: 【木馬】無法顯示資料夾、kavo病毒解決之道!

    不好意思想請教一下

    請問一下
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    這邊的機碼作用是做甚麼的?

    kavo_killer他會將預設的也一起刪除掉,雖然刪掉後使用上好像是不會有甚麼問題
    但想確定一下這邊的機碼是幹甚麼用的?

  9. #9
    白衣少年
    註冊日期
    2004-09-27
    所在地區
    CABLE 1M
    討論區文章
    195

    回覆: 【木馬】無法顯示資料夾、kavo病毒解決之道!

    不好意思,請問一下

    我查了很多,在刪kavo都是在本機上執行,可是我確定是我的外接式硬碟感染,請問我該怎麼刪除外接式硬碟中的病毒?

  10. #10
    修塔兒
    註冊日期
    2007-11-14
    所在地區
    ADSL,VDSL,DHCP
    討論區文章
    23

    回覆: 【木馬】無法顯示資料夾、kavo病毒解決之道!

    引用 作者:芝風 瀏覽文章
    不好意思,請問一下

    我查了很多,在刪kavo都是在本機上執行,可是我確定是我的外接式硬碟感染,請問我該怎麼刪除外接式硬碟中的病毒?
    因為KAVO就是'利用FLASH跟外接硬碟傳染的阿:~
    我們公司之前也是大量中毒~

    插入隨身碟時請按住「Shift鍵」不要放開直到偵測完畢後再執行病毒掃描外階式硬碟就可以了
    為了避免以後再度中毒,請在隨神硬碟中建立autorun同名稱資料夾並且設定為 唯讀~



類似的主題

  1. 【技巧】隨身碟木馬Kavo.exe解決之道
    作者:davidwangxx 所在討論版:-- Windows 討 論 版
    回覆: 6
    最後發表: 2007-09-16, 07:20 PM
  2. 【分享】顯示資料夾大小
    作者:真 所在討論版:-- 軟 體 分 享 版
    回覆: 2
    最後發表: 2007-04-20, 08:10 PM
  3. 檔案總管中資料夾上按滑鼠右鍵的內容,沒反應無法顯示資料夾內容
    作者:monweay 所在討論版:-- Windows 討 論 版
    回覆: 1
    最後發表: 2006-03-28, 05:22 AM
  4. 【求助】TROJ_AGENT.KX病毒解決方式?
    作者:jiyong 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
    回覆: 2
    最後發表: 2005-02-19, 03:28 PM
  5. W32.Blaster.Worm病毒解決方案
    作者:gx21 所在討論版:---- 防毒 / 防駭 精華版
    回覆: 4
    最後發表: 2003-10-02, 05:20 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •