PTT數位生活區 / AntiVirus (防毒)

[中毒] KAVO系列 - j3ewro.exe

看板AntiVirus (防毒)作者 (Asino)時間17年前 (2008/07/30 00:08), 編輯推噓6(6023)
留言29則, 3人參與, 最新討論串1/1
1.問題描述: KAVO相關 還不知道有何影響 但是請求解毒方法 網路上有此病毒的發動過程 但是對電腦軟體不是很行.. 現在發現的作用只有停止C的搜索 我把查到的資料放在這邊 希望有高手能幫忙解決 2.掃毒報告: NOD32抓不到 版上面的EFIX只能抓到他的子檔 砍掉之後效果還是在 3.系統輔助分析軟體掃描報告: Windows剛灌好主機板驅動程式 未更新 以下是我在網路上所搜尋到的資料 附上原網頁 http://www.avpclub.ddns.info/discuz/viewthread.php?tid=12482 =================== 完全變種的KAVO 另外不是klif.sys 而是 D:\WINDOWS\System32\drivers\tdi.sys 執行後生成 D:\WINDOWS\System32\j3ewro.exe D:\WINDOWS\System32\jwedsfdo0~9.dll 在每個槽底下生成 nw0t1l0d.exe autorun.inf 內容 ;wqHZiKDLa0r3DpKkka9wDr3kd1A23k2L3jaKSD3405k05J1waK9w6salDDfSoLf58jdqd3l1kl9i7aiFl4alKreAeKwK [AutoRun] ;fkeFjweoAiJ74AsLdKsj64HDlLAkKm2kdrocwSfKiasel1Dldloa90A4i1k02qaiKd75JIiKq03k94s324ip1osd3C0jAkZk4ilsSk2oL open=nw0t1l0d.exe ;4A5lLa2Okj2w3a3w2kk0iirAssKir2Aws53k53aiskalL8rcDw7j1isa2AesSaKk8LSXljLSid3wr2qe4a27D5ql3lws80lkZJwqo7jia shell\open\Command=nw0t1l0d.exe ;iiK5wioqja2L2wcDD0eD8aDpk37wf3oss shell\open\Default=1 ;32i7DKwwKr94AesdiLq92naJLsfls5A3kKwmqLeDADO3D7saii4s8lLK31a55olLrr1k3Dj0q1sj50wdkwiaL3oeairso42 shell\explore\Command=nw0t1l0d.exe ;daA2XiOwA491SDe2H23rKa5Zkdsf7AFiKw1DL28mik4i3slol5KqqiAf 載入登陸檔 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <jvsoft> <D:\WINDOWS\System32\j3ewro.exe> -- _|◣◢︿ ︿◣◢|_ /\﹨ ∕/◤◤◤\ ● ● | 博麗神社の巫女さん | ● ● ◆◆ | 博麗 靈夢 |║ ◆ ◆ |Π|◣\| |/|Π| Reimu Hakurei ψgbwind -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.124.2.237
07/30 00:12, , 1F
18035
07/30 00:12, 1F
07/30 00:22, , 2F
用了他的方法 C槽的搜尋還是不能
07/30 00:22, 2F
07/30 00:29, , 3F
不太懂你的意思?C槽的搜尋不能是指?
07/30 00:29, 3F
07/30 00:30, , 4F
在C槽底下 搜尋某些字串會找不到 其中大部分都是病毒名
07/30 00:30, 4F
07/30 00:31, , 5F
我有測試在windows底下放入病毒名的空資料夾
07/30 00:31, 5F
07/30 00:31, , 6F
全部都找不到
07/30 00:31, 6F
07/30 00:31, , 7F
還是不懂0rz,你是指用搜尋找不到病毒名嗎?
07/30 00:31, 7F
在C槽底下 有這個檔案 但是會搜尋不到 實際上它是存在的 搜尋不到的字串大部分都是病毒名稱 例如 kavo,j3ewro 我在砍掉病毒之後 再windows底下再創了一個完全空白的kavo.exe 試試看能不能找 但是還是找不到 另外 在搜尋中 系統會非常不穩 搜索開始和搜索停止2個按鈕會互相閃來閃去 ※ 編輯: a22516795 來自: 59.124.2.237 (07/30 00:34)
07/30 00:35, , 8F
這樣說明可以嗎? 我想把它改好 要怎麼改回來呢?
07/30 00:35, 8F
07/30 00:36, , 9F
我先去重灌NOD32 這個病毒會讓NOD32更新不能
07/30 00:36, 9F
07/30 00:43, , 10F
NOD32重新安裝後還是無法更新
07/30 00:43, 10F
07/30 00:45, , 11F
在刪除NOD32所在資料夾Eset 會發生無法讀取來源
07/30 00:45, 11F
07/30 00:51, , 12F
我現在想問 重灌後病毒還在不在?
07/30 00:51, 12F
07/30 00:51, , 13F
根據前面的資料 這個病毒好像會互相感染
07/30 00:51, 13F
07/30 00:51, , 14F
拜託 給我個解答吧 <(_ _)>
07/30 00:51, 14F
07/30 01:02, , 15F
07/30 01:02, 15F
07/30 01:17, , 16F
現在又有新的情況 他開始往我電腦塞木馬了Orz
07/30 01:17, 16F
07/30 01:19, , 17F
你確定那檔案在嗎?我這邊看報告沒有該檔案...
07/30 01:19, 17F
07/30 01:19, , 18F
還在 因為狀況還是沒有解決
07/30 01:19, 18F
07/30 01:21, , 19F
重灌會解決嗎? 會不會互相感染?
07/30 01:21, 19F
07/30 01:21, , 20F
如果可以解決我就重灌吧 這樣比較快
07/30 01:21, 20F
07/30 01:23, , 21F
我是沒看到任何你說的檔案所以我保持保留態度,你確定有的
07/30 01:23, 21F
07/30 01:23, , 22F
話就重灌吧,沒看到autorun.inf應該沒關係。
07/30 01:23, 22F
07/30 01:24, , 23F
恩 感謝妳那麼晚還給我答案
07/30 01:24, 23F
07/30 01:56, , 24F
話說~A大你引用的文章XD似乎就是J老闆寫的耶XD
07/30 01:56, 24F
07/30 01:57, , 25F
然後我覺得,搜尋那個是沒有把搜尋隱藏檔打勾@@a
07/30 01:57, 25F
07/30 01:57, , 26F
這樣去找,在windows or system32等重要系統黨下的東西都
07/30 01:57, 26F
07/30 01:57, , 27F
找不到,
07/30 01:57, 27F
07/30 02:13, , 28F
那不是我寫的,不過樣本是我發的
07/30 02:13, 28F
07/30 13:59, , 29F
重灌完畢 沒問題了 :D
07/30 13:59, 29F
更多 a22516795 的文章
文章代碼(AID): #18Zq1fV7 (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 a22516795 的文章
文章代碼(AID): #18Zq1fV7 (AntiVirus)