史萊姆論壇

返回   史萊姆論壇 > 專業主討論區 > 一般電腦疑難討論區
忘記密碼?
論壇說明

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


發文 回覆
 
主題工具 顯示模式
舊 2007-09-15, 09:29 PM   #1
getter
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765391 金幣
預設 討論 - 有關於 kavo.exe & ntdelect.com 病毒



這一次 kavo.exe & ntdelect.com 病毒,跟大多數 USB 病毒一樣
除了用 USB 傳染外,亦可利用網路傳播(廢話)

想必也有不少人像我一樣中獎

不過此次的病毒目前,暫時無防毒軟體可以有效防堵。多數只能使用解毒器
或是手動解毒。

經過明察暗訪 + 本人給他中毒來研究,確定一些此次病毒檔名及所在及部份行為
再此篇說明讓大家研究看看。


檔案部份:
-----------------------------------------------------------
1.除了網路磁碟機外,會在每個可以有效寫入的磁碟機代號的 \ 處寫入
autorun.inf、ntdelect.com 兩個檔案,並將檔案屬性設定成唯讀、
隱藏、系統。病毒檔 ntdelect.com 與 XP 系統檔 ntdetect.com 檔
名類似。中間的 l 與 t 僅一個字母的差異。誤刪系統檔的話會不斷重新
開機。

檔名小寫時
病毒檔 ntdelect.com
系統檔 ntdetect.com

檔名大寫時
病毒檔 NTDELECT.COM
系統檔 NTDETECT.COM

2.在 C:\Winddows\System32 中,留下兩個駐留檔案,分別是 kavo.exe、
kavo0.dll 兩個檔案,並將檔案屬性設定成唯讀、隱藏、系統。
那個 KAVO.EXE 則是仿知名的防毒軟體 KAV 而來,實際上防毒軟體 KAV 的
執行檔不見得就市 KAV.EXE 而是其他的檔名。


3.被 AVAST 防毒軟體,捕捉到的 C:\Winddows\System32\wincab.sys ,
若是沒有做處理則該黨會自動消失,所以是短暫的任務檔,要是讓防毒軟體去
處理它時,會不斷出現。檔案屬性為保存。

4.在 Winddows\Prefetch 中也有 NTDELECT.COM-16A3E489.pf 的檔案。
檔案屬性為保存。

5.網路上指出的變種或攔截到的檔案:

C:\Winddows\system32\fly32.dll
C:\Winddows\system32\poor32.dll
C:\Winddows\system32\kavo1.dll
C:\Winddows\system32\kav0.dll
C:\Winddows\system32\kav1.dll


-----------------------------------------------------------
登錄檔機碼的部份,我只能列出容易判斷的部份,應該還是有不易判斷的方

共同項目:

語法:
1.把可以檢視隱藏的的功能關閉。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000 // 原本為 1 改成 0


2.增加機碼 LEGACY_TRLMNCZQ,不知道做啥用途。
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ\0000]
"Service"="trlmnczq"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="trlmnczq"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="trlmnczq"


3.讓病毒開機自動執行。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kava"="C:\\WINDOWS\\system32\\kavo.exe"


4.在 MUICache 中留下紀錄。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\kavo.exe"="kavo"
"C:\\ntdelect.com"="ntdelect" ---> 有效寫入的磁碟機所在越多則越多
"D:\\ntdelect.com"="ntdelect" ---> 有效寫入的磁碟機所在越多則越多


5.在 MountPoints2 機碼中的 C、D、E … 留下紀錄(磁碟機代號越多該機碼就越多),C 代表 C:,依此類推。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C]
"BaseClass"="Drive"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell]
@="Open"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun]
"Extended"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command]
@="C:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore\Command]
@="C:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Command]
@="C:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Default]
@="1"

在來是每台電腦的某個特定機碼,數值均不同:

語法:
6.在機碼 {8603ec90-621d-11dc-86c0-00c1260a8394} 中紀錄,每台電腦的該項機碼,數值均不同。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,00,\
  01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,00,00,10,00,00,09,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell]
@="Open"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun]
"Extended"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun\command]
@="G:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore\Command]
@="G:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Command]
@="G:\\ntdelect.com"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Default]
@="1"



在 S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx 中留下串改或記錄,每組 xxx 均相同,但每台電腦不同 

7.病毒加入的,應該也是用在遮蔽隱藏檔不給看
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000   
                     

8.讓病毒開機以某個身份自動執行。
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Run] 
"kava"="C:\\WINDOWS\\system32\\kavo.exe"


