!!!!!!!!!!!!virus----- Kavo --- Navo---help!!!!!!!!!!!!!

[saylovemeagain]

thông báo mới các pác bờ drô ơi!!!
gần đây Nhiều máy tính bị nhiễm loại virus KAVO và NAVO và SXS....
em có thấy nhiều topic viết về mấy loại này. nhưng bây giờ nó chuyển biến đi rồi.. xài mấy cách đấy ko ổn
---- Em đề nghị các pác bờ drô nên tổng hợp phương pháp diệt ngay mấy loại sâu hại này giúp AE IT và Neter...
Thanks các pác nhiều nhiều..

[nttuan1]

Dùng thử Prevx CSI đi.

[AcademyB]

Lại Kavo, đi đâu cũng Kavo. Con này được cái dễ diệt nhưng sinh biến thể thì nhanh phải gọi bằng cụ.

Hiện tượng: Gây xung đột với YM dẫn đến hiện tượng thoát YM. Thực chất con này có tác dụng ăn cắp mật khẩu GO cho mấy thằng hacker Tàu.
Cách trị: Đặt chế độ search file ẩn, tìm những file có tên: kavo, avpo, amvo, taso, avo và xóa đi. Đồng thời vô Registry tìm đến key Run xóa hết mấy cái key kava(tương ứng với kavo), avpa(tương ứng với avpo).... là xong.

Chúc các bạn thành công.

[saylovemeagain]

bác nào có ý kiến hay hơn chút không.. bây giờ em thấy con sâu này lại thay tên đổi họ rồi thì phải.. Nghe giang hồ đồn, giờ lại xuất hiện hiệp khách "ANIVO" hik hik..
thanks

[AcademyB]

Chưa thấy Anivo mặc dù hàng ngày tiếp xúc với virus rất nhiều.
Thế này nhé, em nói các bác search như vậy ko có nghĩa là chỉ sử dụng những công cụ Window cung cấp cho chúng ta. Các bác chịu khó search trên mạng thêm vài cái tool soi process, startup, BHO, Registry mà phòng thân. Em vẫn hay dùng thằng HiJackthis nên thấy thằng này tuyệt, các bác ko thích giao diện phức tạp của thằng này thì có thể thử qua thằng IceSword, Autoruns, WinProcess XP...

Trước tiên, cần phân biệt triệu chứng khi máy tính nhiễm virus Kavo. Có 1 dấu hiệu đặc biệt thường thấy ở Kavo là gây xung đột với Yahoo Messenger, vì thế là mỗi lần login vào YM thường chỉ 1-2s sau là end process của YM luôn. Giờ đã biết được triệu chứng của con này, giờ ta bắt đầu mổ xẻ làm thịt nó

Trước tiên cần có trong tay 1 số công cụ hỗ trợ như HiJackthis. Các bác chạy chương trình soi trong startup của mình, kiếm mấy thằng có tên Kavo, Amvo, Avpo, taso, mavo... mà thịt. Ngoài việc tìm đường dẫn, end process và xóa file, các bác cần tìm key tương ứng của nó (thường nằm ở key Run) có tên giống với process, chỉ khác là thay chữ "o" bằng chữ "a". Chia sẻ thêm 1 ít kinh nghiệm của em, Kavo thường đi đơn lẻ - hiếm gặp trường hợp nào dính cả 2+ biến thể Kavo 1 lúc. Do việc này đòi hỏi tính chính xác vì lỡ nhầm 1 cái là teo mất cái soft hay lỗi win ngay nên 1 lời khuyên cho các bác là trang Google nên thường trực bên cạnh trong khi các bác mần thịt con Kavo. Nên search tên file trên Google để lấy thêm thông tin nếu các bác cảm thấy không chắc chắn nó là virus. Biết đâu lại tìm được thêm mấy con OnlineGame nữa he he

Sau khi kill và xóa xong con này, mời các bác Log off rồi log in lại hoặc restart máy. Thử log vào YM xem đã thành công chưa ?

