【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

今天遇到的一個案例，不知是不是新變種~~
中毒後再安裝nod32來解毒，沒想到nod32會失效...
開機完進桌面會現出現二個錯誤訊息
「jvvo.exe ... 」記憶體錯誤~以及「kxvo.exe...」記憶體錯誤...
會造成nod32 不會自動常駐... 即使手動開啟後，仍然掃不到這隻...

於是進安全模式以手工清除後，好像就掃掉了...
不知道有無高手曾遇過這隻呢？
......................................

有取得樣本了... 小紅傘可以攔截，但尚未從中毒環境中做測試...
virustotal 測出，目前僅有9套防毒軟體偵測的到...
[COLOR=DarkRed]該樣本似乎與 kavo變種不同隻... >"< 抱歉，我再找找看..[/COLOR]

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

2008/5/7 下午 06:46:25 C:\WINDOWS\explorer.exe Set windows hook C:\WINDOWS\Debug\pctools.dll allowed
2008/5/7 下午 06:46:18 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe Set windows hook C:\WINDOWS\Debug\pctools.dll allowed
2003/5/7 下午 06:46:14 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe Create process C:\WINDOWS\system32\cmd.exe allowed
2008/5/7 下午 06:46:00 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe Create process C:\WINDOWS\system32\cmd.exe allowed
2008/5/7 下午 06:45:54 C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.sfx.exe Create process C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.exe allowed
2008/5/7 下午 06:45:30 C:\Documents and Settings\Administrator\桌面\粉不錯~~~相片喔.exe Create process C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\46.sfx.exe allowed

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

[img]http://farm3.static.flickr.com/2343/2472699609_aa97761c28_o.png[/img]

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

[img]http://farm4.static.flickr.com/3283/2472703679_5bdf7de24f_o.png[/img]

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

[IMG]http://farm3.static.flickr.com/2323/2472708089_2b91352b41_o.png[/IMG]

[img]http://farm4.static.flickr.com/3004/2472708091_c71ac4dc2e_o.png[/img]

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

[IMG]http://farm4.static.flickr.com/3037/2472722147_a6049fc2d7_o.png[/IMG]

[IMG]http://farm3.static.flickr.com/2047/2472722151_da63f2aeca_o.png[/IMG]

[IMG]http://farm4.static.flickr.com/3295/2472722153_5dab81b68f_o.png[/IMG]

2003/5/7 U 07:13:40 Create C:\WINDOWS\Debug\pctools.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2003/5/7 U 07:13:40 Create C:\WINDOWS\system32\pctools.exe Denied: KLSystemData/KLSystemFiles/SystemExe

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

測試 EQ 沙箱

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

不知有無賢人(閒人)有空以中毒環境做掃毒測試嗎???
因為通常遇到中毒問題時，都是已經病入膏肓的狀況，
在不重灌os的前提下，比較偏向可以在中毒的環境安裝防毒軟體，
且能夠順利清除病毒...

待小弟有空會親身測試看看.. 目前手上只有nod32跟Avira Premium，
在中毒的狀況下~kavo變種(暫稱)會導致nod32 失效，待有空再來測試小紅傘..
在乾境的環境下~nod32 無法偵測出該病毒樣本...小紅傘可以。

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

[QUOTE=arlona;1016314]不知有無賢人(閒人)有空以中毒環境做掃毒測試嗎???
因為通常遇到中毒問題時，都是已經病入膏肓的狀況，
在不重灌os的前提下，比較偏向可以在中毒的環境安裝防毒軟體，
且能夠順利清除病毒...

待小弟有空會親身測試看看.. 目前手上只有nod32跟Avira Premium，
在中毒的狀況下~kavo變種(暫稱)會導致nod32 失效，待有空再來測試小紅傘..
在乾境的環境下~nod32 無法偵測出該病毒樣本...小紅傘可以。[/QUOTE]

我昨天用xpe+nod32 進去掃毒，半手動的方式順利清除了。

中毒時出現的訊息和樓主發文敘述的蠻相近的。

回覆: 【討論】這是kavo的變種嗎？中毒後nod32會失效..
 

良心比較建議不要使用eset
掃得到清不掉