9.在以某個身份機碼 {8603ec90-621d-11dc-86c0-00c1260a8394} 中紀錄
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,00,01,00,00,01,00,df,df,5f,df,5f,5f,5f,5f,df,df,5f,5f,\
  5f,df,df,df,5f,5f,5f,df,df,df,5f,5f,df,5f,5f,5f,5f,5f,cf,5f,5f,5f,5f,5f,00,\
  01,00,01,01,ee,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
  ff,ff,00,00,10,00,00,09,00,00,00

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell]
@="Open"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay]
"MUIVerb"="@shell32.dll,-8504"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\Autoplay\DropTarget]
"CLSID"="{f26a669a-bcbb-4e37-abf9-7325da15f931}"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun]
"Extended"=""

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\AutoRun\command]
@="G:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\explore\Command]
@="G:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Command]
@="G:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8603ec90-621d-11dc-86c0-00c1260a8394}\Shell\open\Default]
@="1" 


10.在以某個身份 MountPoints2 機碼中的 C、D、E … 留下紀錄(磁碟機代號越多該機碼就越多),C 代表 C:,依此類推。
[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C]
"BaseClass"="Drive"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell]
@="Open"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun]
"Extended"=""

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command]
@="C:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\explore\Command]
@="C:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open]

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Command]
@="C:\\ntdelect.com"

[HKEY_USERS\S-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxx\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Default]
@="1"
註:由於登錄檔的機碼被修改,其中較明顯的為檔案總管的檢視隱藏檔的功能被關閉了。

以上就是目前分析出來的狀況,光用殺毒器、殺毒批次黨可能清不完全,建議需使用 Sysdoctor 或 Windoctor
或 CCleaner 之類的軟體作登錄檔檢查。因為手動作太累人了。

此帖於 2007-09-16 06:46 PM 被 getter 編輯. 原因: 補充說明
__________________
在「專業主討論區」中的問題解決後,要記得按一下 http://forum.slime.com.tw/images/stamps/is_solved.gif 按鈕喔,
這是一種禮貌動作。

一樣是在「專業主討論區」中發問,不管問題解決與否,都要回應別人的回答文喔。
不然搞 [斷頭文],只看不回應,下次被別人列入黑名單就不要怪人喔。

天線寶寶說再見啦~ ... 天線寶寶說再見啦~

迪西:「再見~ 再見~」

Otaku Culture Party 關心您 ...
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次
回覆時引用此帖
有 13 位會員向 getter 送花:
David722 (2007-09-20),hjd_richard (2007-09-27),jal0707 (2008-11-09),KL-iris (2008-11-05),locawen (2007-09-18),mary (2008-11-04),netboy (2007-09-15),rezard (2007-09-17),tch0625 (2009-06-11),theonlyone (2007-09-15),wangcolon (2009-02-22),猜謎人 (2007-09-15),羅迪 (2007-09-16)
感謝您發表一篇好文章
舊 2007-09-15, 10:55 PM   #2 (permalink)
榮譽會員
 
猜謎人 的頭像
榮譽勳章
UID - 14438
在線等級: 級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時
註冊日期: 2002-12-19
住址: 虎爛宮解籤詩處
文章: 18702
現金: 10109 金幣
資產: 2886912 金幣
預設

似乎重灌較快
__________________
http://i171.photobucket.com/albums/u287/sad_jellyfish/net-pic/s_zpsf91b1q3t.jpghttp://i171.photobucket.com/albums/u287/sad_jellyfish/gif/banner.gifhttp://i171.photobucket.com/albums/u287/sad_jellyfish/gif/kkk_zps3punatke.gif
猜謎人 目前離線  
送花文章: 1110, 收花文章: 16299 篇, 收花: 83322 次
回覆時引用此帖
舊 2007-09-15, 11:12 PM   #3 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765391 金幣
預設

引用:
作者: 猜謎人 查看文章
似乎重灌較快
怎麼跟我想的一樣ㄌ
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次
回覆時引用此帖
舊 2007-09-16, 04:46 PM   #4 (permalink)
列管會員
榮譽勳章
UID - 23815
在線等級: 級別:25 | 在線時長:738小時 | 升級還需:42小時級別:25 | 在線時長:738小時 | 升級還需:42小時級別:25 | 在線時長:738小時 | 升級還需:42小時級別:25 | 在線時長:738小時 | 升級還需:42小時級別:25 | 在線時長:738小時 | 升級還需:42小時
註冊日期: 2003-01-09
文章: 427
精華: 0
現金: 151210 金幣
資產: 151230 金幣
預設

http://img168.imageshack.us/img168/7703/kavaus2.gif
我是將原先開啟的"kava"用魔法兔子解除...就醬子而已
ps:令我納悶的事情是我未何明明重了毒
...卻完全沒有樓主所說的症狀
__________________
註冊會員多重帳號,列入管制名單。
abe686.abe686
abe686@pchome.com.tw


