KAVO的說明及快速解法

轉貼自: 「怪貓」的部落格
http://tw.myblog.yahoo.com/jw!ljyxR6.BFU.mrG8YGw--/article?mid=107&sc=1

的說明及快速解法(也可以解決C、D、E、F槽不能開的問題)
分類：資訊安全
2007/08/31 09:55
KAVO.病毒說

它會在你的所有磁碟機中的根目錄中產生4個檔案
c:\「autorun.inf(自動執行檔) 及 ntdelect.com(kavo病毒)」
這2個檔案的功能是一直複製自己到別的磁碟中，只要是磁碟裝置就會被變成傳染媒介。

c:\windows\system32\「kavo.exe 及 kavo0.dll」
這2個檔案的功能是將你的檢視隱藏檔的功能給鎖起來。(也就是無法檢視隱藏檔)
另一個動作是，將病毒檔複製到→接上電腦的磁碟裝置(如隨身碟)

▲檢查方法：在左下角按「開始」→「執行」→輸入「磁碟機代碼:\autorun.inf」按下確定，有開出記事本就要注意了！
open=ntdelect.com (在open後面就是病毒檔名，也就是一開始要執行的檔案)

★：千萬要小心不要刪到系統碟底下的「ntdetect.com」刪到之後將會不能開機，這隻病毒故意取這個名字只有差一個字所以要小心(已經有好幾個人刪錯檔了！)。
ntdelect.com 這才是病毒檔；ntdetect.com 這是系統開機會用到的檔案
(刪錯的話請將硬碟拆到別台電腦再把這個檔案拷回來吧)

------------------------------------- 2007/11/05開放下載-------------------------------------
這是給XP用的解法：
快速解法下載：
載點：「http://www.zshare.net/download/4730003dd50c4b/」 「http://www.zshare.net/download/566658227053cb/」(12/16更新)★：第一次點進去會開廣告出來，之後再點一次就可以下載了(畢竟他們也是要生存的)。
解壓縮後照裡面的說明操作就完成解毒及修復所有的問題了！『快速又有效』
------------------------------------- 2007/11/05開放下載-------------------------------------

■：最後將你的防毒軟體的病毒碼更新到最新，再做一次全系統的掃瞄，會更完整。

★注意：你的隨身碟現可能是這隻病毒的傳染媒體，請參考下面的安全的操作方法來使用「隨身碟、數位相機、手機、記憶卡」(只要會在電腦產生一個磁碟代號的裝置都可能會中kavo)
隨身碟病毒的處理可以參考針對目前木馬病毒預防措施！ ！

