KAVO大變種 !!! 2ifetri.cmd KAVO總解法

a0987232166

轉至TWBBS.NET.TW


KAVO病毒所帶來的中毒症狀...
1.執行後即時通會莫名的關掉...且打不開..
2.當你開啟你的硬碟時..會以兩個視窗開啟..
3.你的硬碟會出現ntdelect.com和autorun.(早期)這兩個檔案
4.開機時有時會出現
kavo.exe,taso.exe,tavo.exe,avpo.exe,amvo.exe,mmvo.exe mnso.exe  應用程式錯誤...
5.隱藏選項被鎖住...
autorun.inf 內容
[AutoRun]
open=erdeIect.com
;shell\open=Open(&O)
shell\open\Command=erdeIect.com (這是讓硬碟"開啟"的時候執行病毒檔)
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=erdeIect.com (這是讓硬碟"檔案總管"的時候執行病毒檔)
這是之前的..這是這個病毒奸詐的地方
-------------------------------------------------
下面這個是變種的....不過指令一樣...
;5LqKdSls4k4ssa214rJs34HaaAp01oCkd4wl17aLirc3K482k3Jq4sDjdeo0Fl4lK3apilijd5L5kl25a329Z27isi9r
[AutoRun]
;Sr3weJpjlJofKU4Zl4Dor2kSfsK4olJKkf9fd74o4SwsKqj5w38sq5aAL2wa03la2we5w3aq4le2D008dq10LsSr4KiDi0kDk3L3ia4aD5seA
open=f.cmd
;sdl8awqdjaA9KssqSllK1aF2Sa0wkdJf3o34DZOrqiKronULKkLer97kC22wi3ded2sKL0qdDi2kka4w3i2d50Sk2LkelackkHif5osLA
shell\open\Command=f.cmd (這是讓硬碟"開啟"的時候執行病毒檔)
;kd3KmLZc1oLljkfra37irs7e3DawiL5Sra1il43o3aK1sd9k4iKa4dJqkdko02i94wi20AweDLld4IjJdF1awfCK3swDw245i49Lo5n6kes4a
shell\open\Default=1
;3alklD44i20sDq4eaDsLd2di1CwlcoLiisqAfdDU3HZ4jSaaki3wdw3dA3Klk8kqoaA5swkj73a8j0lqr5aA4kkJsSIailrrdi924S2L
shell\explore\Command=f.cmd(這是讓硬碟"檔案總管"的時候執行病毒檔)
;s5q42li7ASi3Cwdpkolrkck38l8r6a4s1i2ALw4aa2KFq5r20a3Lieeff0dsLwDaDKqJDs0rk2kSd3r19i9jdqlKJij0DK
以上是kavo典型的autorun指令...
open=檔名 Command=檔名 檔名可能不一樣(變種的就不一樣)
要看你磁碟那母病毒的檔名...
-------------------------------------------------
解決方法...
1.重新開機 按F8進入安全模式...
(記住進入安全模式之前請先下載這個)
修復隱藏選項...
http://item.slide.com/r/1/27/i/QL-Bd4svrz9PN7oS15NTrrSZIEDVACf0/
2.執行1.reg
3.打開隱藏選項....
4.打開regedit
刪掉
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
<kava>...
<tasa>...
<tava>...
<avpa>...
<amva>...
<mmva>...
<mnsa>...

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
<kava>...
<tasa>...
<tava>...
<avpa>...
<amva>...
<mmva>...
<mnsa>...

這些值...
5.接著刪掉...
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\kavo0.dll
                    kavo1~9.dll
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\tavo0.dll
                    tavo1~9.dll
C:\WINDOWS\system32\avpo.exe
C:\WINDOWS\system32\avpo0.dll
                    avpo1~9.dll
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
                    amvo1~9.dll
C:\WINDOWS\system32\mmvo.exe
C:\WINDOWS\system32\mmvo0.dll
                    mmvo1~9.dll
C:\Documents and Settings\使用者名稱\Local Settings\Temp
刪掉taso.exe,mnso.exe and 所有 dll檔
6.刪掉你所有硬碟 包括隨身牒的
(注意!!請不要直接開啟你的硬碟 請用你視窗上面那"資料夾"的功能打開 以免再次受到感染....)
autorun.inf
ntdelect.com----- 小寫的L
ntdeIect.com----- 大寫的i
ntde1ect.com
erdeIect.com
XAdeIect.com
nndelect.com
nsdelect.com
copetttt.com
ek.com
f.cmd
g2p3s.exe
8e9gmih.bat
lg.cmd
um.cmd
rn.exe
h.cmd
8h3hh3m.exe
bxuup9r.bat
2ifetri.cmd
(只要有以上其中一項 都請刪掉)
最後重新開機...
檢查一下有沒有重生..
P.S.記得關閉系統還原...
這樣大致上就解決了...
如有新的變種...本版將繼續更新.....