close

今天在幫同事處理中毒的時候,原本以為只是重了KAVO的病毒,當然是馬上採取殺掉病毒的動作,但是隔天同事一開機卻又發現中毒,而且還是一模一樣的,花了時間收集一下LOG,結果發現一個檔案TAVO
,可惡,就是它,難怪一直在重生,它可能還會去網站下載檔案,並在IE暫存檔裡面產生名為cc或ff的檔案(附檔名不確定,因為......同事他重灌瞜= = ),然後產生KAVO等子孫與autorun.inf在所有磁區的根目錄底下,以下為刪除異常檔案與異常登入檔方法:


               attrib -s -h -r  c:\%windir%\system32\kavo.exe
               attrib -s -h -r  c:\%windir%\system32\kavo0.dll
               attrib -s -h -r  c:\%windir%\system32\kavo1.dll
               attrib -s -h -r  c:\%windir%\system32\tavo.exe
               attrib -s -h -r  c:\%windir%\system32\tavo0.dll
               attrib -s -h -r  c:\%windir%\system32\tavo.dll
               del kavo.exe kavo0.dll kavo1.dll tavo.exe tavo0.dll tavo1.dll
               attrib -s -h -r autorun.inf 
               del autorun.inf
               attrib -s -h -r nncu6kk.com
               del nncu6kk.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run裡會有
Kavo           "C:\WINDOWS\system32\kavo.exe"
Tavo           "C:\WINDOWS\system32\tavo.exe"

請將他刪除

還有,記得要清空自己帳號的TEMPTemporary Internet Files資料夾
PS:Temporary Internet Files資料夾裡的子資料夾Content.ie5也要清空


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 monter 的頭像
    monter

    陋室銘

    monter 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