求助 - KAVO 變種ubs.exe

[tonytcchou]

清不掉，求高手相助

對不起，我不會上傳檔案 就把他貼上

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 上午 01:16:00, on 2007/11/22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCTLCOM.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\tp4serv.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\IBMTOOLS\DRIVERS\HOTKEY\OSD\COMMON\TPHKMGR.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\Program Files\Trend Micro\Internet Security 2006\pccguide.exe
C:\Program Files\Trend Micro\Anti-Spam For OE\TMAS_OEMon.exe
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TMPFW.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\conime.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TMPROXY.EXE
C:\PROGRAM FILES\MAXTHON\MAXTHON.EXE
C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAM FILES\TREND MICRO\ANTI-SPAM FOR OE\TMAS_OE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\石吾明\桌面\HiJackThis.exe

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Mario Forever Toolbar Helper - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\IBMTOOLS\DRIVERS\HOTKEY\OSD\COMMON\TPHKMGR.EXE
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\IMKR6_1\imekrmig.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2006\pccguide.exe"
O4 - HKLM\..\Run: [OE] "C:\Program Files\Trend Micro\Anti-Spam For OE\TMAS_OEMon.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: 使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 全部使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 轉換成簡體中文(&S) - res://C:\WINDOWS\system32\tcscconv.dll/tosimp
O8 - Extra context menu item: 轉換成繁體中文(&T) - res://C:\WINDOWS\system32\tcscconv.dll/totrad
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: 建立行動最愛... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS..._3d/index.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1158504708713
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1159200453148
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

--
End of file - 7073 bytes

[disoniner]

http://tw.myblog.yahoo.com/shu-wei/a...rev=9&next=797
將kavo.exe病毒完整消滅？簡單又快速的方法

請參考該作者寫的小程式

[tonytcchou]

引用:

作者: disoniner

http://tw.myblog.yahoo.com/shu-wei/a...rev=9&next=797
將kavo.exe病毒完整消滅？簡單又快速的方法

請參考該作者寫的小程式

謝謝告之 但無用耶沒其他人有中嗎?

[plunderer]

1.
執行 System Repair Engineer
http://www.kztechs.com/sreng/download.html
"系統修復" => "高級修復" => "自動修復"

2.
重新開機, 在檔案總管 "資料夾選項" 內設成 "顯示所有檔案和資料夾 "

3.
在每個磁碟分區根目錄下找 autorun.inf, 若有一律刪除

4
在開機磁碟 (C: ) 根目錄下看有無 Ntdelect.com (注意! 不是 NTDETECT.COM) 有就刪除

[plunderer]

引用:

作者: bossben8

有沒有最新的解法

很遺憾的告訴你: 沒有
目前可見的專殺工具都不能完整清除, 因為變種太多了
老老實實按部就班 DIY 吧: 分析 => 修復 => 刪除

[古里特]

引用:

作者: plunderer

很遺憾的告訴你: 沒有
目前可見的專殺工具都不能完整清除, 因為變種太多了
老老實實按部就班 DIY 吧: 分析 => 修復 => 刪除

不知道大大有無見過一隻病毒叫做sos.exe的?
最近似乎滿流行的，但網路上可搜尋到的資源有點少
通常見到這隻sos.exe病毒的時候，也會見到一隻RXPMON.exe的病毒
目前只知道會透過硬碟傳輸而感染，問使用者也是一問三不知 orz
猜測可能是從大陸網頁過來的病毒，因為這些中病毒的使用者都是常瀏覽大陸網頁的


想問問大大有無處理過這種病毒?

[plunderer]

引用:

作者: 古里特

不知道大大有無見過一隻病毒叫做sos.exe的?
最近似乎滿流行的，但網路上可搜尋到的資源有點少
通常見到這隻sos.exe病毒的時候，也會見到一隻RXPMON.exe的病毒
目前只知道會透過硬碟傳輸而感染，問使用者也是一問三不知 orz
猜測可能是從大陸網頁過來的病毒，因為這些中病毒的使用者都是常瀏覽大陸網頁的


想問問大大有無處理過這種病毒?

病毒種類太多了, 不可能每種都遇過
除了破壞系統型病毒及感染其他程式型病毒需要重裝系統外, 其它"寄生"型 的木馬或後門, 絕對有辦法手動清除

我以前也對病毒研究及防毒軟體用心甚深, 但意義不大, 因為種類太多了, 不可能全部了解
時代進步, 觀念也要進步, 要以宏觀的態度來看, 意即不是針對個別病毒類型去想該如何防禦及清理, 而應該是思考如何維護系統正常, 及異常時如何修復

所以與其去了解病毒結構, 從何而來, 研究哪個防毒軟體好用, 不如多了解系統的運作狀況........病毒及防毒軟體種類族繁不及備載, 但大多數人用的系統卻是相同的

[古里特]

引用:

作者: plunderer

病毒種類太多了, 不可能每種都遇過
除了破壞系統型病毒及感染其他程式型病毒需要重裝系統外, 其它"寄生"型 的木馬或後門, 絕對有辦法手動清除

我以前也對病毒研究及防毒軟體用心甚深, 但意義不大, 因為種類太多了, 不可能全部了解
時代進步, 觀念也要進步, 要以宏觀的態度來看, 意即不是針對個別病毒類型去想該如何防禦及清理, 而應該是思考如何維護系統正常, 及異常時如何修復

所以與其去了解病毒結構, 從何而來, 研究哪個防毒軟體好用, 不如多了解系統的運作狀況........病毒及防毒軟體種類族繁不及備載, 但大多數人用的系統卻是相同的

因為我遇到的這些電腦幾乎都是感染這個病毒
但是發病症狀都稍微有些不太相同，可是卻也都有一種徵狀，那就是會無法開機
使用者都常常要求將資料備份下來，我卻發現似乎也會感染其他檔案
因為在備份資料或是放回資料的時候，常常會染感其他台電腦，我的電腦就是最好的例子

從我的立場去想，當然是希望使用者不要中病毒
然而卻是三不五時就中毒送過來，不外乎是跑大陸網頁中標居多
總不太可能要求那些老摳摳具備該有的防毒常識，他們也不太願意學習

這次遇到的好幾台電腦，到最後全部都無法開機了，也都只好全部重灌，
但偏偏重灌好+灌Office+設定好公司相關設定，沒三四個小時是不太可能的
常常被催被抱怨，每次電腦出問題都要好久才處理好
才會想要找尋解決這種病毒而不用重灌的技術


別問我為什麼不向這些高層主管解釋--解決一台電腦問題也是很花時間的QQ

[plunderer]

XPE + Ghost + HIPS 也許是你最好的選擇
一來省事, 二來病毒行為無所遁形

P.S
sos.exe 應該是 autorun 病毒的變種, 清除不難, 只是手續繁瑣

[Pichumax]

http://www.usbcleaner.cn/index1.htm

試試看吧
該程式有支援繁體中文