【木馬】無法顯示資料夾、kavo病毒解決之道！

[monstar]

以下內容轉貼至怪貓大大

最近很多人都中這隻病毒。
主要來源為信件，中了之後就會把磁碟當作傳染的媒介(如：隨身碟、記憶卡、手機、數位相機 等...)

解法：

1.到這個網址下載「DelAutorun-Virus.bat」先執行，可以解決被病毒寫入AutoRun.inf的檔案(算是做個預防工作)。
「裕笠科技討論專區」http://ns2.ublink.org/phpbb/viewtopic.php?p=2072

2.再開登錄編輯器搜索「kavo.exe」找到此機碼就刪除之後才重開機。
「這裡是給不會操作登錄編輯器的人用的」或是將分格線中的內容貼到記事本中，使用另存新檔-存檔類型要改成「所有檔案」，
檔名就打「kavo.reg」按下儲存後，再去執行這個檔案，會問你是否要匯入，選是之後開機就不會去執行這隻病毒了。

-----------------分格線-----------------
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"kava"="懂的人請將此病毒的機碼刪除(目前已不影響系統)"
-----------------分格線-----------------

3.用記事本寫一個批次檔來殺病毒檔，將分格線中的內容貼到記事本中，使用另存新檔-存檔類型要改成「所有檔案」，檔名就打「del-kavo.bat」按下儲存後，
再去執行這個檔案，病毒就被你殺掉了。

-----------------分格線-----------------
attrib -s -h -r C:WINDOWSsystem32kavo.exe
attrib -s -h -r C:WINDOWSsystem32kavo0.dll
del C:WINDOWSsystem32kav*.*
-----------------分格線-----------------

4.用記事本寫一個登錄檔來解決被病毒影響所造成的問題修復檔。
將分格線中的內容貼到記事本中，使用另存新檔-存檔類型要改成「所有檔案」，檔名就打「xxx.reg」按下儲存後，再去執行這個檔案，會問你是否要匯入，
選是之後被影響的地方就修好了。

-----------------分格線-----------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"CheckedValue"=dword:00000001
-----------------分格線-----------------

5.將你的防毒軟體的病毒碼更新到最新，再做一次全系統的掃瞄，會更完整。

以上是我的解法，希望轉貼的人能夠注明出處，不要亂轉貼！
不然Po的人一定會越來越少的！

2007/8/30 怪貓

[FYI]

書維的部落格 - Yahoo!奇摩部落格
由於kavo 將來還會有不同變種, 例如taso, 如果發現Yahoo! 即時通會自動關閉, 建議到原作者網站找尋最新殺毒程式

kavo.exe的行為

解決之後便是預防, 預防之道便是關閉 "Autorun", "NoDriveTypeAutoRun" 機碼預設值可能是 "0x91" 或 "0x95", "0x95" 比 "0x91" 安全, 若不放心, 則乾脆改成 "0xdf" 或 "0xff", 以上裕笠科技連結所提供的批次檔就有關閉 "Autorun" 的功能

關閉系統服務 "Shell Hardware Detection" 也可以停止自動播放
Windows系統服務面面觀(下)

Shell Hardware Detection（ShellHWDetection）: 這項系統服務會監視及提供「自動播放」硬體事件的通知。「自動播放」會偵測卸除式媒體和卸除式裝置（例如光碟、隨身碟）上的內容（例如圖檔或影音檔），然後啟動應用程式以播放或顯示媒體內容。這能簡化相關周邊裝置的使用，並且讓不熟悉存取各種內容類型所需之軟體的使用者更容易操作。支援「自動播放」的媒體和裝置類型包括: 卸除式存放裝置媒體、快閃（Flash）媒體、PC卡、外接的USB或1394硬碟；支援的內容類型包括: 圖檔（.jpg、.bmp、.gif、.tif）、音樂檔案（.mp3、.wma）、視訊檔案（.mpg、.asf）。如果停用這項系統服務，就會停止「自動播放」功能。

[FYI]

