【警告】狀似jvvo.exe和KAVO.EXE強大的威脅迎面而來!

[schumacher]

那群有在玩完美線上遊戲的網友今晚蠻慘的 ,損失很慘重 ,全被盜了 ,聽他說一個人有數10億的損失lol....
我幫察看了一下 ,結果電腦內竟然也有會利用usb隨身碟傳染的病毒 ,差點連我的筆電都中了一一" ,好險usb隨身碟我插上我的筆電時我沒按系統提示的開啟 ,先用檔案總管打開 ,我砍掉病毒再插拔自己筆電並不會再出現!,我應該沒被連累吧>"<

目前不清楚我朋友那電腦總共中幾隻變種 ,我只有找到以下資訊 ,這是我擷取autorun內容 ,請大家参閱一下!

===

;53KeK85lefa5odrjjd0kkw3asrw3aal4iakisL2w04rDwwDopdlk4qAaJCo7ww228ir3LkKq1sj9ia04wakKHZsD21Aok0dLSllFkdsacasf9Krd20D
[AutoRun]
;k25s28wk0kiKaJfAKfawAaKk1DSrLDq20maK1O9l9acJw2eI2LkkA34dooKDLSllsea50r3K9ieiUidaJ2qs4o5a4a9w4o3DaqKL04dwHdawLqj3fDAifa
open=108i.cmd
;aK1kK4dLA4S4wDi7se057wL4Olk8isdwHL4SXdAdAfaKs0a3wLkjida6Aew2lsm3JaA2ww2nUsDfJ0lr4sLkiKj0kd2iwp3
shell\open\Command=108i.cmd
;O9d4UjwnajiFD3e2ZkK7mAjJqdkac7i2li4
shell\open\Default=1
;OD43d1KkLSapwm320lkjsaLwowka4iL0dDslLii09sAl1J2wdr1r4a5a4KK37piokawk42K3pJjLJssd4Dq4aedwoi5s3lJXKfU80rj2ZdD67A5A
shell\explore\Command=108i.cmd
;AwCDkiw294AaaK1lw0K7do4kaliLsKd2lwraK04fkop2AskJfaLLD6ppki02ij25iL

===

另外我發現該電腦a開頭防毒軟體會常常顯示vga.sys為病毒!隔離或刪除後沒多久還是偶而會出現 ,可見該檔已經被感染成偽檔 ,所以安全模式也無法進入了!

還有取消該電腦隱藏的作業系統檔案和勾選顯示所有檔案和資料夾都沒有正常作用 ,我使用了小精靈☆隨身碟病毒清除程式V 5.0.0.exe只有建立autorun資料夾 ,沒有發現任何病毒 ,也無法修復以上兩點!
也使用了USBCleaner.exe 5/15版也沒有發現任何病毒 ,修復資料夾也只是暫時正常 ,沒多久還是沒有顯示電腦隱藏的作業系統檔案!

Yahoo即時通要連線 ,程式卻不給登入 ,重灌即時通也沒用!

我目前只幫他解決了usb隨身碟傳染的問題 ,其它都沒完全解決一一" ,搜索了相關資料 ,發現目前蠻多人中的 ,沒有完全的解決方案 ,這下我這門外漢也幫不了忙了!

請問:
1.若vga.sys被感染了!導致無法進入安全模式 ,我該從何處找到乾淨又安全的原始SP2版的vga.sys呢??
2.如何完全修復電腦隱藏的作業系統檔案和顯示所有檔案和資料夾
3.即時通如何修復??
4.怎麼完全將有以上癥狀的電腦系統內的病毒木馬全抓出來並不再復發!

請大家多多幫忙了^^"

[basuya]

關注一下這個主題，最近也接過好幾個客戶通知。

[pavo]

[AutoRun]

open=108i.cmd

shell\open\Command=108i.cmd
shell\open\Default=1

shell\explore\Command=108i.cmd


^^^^^^^^^^^^^^^^^^^^^^^^^^^ 這才是有效的

一樣依照USB病毒解法去解.並且多查看 啟動檔案匣.

[schumacher]

後續...他很急....所以他們決定重灌了...>"<沒得研究了...
只是我現在只能幫他們找中毒的源頭在哪...怎麼中標地!

