KAVO病毒解毒法
最近KAVO病毒橫行~身邊蠻多人中毒的,此病毒為一種木馬程式,這次風波連LAB的伺服器也不例外,本文以LAB主機中毒之經驗,提供一個解毒步驟與方法。
本LAB伺服器之KAVO病毒,經由查詢紀錄,得知病毒是透過某人的隨身碟中毒的
(小聲地偷偷的說....是阿宅同學....哈哈哈哈~~)
此病毒可以被McAfee最新病毒碼比對出找出,因此建議有使用McAfee的用戶請將預設找到威脅候的主要動作設定為"自動刪除檔案",次之為"拒絕存取檔案",以下是解毒方法步驟參考:
1. 首先將系統的自動還原功能關閉
[...重新開機進入安全模式...]
2. 此病毒有可能將系統的隱藏檔功能封鎖,病毒本身檔案是隱藏檔,因此必須打開系統隱藏檔顯示功能。
2.1. 開始->執行->regedit 開啟登錄檔修改器
2.2. 找到[HKEY_LOCAL_MACHI\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\
\Folder\Hidden\SHOWALL]
2.3. 找到Checkedvalue參數,將參數值設定為1
3. 將病毒從啟動程式中移除
3.1. 重複步驟2.1
3.2
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
3.3 將名稱或內容含有kavo或kava的啟動程式全部刪除。
如:kavo.exe
如:kava"=C:\WINDOWS\system32\kavo.exe
3.4 刪除以下的資料與值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\ShellExecuteHooks]
"B058B02A-AC93-4FBA-900B-FA44D9B92805"=C:\WINDOWS\fly32.dll
4. 接著真正要刪除病毒檔案,此病毒會自動建立以下檔案,我們手動刪除
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kav0.dll
C:\WINDOWS\system32\kav1.dll
(你可以用檔案總管搜尋[磁碟機C]中的檔案kavo.*)
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf (看你有幾個磁區,根目錄底下的autorun.inf全部刪除)
C:\ntdelect.com (看你有幾個磁區,根目錄底下的ntdelect.com全部刪除)
(P.S 注意:是小寫的ntdelect.com不是大寫的NTDETECT.COM,刪錯會有嚴重後果)
5. 恭喜你,清除病毒。
但是別高興太早,趕快更新你的防毒軟體病毒碼以及版本,完整清除瀏覽器的暫存檔案及cookie,接著連上微軟網站執行系統更新,將修補漏洞程式安裝起來。然後再次使用防毒軟體執行一次完整的掃描看看。
-------kavo病毒的資料-------
1. 傳輸途徑:
a. USB隨身碟,利用隨身碟中的autorun.inf檔案進行傳播動作。
b. 好友的MSN所傳來的不明連結
2. 中毒跡象:
a. 無法看見系統隱藏檔案及資料夾,且無法更改開啟顯示隱藏檔案及資料夾的功能
b. 開啟資料夾選項會另外開啟新視窗
c. 無法正常開啟磁碟機C,D.....
d. 出現kavo.exe錯誤的警告框
------------------------------
![[Looking for....]](http://3.bp.blogspot.com/_7xjIPe6Pzss/SNOGCpXzdCI/AAAAAAAAFCc/WKN36GXzjf0/S150/IMG_9235.JPG)
謝謝你的分享,奮戰了4天終於解決了。
回覆刪除補述一下,不知道為什麼我一直無法找到kavo.exe,有類似情況的人記得把“資料夾選項”“檢視”中“隱藏保護的作業系統檔案”的勾勾去掉。
恭喜你解決病毒了,真是太好了
回覆刪除也謝謝你提供的方法:D
真是感謝作者的善心完整解說!!
回覆刪除詳細的記載及說明解毒流程!!
感恩唷!!
請問,做完第2.3個動作後,第3個動作'將病毒從啟動程式中移除'這怎麼做,從哪邊移除? 可以麻煩你解釋一下嗎?謝謝!
回覆刪除to: Left_town
回覆刪除關於第三個步驟
是修改系統登錄檔案
進入修改的方式是
開始 -> 執行 -> regedit -> Enter
進入編輯視窗之後
按照第三步驟的小節[3.1],[3.2],[3.3]
找到符合的登錄碼,並且刪除之
即可防止病毒從開機程式當中啟動
希望對你有幫助:D
good luck
感恩
回覆刪除1. 首先將系統的自動還原功能關閉
回覆刪除[...重新開機進入安全模式...]
第一步完全不會, 不知道要在哪按..
能教一下嗎...
承上, 我找不到regedit,我一按確定,他就彈了一個"你的系統管理員已停用登錄編輯" << 這樣... 怎麼辦?
回覆刪除1. 首先將系統的自動還原功能關閉
回覆刪除步驟: 在桌面上找到"我的電腦"圖示,在此圖示上按滑鼠右鍵選擇"內容"
找到"系統保護" -> 自動環原點 -> 把所有磁碟機打勾給取消掉
[...重新開機進入安全模式...]
重新開機時候,在進入XP畫面之前,一直按鍵盤上的"F8"按鈕,
會出現系統開機選單,在選擇安全模式進入XP即可
try it~ good luck
進入了安全模式, 之後去到桌面都是可以的, 可是就是找不到regedit
回覆刪除確認regedit.exe是否在C:\Windows\底下
回覆刪除若無regedit.exe,請到XP光碟裡面找
還有"我的電腦"右鍵"內容"→"進階"→"環境變數"→變數為"Path"的有沒有"%SystemRoot%;"
不是"%SystemRoot%\system32;"
%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;
回覆刪除這樣
確認regedit.exe是否在C:\Windows\底下<<怎樣確認..?
回覆刪除確認regedit.exe是不是存在C磁碟機的windows資料夾裡面即可...XD
回覆刪除有.. 之後呢..?
回覆刪除我想問一下, 如果解了毒, 資料會全部不見嗎...?
放心~資料不會不見 :P
回覆刪除喔... 我再試試看
回覆刪除就算找到regedit.exe ... 也開不了-.-
回覆刪除"你的系統管理員已停用登錄編輯" 還是這樣說...