(大概)今天同事打開信件時中了kavo 變種, 可能是taso, 小弟下載張書維的kavo_killer.exe, 但是好像被病毒攔截了, 只好另外設法下載, 但是仍無法根除, 最後不得已只好執行AutoRuns, 以肉眼觀察, 結果發現在 "Exploere" 之下

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

多了一個不明的 "c:\windows\help\F3xxxxxxxxxx.dll", 由於檔案總管無法設定顯示隱藏檔, 所以從命令提示字元執行 "dir c:\windows\help /ah", 結果找到兩個同名的隱藏檔(dll & exe), 小弟由日期和屬性判斷, 99.999% 是病毒, 因為 "c:\windows\help" 之下不應該有任何 "見不得人" 的檔案, 難怪清除kavo, taso, ntdelete, 和autorun.inf 之後再開啟檔案總管, 則防毒程式又發現不明程式入侵, 但無法清除

最後總整理一下, 小弟的清除方法是以BartPE 開機(或者搜尋網友jzdai0903 所製作的 "XPE), 下載並執行張書維的kavo_killer.exe, 手動清除 "c:\windows\help\F3xxxxxxxxxx.*", 接著啟動Windows 安全模式, 執行 "regedt32", 首先以#1 所介紹的方法將 "CheckedValue" 設為1, 再找到上面所提到的 "ShellExecuteHooks", 複製第一個字串名, 然後從頭搜尋該字串名, 由搜尋到的第一個CLSID 可以確定和 "F3xxxxxxxxxx.dll" 相關, 接下來就可以放心刪除和該字串相關的機碼, 最後再把

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

之下不該出現的字串值刪除, 就大功告成(不敢保證)

[rogershu]

去下載「費爾托斯特安全」下來試用，就可以完整清除了。

試用完再移除程式即可。

[shiemar]

小弟對於KAVO不斷的重生也是十分困擾，
簡直就是隻打不死的小強，
感謝大大提供解決之道。

Autoruns真的是好工具啊，
以後就不用再傻傻的開啟registry一個一個慢慢看
謝謝大大。

[FYI]

觀察Autoruns 是不得已的作法, 也許是小弟的同事太幸運了, 在防毒程式發佈新的病毒碼之前就收到這個禮物, 加上會陷害你的通常都是熟人, 不過今天小弟把病毒傳給裝卡巴的同事, 卡巴可以偵測到病毒

觀察Autoruns 有個技巧, 由於項目太多, 所以請觀察Publisher 非Microsoft 的項目, 方法是點選 Options -> Hide Microsoft Entries, 再按F5 (Refresh), 這樣就少很多了

由於同事並未把信件留下, 所以目前不知道兇手是誰, 小弟今天在PowerShadow 的測試環境下執行病毒檔(日期:2007-10-27), 病毒只把自己隱藏到 "c:\windows\help" 之下, 並未發現kavo 的行為, 有興趣的網友不妨掃描看看

[Roger]

[sylovanas]

不好意思想請教一下

請問一下
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
這邊的機碼作用是做甚麼的？

kavo_killer他會將預設的也一起刪除掉，雖然刪掉後使用上好像是不會有甚麼問題
但想確定一下這邊的機碼是幹甚麼用的？

[芝風]

不好意思，請問一下

我查了很多，在刪kavo都是在本機上執行，可是我確定是我的外接式硬碟感染，請問我該怎麼刪除外接式硬碟中的病毒？

[SHOOTA]

引用:

作者: 芝風

不好意思，請問一下

我查了很多，在刪kavo都是在本機上執行，可是我確定是我的外接式硬碟感染，請問我該怎麼刪除外接式硬碟中的病毒？

因為KAVO就是'利用FLASH跟外接硬碟傳染的阿:~
我們公司之前也是大量中毒~

插入隨身碟時請按住「Shift鍵」不要放開直到偵測完畢後再執行病毒掃描外階式硬碟就可以了
為了避免以後再度中毒,請在隨神硬碟中建立autorun同名稱資料夾並且設定為 唯讀~