慘的是我剛剛開機後發現我昨天拿去的筆電真的有被他們感染了,只是沒他們電腦那樣病的很重 ,本來昨天慶幸我筆電沒被他們感染這類型病毒 ,結果今晚一開機就發現JVVO類型二隻檔案...SCS3.5能偵測到,但不能全解 ,於是我自己手動解決這些木馬 ,應該是清乾淨了=.=,目前重開機幾次都沒再出現ORZ....大家自己小心阿一一"

[Donna]

也許試試看以下方式

首先請至以下網址參考 XPPE，下載並燒成光碟
http://tw.myblog.yahoo.com/noname-team/

以此光碟開機，進入 XPPE 系統

請至另外一個系統，複製無病毒的 vga.sys，然後在 XPPE 系統下進入 C:\windows\system32\drivers 覆蓋中毒檔案 ( 因該中毒檔案 未啟動，所以不會有檔案被鎖定，無法變更的問題 )

取出 XPPE 光碟，重開機，試試看能不能成功進入安全模式，做你想要的動作。

最近，一些病毒會產生類似驅動程式的型態，通常會以 service 或是硬體，或是非隨插即用裝置的方式，常駐於系統中。目前的經驗，只要中的是屬於此類病毒，防毒程式在中毒之後大多無法掃除，因為這些程式都是被系統程式所啟動，除非防毒能關閉這啟動病毒的源頭，否則是無法掃除病毒的。

通常此類病毒會以 DLL 或是 SYS 檔案存在於系統。位置會在 system32 或是 drivers 資料夾。
啟動的機碼則會在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
or
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

如果可以找到正確的病毒檔案，利用 XPPE 進入系統，直接刪除病毒檔案。然後開啟隻後清除機碼，也許就可以解除病毒。

[globe]

我是在學校駐點的工程師，最近很多老師也中這些變種病毒
，不過呢，好像這次中毒會出現微軟保護系統的視窗，叫你放入光碟保護或放棄保護的畫面，
大家如果有中類似隨身碟病毒或變種病毒的話，可以到http://reinfors.googlepages.com/下載 EFIX 試試看，可以修復登錄檔及變種病毒。

[schumacher]

我目前探查了一陣子還沒找到他們是怎麼中獎的 ,也許是玩上網玩網頁小遊戲或瀏覽部落格過程中才中毒 ,也許是用某某外掛才中毒 ,目前我偏向於是用外掛!

這是他們在用的其中一個疑似有威脅的外掛 ,我丟上virustotal只有一家明確告知是什麼類型木馬 ,而且看起來真的蠻像那隻木馬的背景資料所介紹的那樣 ,只是才一家偵測為Trojan-Downloader.Win32.Banload.bxy ,該不會是封包方式才誤判的吧=.= ,我原封不動丟上來請有經驗的研究看看 ,沒有經驗的請勿下載後開啟它避免中毒!
http://www.virustotal.com/zh-tw/anal...975756bfcf50a5
http://research.sunbelt-software.com...hreatid=137914

如果該檔真的是禍首再請大家告訴我 ,不然重灌後沒多久又中再請我幫忙 ,我也是很困擾阿一一"

[juijui]

File ID Filename Size (Byte) Result
25031818 EZKMRec.rar 281.03 KB OK

A listing of files contained inside archives alongside their results can be found below:

File ID Filename Size (Byte) Result
25031819 EZKMRec.exe 569.5 KB CLEAN
25031820 EZKMRec.ini 211 Byte CLEAN
25031821 Logo.ico 766 Byte CLEAN
25031822 setup.log 1.97 KB CLEAN
267216 uninstall.exe 63 KB KNOWN CLEAN

捉錯隻了，這個樣本不是病毒!!!

[noeleon930]

我的avast無反應

[sdofclan]

您好

小弟這陣子也中了隨身碟變種病毒，令人很困擾！
後來，去趨勢科技網站尋找有沒有可以解讀的工具能用，意外發現 iclean 這個病毒清除工具程式，使用後病毒問題全部解決！真厲害的工具~
●在這推薦給你們使用看看：
請下載解毒快手(iClean)
網址為：http://a928.g.akamai.net/f/928/485/1...ean/iClean.zip

※使用前注意事項：
網址為：http://a928.g.akamai.net/f/928/485/1...lean_notes.pdf

※解壓縮密碼：novirus

此外，小弟在趨勢科技官網找到超好用的 [網頁威脅防禦工具 Trend Micro WTP Add-On] 不但小巧好用且又是永久免費的，它能更比防毒軟體更先阻擋可疑程式與網站。

●網頁威脅防禦工具 Trend Micro WTP Add-On (Web Threat Protection)

下載網址：http://tw.trendmicro.com/tw/products...wtp/index.html