資安論壇

這幾天幫客戶解毒時發現,KAVO病毒變種了.
原本會在磁碟中產生的ntdelect.com檔,目前已變成ntdeIect.com了,所以目前的幾支清除程式都無法自動清除掉此檔.需以手動方式來解決.

移除工具
http://dungun.blogspot.com

不知你是使用什麼樣的手動方式來解決...（可否分享一下，我目前還是用抑制的方式處理），早上有送樣本到virustatol發現沒有機家偵測到新的變種（32家中只有8家）

virustotal掃描樣本的結果：ntdeiect.com、autorun.inf

我今早也有遇到，還想辦法把樣本留下了！那個autorun.inf中的內容跟先前kavo的類似只是內容從ntdelect.com-->ntdeiect.com



比較有疑問的是那個ntdeiect.com的內容...我目前也還沒有解讀出來.！



還是有誰有想要那個樣本試試...?請發msg給我！^^"

我也是看到這篇後去古歌找的，沒想到馬上有人寫出移除工具，所以就把它貼過來
我目前尚未接到中毒訊息，也沒樣本，所以我也還沒試過
那個blog的語係還好啦！雖不是英文，但重要的部份有看懂
如同你說的是exe檔，所以就自行針酌囉！
如果你解讀出來麻煩分享一下它到底是做什麼動作，可用否?

我才剛寫完今天搏鬥的過程，朋友就在TREND找到手動解毒的方式了！（VIRUSTOTAL沒有TREND)

TREND解毒方式：http://tinyurl.com/2cruy5

這病毒我前陣子在學校主機有看到
但是忘記保留樣本就把它給宰了
不過她好像有出現INFO.exe這類的附加檔
然後再一個偽裝成資源回收筒
只是我不確定

目前kavo，與taso病毒，與autorun.inf、ntdelect.com、ntdeIect.com，小弟所用的方式都在安全模式下使用CMD命令attrib -a -s -h -r 去刪除。清除Regedit後，再更改Regedit值恢復不能顯示隱藏檔問題。有大大寫出Kavo_killer程式可以刪除以及恢復隱藏檔問題。通常我都先使用手動清除後，再執行此程式做最後處理，發現在XP系統下都能清除乾淨(還原要關掉)，但是小弟目前碰到最頭痛的問題是，2K在系統下有些無法完全清除，奇怪的是手動清除後，在使用防毒軟體(symantec)手動掃瞄，都不會發現病毒，但是即時防護都會跳出ubs.exe或ubs[1].exe或wincab.sys病毒已隔離。實在不知道到底該怎們處理才好∼

這個病毒已經讓我們這些資訊人員留下深深的痛，目前知名的防毒軟體似乎還無根除與預防方法，微軟漏洞修補是否還無法處理此問題(感覺上是系統漏洞問題)

何時才能脫離這病毒的折磨∼∼∼= ="

我遇到的也是2k...

給你建議把2k所有會放暫存temp...ie的cache的地方都清乾淨，然後透過一些軟體sreng...等，把相關機碼都檢查一遍...

最後恢復檔案檢視隱藏檔的功能後，更新病毒碼做一次全系統掃描...（防毒軟體跟掃惡意程式的都用）

原則上應該可以解決...我去找過2k對於登錄檔的權限上跟xp有些許不同...

