不用kavo.exe专杀手工即可清除方法

    文件名称:kavo.exe 
    文件大小:116464 bytes 

    AV命名:  

    Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky)

    Trojan.PSW.Win32.GameOL.lor(Rising)

    Worm/AutoRun.Y(AVG)

     

    编写语言:delphi

     

    文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d

     

    病毒类型:盗号木马

     

    行为分析:

     

    1、  释放病毒文件:

     

    C:\WINDOWS\system32\kavo.exe  113759 字节

    C:\WINDOWS\system32\kavo0.dll  96768 字节

    C:\WINDOWS\system32\kavo1.dll  96768 字节

     

    2、  添加注册表,开机启动:

     

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    kava = REG_SZ, “C:\windows\system32\kavo.exe”

     

    3、  修改注册表,记录下载地址的版本:

     

    HKEY_CLASSES_ROOT\CLSID\MADOWN

    当前为:”cdfty1.7″

     

    4、  启动IE进程,连接网络下载木马,释放:

     

    C:\WINDOWS\system32\tavo.exe

    C:\WINDOWS\system32\tavo0.dll

     

    5、  tavo0.dll和kavo1.dll则注入系统进程,监视鼠标、键盘操作,盗取木马。

     

    6、  释放驱动,随机命名的,然后删除自身。

     

    7、  修改注册表,破坏显示隐藏文件功能。

     

    8、遍历磁盘,生成病毒文件和autorun.inf

     

    解决方法:

     

    1、  下载SREng,然后断开网络连接。

     

    2、  打开SREng,删除注册表键:

     

    (注册表值) kava和(注册表值) tava

     

    3、  重启计算机,删除文件:

     

    C:\WINDOWS\system32\kavo.exe  113759 字节

    C:\WINDOWS\system32\kavo0.dll  96768 字节

    C:\WINDOWS\system32\kavo1.dll  96768 字节

    C:\WINDOWS\system32\tavo.exe

    C:\WINDOWS\system32\tavo0.dll

     

    还有每个磁盘下的autorun.inf和病毒文件,也删除,建议用winrar

     

    4、  其他:

     

    修改注册表修复显示隐藏文件功能:

     

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

           (*)(注册表值) Hidden

            REG_DWORD, 2 修改为 REG_DWORD, 1

           (*)(注册表值) ShowSuperHidden

            REG_DWORD, 0 修改为 REG_DWORD, 1

     

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

           (*)(注册表值) CheckedValue

            REG_DWORD, 0修改为 REG_DWORD, 1

发表评论

发表评论