Delete "kavo" by yourself.

鬼〃娃娃°

〔以下文章可能在目前非完整版本，但全根據我現有蒐集的資料所提供〕
篇一　為 Kavo 病毒感染及其合併其他病毒共同感染的狀況做解說
篇二　為手動刪除病毒的方法。
------------------------------------------------------------------------------------------
開場白，我不會，所以我們直接切入主題。

從本年度八月初開始，有隻某 K 病毒（當然不是我）漸漸的蔓延開來了，
在論壇、知識minus等各地皆聽見有人出現這個問題

這某 K 病毒經歷兩三個月來的吸收進化，入侵多台電腦後也升到了等級 10，但由於某 K 殺手（就是我＝///＝）在遇到這隻病毒時都會檢查報表，因此也蒐集了不少資料。幾經一番努力整理，也算是找出了「Kavo」真正出現的產物以及「真正的延伸產物」，不過這種報告已經有很多人整理過了，因此我不一定寫的比他多，但是我絕對是針對有 kavo 的「患者」所提供的報告製作的。

P.S. 本人講究「慢慢來˙比較快（絕對非AD）」，並且推廣使用者學習手動刪除的方式處理自己的電腦，所以有點排斥關於「Kav0_ki11er」或者「de1kako」（以上絕對無誤-毆-）這類的軟體，畢竟這種病毒是會不斷的進化，經由砍殺無數使用者的 BOSS 電腦來達到升級的效果，難道每次有變種就得重新找程式？同樣也是因為這些人推說「隨身碟病毒只要抓XXX就能解決了」，結果就把 KAVO 當做隨身碟病毒，這些在知識minus 誤導大眾的人我實在不認同

-----------
抱怨完畢，回主題。


　　　　　　第一話　　　　Kavo　大魔王入侵

Generally speak , 當電腦有 kavo 時，一定會在某些地方找出以下的東西。
開始 > 執行 > regedit 進入登錄檔找出



這兩個地方有可能會出現「Kava　　　　REG_SZ　　　　　　　　C:\WINDOWS\SYSTEM32\kavo.exe」


如果有的話，基本上你已經中了 level 1 的 kavo 了，這時候繼續往下檢查。


然後右邊檢查是否有以下的資料，非全部都有（目前搜集到的就只有下面-待補）
c:\windows\Debug\***********.dll (亂碼)
c:\windows\help\**************.dll (亂碼)
c:\windows\fly32.dll
c:\windows\kavo0.dll~kavo9.dll
c:\windows\poor32.dll
（以上皆可能縮減為 ---.dll 不附路徑）

或者除了
{AEB6717E-7E19-11d0-97EE-00C04FD91972} -- shell32.dll
這個以外其餘都是有問題的可能
（當然有些並非是問題檔，建議刪除前先檢查，儘管非 shell32 以外放這都很可疑）

要是出現上面的資料，代表 kavo 進化到等級 2 了，這時候可能會造成「隱藏檔案設定錯誤」（圖片搜尋中），這算是 kavo 的隱藏方式，為了不讓使用者搜尋到成為隱藏檔的主要檔案，因此特別在這掛(hook)一個 dll 檔阻止使用者開啟隱藏檔進而發現病毒，不過說實在的這點算是杞人憂天。只會玩遊戲的使用者可能連怎麼開啟隱藏檔都不知道，然而會檢查的人甚至不用開啟隱藏檔就可以知道怎麼刪除。

接下來還有一個重點問題所在，就是當你開啟「磁碟槽」時，會要求你選擇一個程式來啟動。（如圖，求最正確的），但若使用檔案總管或者右鍵開起則不會出現這個問題，僅雙鍵開起才會有這個問題。



若是如此，代表你的電腦真的有問題了，這隻 kavo 已經是等級 4 的病毒。其原因為在磁碟槽的主目錄下，帶有兩個檔案，分別為「autorun.inf」以及「ntdelect.com」，我特地放大讓大家看清楚，避免大家搞錯檔案名稱。至於其生成點，則是只要有硬碟連接都會被寫入。（從A: ∼ Z: ，你使用多少、分割多少，他就寫入多少）

autorun.inf 的內容
[AutoRun]
open=ntdelect.com
;shellopen=Open(&O)
shellopenCommand=ntdelect.com
shellopenDefault=1
;shellexplore=Manager(&X)
shellexploreCommand=ntdelect.com

到此，都算是早期 kavo ，也就是大約在 9 月底至十月中最常出現的 KAVO 類型，這時候也有人做出工具了，但同上所說，我要追求的不只是工具專殺，還要讓使用者知道「該怎麼自己殺」。廢話持續不多說，我上述說，這隻 KAVO 是會打倒你的電腦以追求升級進化，所以絕對不會就此善罷甘休。到了目前 11 月左右，開始出現了與 kavo 一起殘害使用者電腦已達到雙倍升級效果的病毒出現了，難道這是 kavo 新點的分身技能？抑或是 kavo 徵團組隊吃王團呢？ ... 續待