所以你要找照真的帶毒的檔案（可能藏在那個temp下的資料夾中...）

我這陣子的小小想法...^^共勉之（不然就是用建立空資料夾的方式先抑制吧！）

請務必「確實」做到以下步驟，否則病毒一定會重覆產生：
1.重新開機進入安全模式
2.插入所有你用到的usb隨身碟，並確定電腦能抓取到
3.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)
4.開始 -> 執行 -> 輸入 cmd -> 確定 -> 輸入 taskkill /f /im explorer.exe -> 確定 -> 再輸入一次 explorer.exe
5.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)
6.開始 -> 執行 -> 輸入 regedit ->找到以下機碼：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
點 SHOWALL，將 "CheckedValue"=dword:00000000 數值改為 1
7.找尋以下機碼：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
直接刪除 MountPoints2
8.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)
9.進入我的電腦 -> 上方工具列的工具 -> 資料夾選項 -> 檢視 -> 取消「隱藏保護的作業系統檔案」及點選「隱藏所有檔案和資料夾」 -> 確定
10.開始 -> 執行 -> 輸入 cmd -> 輸入 del /f /q %windir%\system32\kav*.* 按enter
11.上述步驟執行完畢後輸入 cd %userprofile%"local settings" 按 enter -> 輸入 rd /s /q temp 按enter
12.以 explorer 指令開啟磁碟區，如： explorer c: 、explorer d:(以此類推，看你有幾個磁碟區，包含隨身碟，千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區)
13.刪除所有磁碟區的 autorun.inf 、 ntdelect.com、 ntdeI(此為大寫的 i)ect.com、 auto.exe、 sos.exe(有些是變種的檔名，沒有就沒有，有就刪)
14.開始 -> 執行 -> 輸入 msconfig -> 到「啟動」頁面 -> 取消 kava、tasa -> 大功告成，重新開機
15.在防火牆將以下ip封鎖(這個病毒是透過這些ip來做持續更新)：
60.169.0.182 ~ 60.169.0.188 尤其 60.169.0.185 一定要封鎖(不會使用防火牆，請自行研究)
上述步驟一定可以完整清除Virus.Packed,Win32.NSAnti.r (卡巴斯基判定 KAVO.exe、ntdelect.com、autorun.inf 的病毒名稱)
因此這個病毒的刪除重點：
1.就是explorer.exe 要先被停用再啟用，因為會有一隻 kavoX.dll 被 explorer.exe 調用
2.不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)，因為會觸發autorun.inf 呼叫 ntdelect.com，病毒行為會一再重覆執行
3.將 60.169.0.182 ~ 60.169.0.188 IP封鎖，尤其是 60.169.0.185，這是它的更新來源
請確定一定要依照我的步驟確定做完，並請回報是否解決。

新版本還會洗掉登錄的SHOWALL, 造成使用者無法修改鍵值的問題,
原本透過「不顯示隱藏檔」跟相反的NOHIDDEN還可以看到隱藏檔,
現在也看不了…

還有樓上沒必要一直重複貼這種東西,
我並不認為那些資料是來這裡的人所樂意看到的.

你有這樣的想法，的確其他人也會有，不過我倒認為上防毒軟體求助的人，都只在乎是否能「刪除這一次」的中毒事件，然後接著一次又一次的中毒，一次又一次的求助。坊間流傳的解毒工具，也只是看到什麼殺什麼的的批次檔。目前在各大論壇指導求助者刪除病毒的人，有把握對求助者說，經過他的指導絕對不會再中相同的病毒嗎？想必沒人敢這樣說，因為只單純提供在網路上隨手可得的解毒工作的人太多了，問他們某某病毒的完全入侵手法是什麼，一問三不知，這樣才是不負責任的態度，工具人人會用，懂一點電腦技術的人就會修改。論壇不是只有求助的功能，更重要的是知識傳播的功能。如果你不認為這個病毒的手法如我所寫的，那就自己來執行看看，畢竟我能告訴你，我執行這個病毒超過50次，甚至對它的手法瞭若指掌

沒錯！一定要刪除C:\Documents and Settings\底下的網頁暫存檔裡面的檔案，不過前提是已經把不能顯示隱藏檔問題解除，KAVO_Killer.exe這隻程式可解決此問題，不過到底ubs.exe、wincab.sys與KAVO病毒是否相關，為什們XP能清除，但是有些2K的電腦就會發生這兩個ubs.exe或wincab.sys被隔離，手動刪除隔離檔案後，還是會再跳出。
在2K系統下有時就非得再使用一些專門掃木馬的輔助軟體去清除，耗費相當多時間、精神。

60.169.0.182 ~ 60.169.0.188 IP封鎖，尤其是 60.169.0.185。很好奇這幾個IP來自何處？大陸嗎？？

使用這支程式kavoremoval.exe 清除kavo病毒時,發現並沒有清除掉system32/kavo1.dll 這個檔案! 不知各位使用的經驗如何!

實際用過後不如手動的乾淨
對該程式有問題就去問原作著吧