※ 引述《faris1003 (防毒軟體??能吃嗎??)》之銘言： : 早期是 kavo 、 tavo 等為主打(有其他檔名 ex:tava mmvo等) : 中毒之後 kavo會自我更新、自動下載一個cc.exe 或是 ff.exe的檔案 : 之後再由cc.exe or ff.exe 下載一個 xxx.com (ex:jg6w3yx.com) 到各個磁碟機 : 用autorun程序綁住，並且自動尋找執行中的應用程式進行掛載 (ex:explorer.exe) : 然後會在c:\windows\system32 底下生成隱藏的 kavo.exe kavo0.dll (只是舉例) : 並且也會在 c:\windows\help 底下生成 一個亂數檔 (ex: F3C74E3FA248.dll) : 並且將show all的機碼鎖住，使你無法檢視所有隱藏檔案及資料夾來擾亂使用者注意， : 實際上則是進行木馬程式行為蒐集你的帳號密碼。 : 而最近不知道是病毒作者對卡巴斯基的挑釁，開始做一些變化 : 此時病毒通常是kxvo 、 j3ewro等 (當然也有其他亂數檔名) : case1. 駭客防護失效 : 將c:\windows\system32\drivers\vga.sys 用假檔案取代掉 : 此舉會使得卡巴斯基的駭客防護失效，無法使用 : 解決方式：將同作業系統相同路徑檔案複製過來貼上即可，不過前提是先清除病毒 : case2. 不能更新病毒資料庫 : 依照個人經驗通常是c:\windows\help\ 底下那個亂數檔造成的 : 解決方式：清除病毒後，請參閱17997 Tequila7211大大那篇機碼值處理 : case3. 不能上網 or 769 (2008/07/26發生) : 就是從裝置管理員那邊可以發現網路卡的驅動程式部分多出了三個黃色驚嘆號的裝置 : 解決方式：同vga.sys處理，路徑如下↓ : c:\windows\system32\drivers\tdi.sys ←主因 : c:\windows\system32\drivers\psched.sys : c:\windows\system32\drivers\tcpip.sys : case4. 系統一直重新開機 (約莫2008/08/11) : 這個版主大大在17944有提到，主因是病毒作者做了一個假的卡巴斯基的驅動klif.sys : 與自我防護保護下的卡巴斯基原本的驅動klif.sys彼此相衝突的結果，造成BSoD的現象 : 解決方式：進安全模式下將假的klif.sys刪除 : 假的klif.sys 沒有簽署 容量似乎13707的樣子 (沒有病毒會把自己寫很大的 = =) : p.s 需要注意的是kavo又稱隨身碟病毒，故名思義 媒介大部分都是隨身碟裝置 : 因此在隨身碟的使用上更是得小心使用。 : 應急方式： 可以先壓住shift 在插入隨身碟 約15-20秒後放開shift， ↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑ 就小弟認知 USB裝置連接至Windows作業系統時 按下Shift 並無法終止Autorun程序運行 (Windows XP為例) 按下Shift 目的在暫停運行 "Autoplay"(自動播放) Autorun ≠ Autoplay 限制Autorun程序的運行 必須透過修改登錄檔 而Vista的Autorun運作方式和XP不同 安全性比XP高 (小優點 ..~淚Q.Q) 小弟遇過比 kavo變種更機車的USB Virus:xwatmaf.exe、rckywlq.exe(一種木馬) 就算事先在系統根目錄建立autorun.inf 設為唯讀+隱藏 依然會被該木馬修改後加以覆蓋 : 再使用掃毒軟體進行掃描。 : 再來就是autorun程序，中毒之後，由於autorun程序已被改寫 : 變成說在點擊【我的電腦】 或是 【本機磁碟】 的時候，病毒就重新執行一次了 : 造成說刪了又出現的情況。 : 應急方式：從開始 → 執行 → 輸入磁碟代碼 (ex: C:\) : 目前個人碰到的情形大概是這樣，希望能對防毒版有所助益 : 上述有引用Tequila7211大跟版大的文章，若有侵犯版權，小弟會將文章自爆 XD -- ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: xiaoyao 來自: 140.130.189.41 (08/22 13:35)