作者a22516795 (Asino)
看板AntiVirus
標題[中毒] KAVO系列 - j3ewro.exe
時間Wed Jul 30 00:08:07 2008
1.問題描述:
KAVO相關 還不知道有何影響 但是請求解毒方法
網路上有此病毒的發動過程
但是對電腦軟體不是很行..
現在發現的作用只有停止C的搜索
我把查到的資料放在這邊 希望有高手能幫忙解決
2.掃毒報告:
NOD32抓不到
版上面的EFIX只能抓到他的子檔 砍掉之後效果還是在
3.系統輔助分析軟體掃描報告:
Windows剛灌好主機板驅動程式
未更新
以下是我在網路上所搜尋到的資料 附上原網頁
http://www.avpclub.ddns.info/discuz/viewthread.php?tid=12482
===================
完全變種的KAVO
另外不是klif.sys 而是
D:\WINDOWS\System32\drivers\tdi.sys
執行後生成
D:\WINDOWS\System32\j3ewro.exe
D:\WINDOWS\System32\jwedsfdo0~9.dll
在每個槽底下生成
nw0t1l0d.exe
autorun.inf
內容
;wqHZiKDLa0r3DpKkka9wDr3kd1A23k2L3jaKSD3405k05J1waK9w6salDDfSoLf58jdqd3l1kl9i7aiFl4alKreAeKwK
[AutoRun]
;fkeFjweoAiJ74AsLdKsj64HDlLAkKm2kdrocwSfKiasel1Dldloa90A4i1k02qaiKd75JIiKq03k94s324ip1osd3C0jAkZk4ilsSk2oL
open=nw0t1l0d.exe
;4A5lLa2Okj2w3a3w2kk0iirAssKir2Aws53k53aiskalL8rcDw7j1isa2AesSaKk8LSXljLSid3wr2qe4a27D5ql3lws80lkZJwqo7jia
shell\open\Command=nw0t1l0d.exe
;iiK5wioqja2L2wcDD0eD8aDpk37wf3oss
shell\open\Default=1
;32i7DKwwKr94AesdiLq92naJLsfls5A3kKwmqLeDADO3D7saii4s8lLK31a55olLrr1k3Dj0q1sj50wdkwiaL3oeairso42
shell\explore\Command=nw0t1l0d.exe
;daA2XiOwA491SDe2H23rKa5Zkdsf7AFiKw1DL28mik4i3slol5KqqiAf
載入登陸檔
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
<jvsoft> <D:\WINDOWS\System32\j3ewro.exe>
--
_|◣◢︿ ︿◣◢|_
/◥◥◥\﹨ ∕/◤◤◤\
◆ ▋● ● ▍| 博麗神社の巫女さん |▋ ● ●▍ ◆◆
◆║ ║▄▄▄║
| 博麗 靈夢 |║▄▄▄║
∥◆ ◆
◆║ ◢|Π|◣\| |/◢|Π|◣ ∥◆
║ ▲ ▲ Reimu Hakurei ψgbwind
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.124.2.237
1F:推 junorn:18035 07/30 00:12
2F:→ a22516795:用了他的方法 C槽的搜尋還是不能 07/30 00:22
3F:推 junorn:不太懂你的意思?C槽的搜尋不能是指? 07/30 00:29
4F:→ a22516795:在C槽底下 搜尋某些字串會找不到 其中大部分都是病毒名 07/30 00:30
5F:→ a22516795:我有測試在windows底下放入病毒名的空資料夾 07/30 00:31
6F:→ a22516795:全部都找不到 07/30 00:31
7F:推 junorn:還是不懂0rz,你是指用搜尋找不到病毒名嗎? 07/30 00:31
在C槽底下 有這個檔案 但是會搜尋不到 實際上它是存在的
搜尋不到的字串大部分都是病毒名稱
例如 kavo,j3ewro
我在砍掉病毒之後 再windows底下再創了一個完全空白的kavo.exe
試試看能不能找 但是還是找不到
另外 在搜尋中 系統會非常不穩
搜索開始和搜索停止2個按鈕會互相閃來閃去
※ 編輯: a22516795 來自: 59.124.2.237 (07/30 00:34)
8F:→ a22516795:這樣說明可以嗎? 我想把它改好 要怎麼改回來呢? 07/30 00:35
9F:→ a22516795:我先去重灌NOD32 這個病毒會讓NOD32更新不能 07/30 00:36
10F:→ a22516795: NOD32重新安裝後還是無法更新 07/30 00:43
11F:→ a22516795:在刪除NOD32所在資料夾Eset 會發生無法讀取來源 07/30 00:45
12F:→ a22516795:我現在想問 重灌後病毒還在不在? 07/30 00:51
13F:→ a22516795:根據前面的資料 這個病毒好像會互相感染 07/30 00:51
14F:→ a22516795:拜託 給我個解答吧 <(_ _)> 07/30 00:51
16F:→ a22516795: 現在又有新的情況 他開始往我電腦塞木馬了Orz 07/30 01:17
17F:推 junorn:你確定那檔案在嗎?我這邊看報告沒有該檔案... 07/30 01:19
18F:→ a22516795:還在 因為狀況還是沒有解決 07/30 01:19
19F:→ a22516795:重灌會解決嗎? 會不會互相感染? 07/30 01:21
20F:→ a22516795:如果可以解決我就重灌吧 這樣比較快 07/30 01:21
21F:推 junorn:我是沒看到任何你說的檔案所以我保持保留態度,你確定有的 07/30 01:23
22F:→ junorn:話就重灌吧,沒看到autorun.inf應該沒關係。 07/30 01:23
23F:→ a22516795:恩 感謝妳那麼晚還給我答案 07/30 01:24
24F:→ lcjjaff:話說~A大你引用的文章XD似乎就是J老闆寫的耶XD 07/30 01:56
25F:→ lcjjaff:然後我覺得,搜尋那個是沒有把搜尋隱藏檔打勾@@a 07/30 01:57
26F:→ lcjjaff:這樣去找,在windows or system32等重要系統黨下的東西都 07/30 01:57
27F:→ lcjjaff:找不到, 07/30 01:57
28F:推 junorn:那不是我寫的,不過樣本是我發的 07/30 02:13
29F:→ a22516795:重灌完畢 沒問題了 :D 07/30 13:59