作者a22516795 (Asino)
看板AntiVirus
标题[中毒] KAVO系列 - j3ewro.exe
时间Wed Jul 30 00:08:07 2008
1.问题描述:
KAVO相关 还不知道有何影响 但是请求解毒方法
网路上有此病毒的发动过程
但是对电脑软体不是很行..
现在发现的作用只有停止C的搜索
我把查到的资料放在这边 希望有高手能帮忙解决
2.扫毒报告:
NOD32抓不到
版上面的EFIX只能抓到他的子档 砍掉之後效果还是在
3.系统辅助分析软体扫描报告:
Windows刚灌好主机板驱动程式
未更新
以下是我在网路上所搜寻到的资料 附上原网页
http://www.avpclub.ddns.info/discuz/viewthread.php?tid=12482
===================
完全变种的KAVO
另外不是klif.sys 而是
D:\WINDOWS\System32\drivers\tdi.sys
执行後生成
D:\WINDOWS\System32\j3ewro.exe
D:\WINDOWS\System32\jwedsfdo0~9.dll
在每个槽底下生成
nw0t1l0d.exe
autorun.inf
内容
;wqHZiKDLa0r3DpKkka9wDr3kd1A23k2L3jaKSD3405k05J1waK9w6salDDfSoLf58jdqd3l1kl9i7aiFl4alKreAeKwK
[AutoRun]
;fkeFjweoAiJ74AsLdKsj64HDlLAkKm2kdrocwSfKiasel1Dldloa90A4i1k02qaiKd75JIiKq03k94s324ip1osd3C0jAkZk4ilsSk2oL
open=nw0t1l0d.exe
;4A5lLa2Okj2w3a3w2kk0iirAssKir2Aws53k53aiskalL8rcDw7j1isa2AesSaKk8LSXljLSid3wr2qe4a27D5ql3lws80lkZJwqo7jia
shell\open\Command=nw0t1l0d.exe
;iiK5wioqja2L2wcDD0eD8aDpk37wf3oss
shell\open\Default=1
;32i7DKwwKr94AesdiLq92naJLsfls5A3kKwmqLeDADO3D7saii4s8lLK31a55olLrr1k3Dj0q1sj50wdkwiaL3oeairso42
shell\explore\Command=nw0t1l0d.exe
;daA2XiOwA491SDe2H23rKa5Zkdsf7AFiKw1DL28mik4i3slol5KqqiAf
载入登陆档
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<jvsoft> <D:\WINDOWS\System32\j3ewro.exe>
--
_|◣◢︿ ︿◣◢|_
/◥◥◥\﹨ ∕/◤◤◤\
◆ ▋● ● ▍| 博丽神社の巫女さん |▋ ● ●▍ ◆◆
◆║ ║▄▄▄║
| 博丽 灵梦 |║▄▄▄║
∥◆ ◆
◆║ ◢|Π|◣\| |/◢|Π|◣ ∥◆
║ ▲ ▲ Reimu Hakurei ψgbwind
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 59.124.2.237
1F:推 junorn:18035 07/30 00:12
2F:→ a22516795:用了他的方法 C槽的搜寻还是不能 07/30 00:22
3F:推 junorn:不太懂你的意思?C槽的搜寻不能是指? 07/30 00:29
4F:→ a22516795:在C槽底下 搜寻某些字串会找不到 其中大部分都是病毒名 07/30 00:30
5F:→ a22516795:我有测试在windows底下放入病毒名的空资料夹 07/30 00:31
6F:→ a22516795:全部都找不到 07/30 00:31
7F:推 junorn:还是不懂0rz,你是指用搜寻找不到病毒名吗? 07/30 00:31
在C槽底下 有这个档案 但是会搜寻不到 实际上它是存在的
搜寻不到的字串大部分都是病毒名称
例如 kavo,j3ewro
我在砍掉病毒之後 再windows底下再创了一个完全空白的kavo.exe
试试看能不能找 但是还是找不到
另外 在搜寻中 系统会非常不稳
搜索开始和搜索停止2个按钮会互相闪来闪去
※ 编辑: a22516795 来自: 59.124.2.237 (07/30 00:34)
8F:→ a22516795:这样说明可以吗? 我想把它改好 要怎麽改回来呢? 07/30 00:35
9F:→ a22516795:我先去重灌NOD32 这个病毒会让NOD32更新不能 07/30 00:36
10F:→ a22516795: NOD32重新安装後还是无法更新 07/30 00:43
11F:→ a22516795:在删除NOD32所在资料夹Eset 会发生无法读取来源 07/30 00:45
12F:→ a22516795:我现在想问 重灌後病毒还在不在? 07/30 00:51
13F:→ a22516795:根据前面的资料 这个病毒好像会互相感染 07/30 00:51
14F:→ a22516795:拜托 给我个解答吧 <(_ _)> 07/30 00:51
16F:→ a22516795: 现在又有新的情况 他开始往我电脑塞木马了Orz 07/30 01:17
17F:推 junorn:你确定那档案在吗?我这边看报告没有该档案... 07/30 01:19
18F:→ a22516795:还在 因为状况还是没有解决 07/30 01:19
19F:→ a22516795:重灌会解决吗? 会不会互相感染? 07/30 01:21
20F:→ a22516795:如果可以解决我就重灌吧 这样比较快 07/30 01:21
21F:推 junorn:我是没看到任何你说的档案所以我保持保留态度,你确定有的 07/30 01:23
22F:→ junorn:话就重灌吧,没看到autorun.inf应该没关系。 07/30 01:23
23F:→ a22516795:恩 感谢你那麽晚还给我答案 07/30 01:24
24F:→ lcjjaff:话说~A大你引用的文章XD似乎就是J老板写的耶XD 07/30 01:56
25F:→ lcjjaff:然後我觉得,搜寻那个是没有把搜寻隐藏档打勾@@a 07/30 01:57
26F:→ lcjjaff:这样去找,在windows or system32等重要系统党下的东西都 07/30 01:57
27F:→ lcjjaff:找不到, 07/30 01:57
28F:推 junorn:那不是我写的,不过样本是我发的 07/30 02:13
29F:→ a22516795:重灌完毕 没问题了 :D 07/30 13:59