手動製作「解除kavo檔」：
請將「分隔線」中的資資、複製起來貼到「記事本」另存新檔，存成「del-kavo.bat」的檔案就好了。
如系統是 Win2K或是XP是家用版的話請用「工作管理員」先將「explorer.exe」給結束工作後再執行「del-kavo.bat」就完成解毒了。
---------------------------分隔線---------------------------@echo off
echo 開始解除kavo木馬病毒，請按下任意鍵...
pause >nul 2>nul
@set A=C D E F G H I J K L M N O P Q R S T U V W X Y Z
@set T=這個資料夾是用來防病毒的，所以故意取跟病毒的檔名一樣，這樣就能防止病毒寫入！「請勿刪除！」，近期發現部份軟體會將「AutoRun.inf」的資料夾給刪除掉，請隨時注意這個資料夾是否存在。 怪貓...
start /wait taskkill /f /im explorer.exe
cls
echo.
rem 刪除登錄檔中KAVO病毒的起動值
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v "kava" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "tasa" /f >nul 2>nul
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "mnsa" /f >nul 2>nul
echo.
rem 刪除個磁碟中的autorun.inf及ntdelect.com的病毒檔，並建立同名的資料夾，用以防止病毒寫入，屬性改成「唯讀、隱藏、系統」
for %%x in (%A%) do (
@if exist %%x:\autorun.inf attrib -r -s -h -a %%x:\autorun.inf >nul 2>nul
@del %%x:\autorun.inf /q /f >nul 2>nul
@if exist %%x:\ntdelect.com attrib -r -s -h -a %%x:\ntdelect.com >nul 2>nul
@del %%x:\ntdelect.com /q /f >nul 2>nul
@if exist %%x:\ntdeIect.com attrib -r -s -h -a %%x:\ntdeIect.com >nul 2>nul
@del %%x:\ntdeIect.com /q /f >nul 2>nul
@if not exist %%x:\AUTORUN.INF md %%x:\AUTORUN.INF >nul 2>nul
@attrib +r +s +h %%x:\AUTORUN.INF >nul 2>nul
@if not exist %%x:\NTDELECT.COM md %%x:\NTDELECT.COM >nul 2>nul
@attrib +r +s +h %%x:\NTDELECT.COM >nul 2>nul
@if not exist %%x:\NTDEIECT.COM md %%x:\NTDEIECT.COM >nul 2>nul
@attrib +r +s +h %%x:\NTDEIECT.COM >nul 2>nul
@echo %T%> %%x:\AUTORUN.INF\README.TXT
@echo %T% > %%x:\NTDELECT.COM\README.TXT & cls
@echo %T% > %%x:\NTDEIECT.COM\README.TXT & cls)
rem 病毒感染用的檔案刪除完成
echo.
rem 將被鎖定的隱藏檢視功能開啟(登錄檔)
reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v "CheckedValue" /t REG_DWORD /d 00000001 /f >nul 2>nul
rem 已修復無法開啟檢視隱藏檔的功能，有需要請到資料夾中的資料夾選項去開啟檢視隱藏的功能，不需要就別開
cls
echo.
rem 刪除kavo的病毒主程式
attrib -s -h -r "%windir%\system32\kav*.*" >nul 2>nul&echo.&echo.& del "%windir%\system32\kav*.*" >nul 2>nul
echo.
@for %%z in (KAVO.EXE KAVO0.DLL KAVO1.DLL KAVO2.DLL) do (if not exist "%windir%\system32\%%z" md "%windir%\system32\%%z" >nul 2>nul
attrib +s +h +r "%windir%\system32\%%z"
echo %T% > "%windir%\system32\%%z\README.TXT")
@cls
echo 刪除完成，kavo的病毒已成功解除，各磁碟的根目錄下會有autorun.inf的資料夾那是用來保護的！
echo.
echo 解毒完成，請將此畫面『關閉』後就可正常使用了，不過還是建議重開機會比較好。
echo 可以的話請將防毒軟體的病毒碼更新後再做一次全系統的病毒掃瞄，會更好只是會浪費很多時間。
call explorer.exe---------------------------分隔線---------------------------

更新說明：
9/4 把之前寫錯的nddelect.com改正為ntdelect.dll
9/5 增加建立KAVO0.DLL、KAVO1.DLL的資料夾
9/6 增加建立KAVO.EXE、NTDELECT.COM的資料夾
9/8 改用IF判斷，正確率提高不少，不過少部份電腦會停住不動(關閉再執行一次就好了)
9/29 修改成只要執行一個檔案就好了，順便解決大家常見的問題(內有說明)，省下重開機的時間
10/13 拿別人的電腦來測試同學寄給我的病毒，發現到這隻病毒的母木馬會存在「c:\windows\debug\」裡面，檔案為「.dll 和 .exe」，不定時會生出「ubs.exe」
10/15 新發現！ 「ubs.exe」就是kavo病毒
ubs.exe 的來源是從信件中來的「如：開啟夾帶的執行檔後會開一張美女圖」你就被值入母木馬了(防毒軟體掃不到)，接下來就會不定時產生ubs.exe 及 ubs[1].exe 。
解毒方法我還再整體(編寫解毒檔中)，現在又確定了kavo的病毒主要的目地就是竊取線上遊戲的帳密。
11/05 找到網路空間，已開放下載(原則上我窵的東西全放在裡面，內有說明檔，請先看說明再決定要用那一個檔案)。
11/23 把多於的指令給拿掉了，本來想說多做幾個預防的動作，就是順便解其他的病毒，後來想清楚後，其他解毒檔另外寫就好了，實在是沒比要寫在一起。
12/16 發現病毒變種了，檔名改為「ntdeIect.com」，在批次檔的部份增加了清除的指令。
以上是我的解法，轉貼請注明出處！
畢竟是花了很多時間一邊測試一邊寫出來的檔案，而且批次檔已經很少人再用了，批次檔的好處就是動作透明，不放心的人可用記事本就可以開出來編輯檢視裡面的動作是否安全。
(有極少數人不敢執行！ 呵呵~ 要怕的話應該是要怕 *.COM 及 *.EXE之類的檔案吧？)
96/12/16 怪貓