陋室銘

今天在幫同事處理中毒的時候，原本以為只是重了KAVO的病毒，當然是馬上採取殺掉病毒的動作，但是隔天同事一開機卻又發現中毒，而且還是一模一樣的，花了時間收集一下LOG，結果發現一個檔案TAVO
，可惡，就是它，難怪一直在重生，它可能還會去網站下載檔案，並在IE暫存檔裡面產生名為cc或ff的檔案(附檔名不確定，因為......同事他重灌瞜= = )，然後產生KAVO等子孫與autorun.inf在所有磁區的根目錄底下，以下為刪除異常檔案與異常登入檔方法：


               attrib -s -h -r  c:\%windir%\system32\kavo.exe
               attrib -s -h -r  c:\%windir%\system32\kavo0.dll
               attrib -s -h -r  c:\%windir%\system32\kavo1.dll
               attrib -s -h -r  c:\%windir%\system32\tavo.exe
               attrib -s -h -r  c:\%windir%\system32\tavo0.dll
               attrib -s -h -r  c:\%windir%\system32\tavo.dll
               del kavo.exe kavo0.dll kavo1.dll tavo.exe tavo0.dll tavo1.dll
               attrib -s -h -r autorun.inf 
               del autorun.inf
               attrib -s -h -r nncu6kk.com
               del nncu6kk.com

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run裡會有
Kavo           "C:\WINDOWS\system32\kavo.exe"
Tavo           "C:\WINDOWS\system32\tavo.exe"

請將他刪除

還有，記得要清空自己帳號的TEMP與Temporary Internet Files資料夾
PS：Temporary Internet Files資料夾裡的子資料夾Content.ie5也要清空