　　　　　第二話　　　　　與 Taso 的侵襲


在經過一段 kavo 風波後，又開始有人發問「我的及時通怎麼打不開」、「◎、電腦玩遊戲 LAG 好嚴重，到底怎麼了？」，諸如此類新的問題開始浮現。但同樣的經由這些受害者提供的報告，看完後仍發現其實也有 kavo 在裡面。但是與原版 kavo 不同的則是出現了新玩意，該玩意的名稱叫做「taso」（其實我好像蠻早之前有見過這隻，不過現在又是新種），這隻 taso 是造成除了 kavo 外最新產生問題的根源。

到底 taso 在電腦裡修改了什麼？老實說跟 kavo 差不多，同樣的地方，同樣的方式。在老地方掛著 tasa 的值與資料。
「tasa　　　　REG_SZ　　　　　　　　C:\Documents and Setting\administrator\Local Settings\temp\taso.exe」





是的，跟 kavo 聯手出擊的小病毒躲在 temp 資料夾之下。有時候常常就會出現 taso.exe 錯誤、出現 命令提示字元 視窗等。至於他會產生的檔案，目前只知道 taso0.dll~taso9.dll ，這是目前僅有的資料（太少人給我 taso 的報告）。以上為近日來 taso 的資料。

其餘 sxs.exe , usb.exe …等非上述兩者都不能說是 kavo 原本變種出來的病毒，在我看過的 SREng 報表中只有上面 taso 才是緊跟著 kavo 跑的病毒。當然資料可能也會有錯誤，希望大家若可以也盡量提供可能的資訊或報表，好修補闕漏。

接下來進入到刪除的介紹。




要解決 KAVO , 最簡單的方式就是從該生成物下手，其實不論是 KAVO 或者其他木馬皆同（但真正的病毒就沒這麼簡單了），對症下藥才是真正解決的方式。而這也就是做出專殺工具還必須不斷更新的一個因素，要是其生成稍做改變，專殺工具就得整個改變，也因此我才比較喜歡直接手動解，畢竟要做專殺還是得知道要從哪裡殺。

【使用工具】
regedit.exe (毆)
OTMoveIt
PowerRmv
CCleaner

【開始介紹】
從 KAVO 生成區域刪除的重點，第一是「機碼」，也就是 regedit 內的資料。上面我也說過 KAVO 會從哪些地方下手，也可能產生什麼資料。該怎麼來，就怎麼去，他生成，我們就刪。以下步驟其實可以偷撿步，但是還是先按照正統的來。


執行以下步驟前請先關閉系統還原。
執行以下步驟建議使用「安全模式」。

第一步
將植入登錄檔的資料刪除。老步驟：
開始 > 執行 > regedit

將右邊有關 [kava] [taso] 的資料直接刪除，留登錄檔一個乾淨的空間(笑)。
kava　　　 REG_SZ　　　　　　　　C:\WINDOWSSYSTEM32\kavo.exe
tasa　　　　REG_SZ　　　　　　　　C:\Documents and Setting\administrator\Local Settings\temp\taso.exe





然後找第二個地方， ShellExecuteHooks 這裡，把資料刪除，老實說若是正常的狀況，應該一刪除又繼續重生。若真為如此暫時先不要理會，因為這是當木馬執行時，保護自己的功能之一，避免自身的程序被刪除造成無法執行，更好的說法就是求生。


第二步
接下來則是直接使用工具刪除生成的病毒檔。統計的結果，應該刪除的有以下檔案

C:\windows\system32\kavo.exe
C:\windows\kavo*.dll (* = 0~9)
C:\autorun.inf (該檔案存在於任何硬碟之下，有幾個硬碟就寫入幾個)
C:\ntdelect.com (該檔案存在於任何硬碟之下，有幾個硬碟就寫入幾個)
C:\Documents and Settings\administrator\Local Settings\Temp\taso.exe
C:\Documents and Settings\administrator\Local Settings\Temp\taso0.dll

至於其他還可能有 dll 檔案，這必須靠其他方法（例如報表）來找，也就是在 ShellExecuteHooks 所寫入的那些機碼，要是不知道名字或者該不該刪除的話，也可以到任何搜尋網站上直接將整串資料打上去，絕大多數都會有資料出現（例如 AEB6717E-7E19-11d0-97EE-00C04FD91972 打上去絕多數可以知道這個資料是什麼東西）。

建議的方法是使用一些協助工具，附件裡有「OTMoveIt」、「Power Remove」、「Unlocker」這些協助程式。該怎麼刪除若需要我再貼教學，基本上這些都是中文的東西，應該要學會自己用了，OTMoveIt 大家使用上可能比較有疑慮，第二個是常聽的「費爾強力木馬專殺」，第三個「解鎖」也常見，用這些工具來刪除上面說的檔案會方便些。

-------------- By Kerash , 資料未完整 , 暫時禁止轉載 ---------------------

事後清除工具：
CCleaner 官方網站
Unlocker 官方網站
OTMoveIt 直接載點
Power Remove(費爾官方) >> 清毒教學 >> 手動清除 .... 方法 >> 裡面有 zip 載點

devil9999s

標題繞起英文來了…　寫的好多啊…放圖真感動Ｔ＿Ｔ