By 不飛
JeffreyIgnig 目前離線  
送花文章: 631, 收花文章: 59 篇, 收花: 192 次
回覆時引用此帖
舊 2007-09-16, 06:49 PM   #5 (permalink)
管理員
 
getter 的頭像
榮譽勳章
UID - 6433
在線等級: 級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時級別:96 | 在線時長:9733小時 | 升級還需:64小時
註冊日期: 2002-12-08
住址: 天線星球
文章: 8157
精華: 0
現金: 19955 金幣
資產: 765391 金幣
預設

1.沒有裝防毒軟體,那可是沒有感覺的。就算有裝防毒軟體未必都攔截的到,就算有攔截檔案也未竟相同。
2.此 kavo 病毒的相關檔案多以隱藏、系統屬性存在,也就是具備某種程度的隱藏不易發覺。
3.可以試著開啟檔案總管的檢視隱藏檔的功能看看如果仍不能檢視隱藏檔,表示確實被修感改與植入。
4.據友人私下透露此病毒有變種的樣子。
5.不同的 Windows 也有不同的狀況,如 XP 與 2000 就不同。
getter 目前離線  
送花文章: 37855, 收花文章: 6441 篇, 收花: 26052 次
回覆時引用此帖
向 getter 送花的會員:
rezard (2007-09-17)
感謝您發表一篇好文章
舊 2008-11-04, 11:06 AM   #6 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 312507
在線等級: 級別:3 | 在線時長:21小時 | 升級還需:11小時級別:3 | 在線時長:21小時 | 升級還需:11小時級別:3 | 在線時長:21小時 | 升級還需:11小時
註冊日期: 2008-10-28
文章: 54
精華: 0
現金: 98 金幣
資產: 98 金幣
Red face

請問大大:
yt8a.exe的病毒不知是否與此有關?
因為我在我的電腦中有發現該檔案, 在機碼中也有, 但是找不到kavo.exe相關的機碼或檔案. 只是在C:\ D:\ 下也都有autorun.inf 及 ntdelect.com
剛開始用德國小紅傘掃毒後, C/D槽都無法用滑鼠點兩下正常開啟.
後來刪掉yt8a.exe, 並去檢查機碼, 刪除相關的機碼後才ok

另外, 請問各位大大, 若覺得電腦似乎在向外傳送資料, 有沒有什麼指令或方式可以檢查傳送目的的IP呢?

謝謝大家.

Mary
mary 目前離線  
送花文章: 58, 收花文章: 18 篇, 收花: 19 次
回覆時引用此帖
舊 2008-11-04, 11:47 AM   #7 (permalink)
註冊會員
榮譽勳章

勳章總數
UID - 312507
在線等級: 級別:3 | 在線時長:21小時 | 升級還需:11小時級別:3 | 在線時長:21小時 | 升級還需:11小時級別:3 | 在線時長:21小時 | 升級還需:11小時
註冊日期: 2008-10-28
文章: 54
精華: 0
現金: 98 金幣
資產: 98 金幣
Talking kavo病毒解毒程式

除了魔法兔子, 網路上還有提供其kavo病毒之解毒程式, 大家可以參考
1. DelAutorun-Virus.bat
相關連結: http://ns2.ublink.org/phpbb/viewtopic.php?p=2072
2. EFix.exe
相關連結:http://reinfors.googlepages.com/main.html
網友分享病毒資訊: http://reinfors.googlepages.com/viruslist.html
3. kavo_killer.exe
相關連結:http://sx.cg2es.tnc.edu.tw/schools/antivirus/ (台南七股國小)
該網頁的下載只提供給校內, 但會提供官網連結

我個人目前清毒的方式是, 先用德國小紅傘掃毒.
再將各槽中的 autorun.inf 清除, 找到 autorun.inf 中對應的程式(ex:yt8a.exe), 將所有磁碟槽清掃一遍, 刪除這個執行檔.
再執行regedit, 清查機碼, 將yt8a.exe相關的機碼清除.

不知有沒有清乾淨, 不過現在系統看來還算正常. 尚在觀察中

Mary
mary 目前離線  
送花文章: 58, 收花文章: 18 篇, 收花: 19 次
回覆時引用此帖
發文 回覆



發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 05:37 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1