[taiphuong]

bạn có thể diệt vi rut bằng tay trong môi trường Dos bạn ạ!
Ngoài ra :Bạn có thể dùng phần mềm Process Explorer để xác định vi rút nằm chỗ nào sau đó tắt con vi rút đang chạy (xác định được vi rút/end process hoặc vào run/msconfig/chọn thẻ Starup/ kích bỏ chọn vi rút đang chạy/thoát ra)rồi tìm dến chỗ vi rút đang ở mà delete nó đi bạn à!

[me_tin_hoc]

Mình cũng bị con này và scan online bằng Prevx CSI thì thấy amvo.exe và 1 file có tên là help[1].exe nằm trong Temporary Internet Files. Mình thử dùng thằng RegRun để quét thì nó delete được file amvo.exe nhưng file help[1].exe vẫn còn. Mình đã disable cái service không cho nó start up cùng với win nên vẫn dùng YM được nhưng nếu d-click vào bất cứ HD nào thì nó lại kích hoạt con này lên và YM bị crash liền. Mình muốn hỏi cách diệt triệt để bằng tay hoặc bạn nào có Prevx CSI thì gởi dùm mình. Mình đã xem qua mấy bài tutorial nhưng mình không tìm thấy những process hoặc key trong registry liên quan đến nó. Mình nghĩ chắc là chưa del mấy cái hidden file.
My email : khoilvhoa@gmail.com
Cảm ơn các bạn rất nhiều

[co0l.l0ve]

-Thời gian trước thì hoành hành dữ dội,giờ cũng tạm lắng rồi.Bạn tham khảo cái này xem.Thân

Hoạt động:
Tạo các file:
* %sysdir%\passwd.log ( lưu các passwords lấy được)
* %sysdir%\wincab.sys ( rootkit )
* %sysdir%\kavo.exe ( bản sao của virus )
* %sysdir%\kavo0.dll ( thư viện hook password )
* %sysdir%\tf.dll ( thư viện hook password )
* %sysdir%\[random_name].dll ( thư viện hook password )
xóa file nguồn khi chạy file %sysdir%\kavo.exe
tạo các file: autorun.inf,NTDELCT.COM trên tất cả các phân vùng ổ cứng, kể cả USB nếu có, mỗi khi double-click lên các phân vùng, hệ thống dựa vào file autorun.inf để chạy file NTDELCT.COM, do vậy nội dung file autorun.inf sẽ có dòng:
[autorun]
open=NTDELCT.COM
(có thể có biến thể khác).
khi NTDELCT.COM được kích hoạt, nó sẽ kiểm tra sự tồn tại của process kavo.exe, nếu chưa chạy nó sẽ kiểm tra tiếp sự tồn tại của file %sysdir%\kavo.exe. Nếu ko tồn tại file này,NTDELCT.COM sẽ tạo ra file kavo.exe và chạy nó.
khi file kavo.exe chạy:
liên tục chỉnh sửa key:HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--Advance--Folder--Hidden-SHOWALL về giá trị 0.
liên tục tạo các file trên ở mọi phân vùng - (việc tạo qua lại giữa các file đảm bảo cho virus tồn tại).

Cách khắc phục:
Tắt kavo.exe:chạy CMD, gõ taskkill /f /im kavo.exe
Đặt lại key: HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--Advance--Folder--Hidden-SHOWALL giá trị thành 1.
Xóa key tự chạy của kavo.exe trong khóa --SW--MICRO--WINDOWS-Currentversion--RUN
mở Explorer(xuất hiện Explorer bar), hiển thị các file ẩn, file hệ thống bằng thiết đặt trong Tools-Folder Option., nếu ko thấy Folder Option thì đặt lại bằng cách:
vào run, gõ gpedit.msc
tìm đến khóa: User Configuration/Administrative Templates/Windows Components/Windows Explorer/Removes the Folder Options menu item from the Tools menu. đặt giá trị thành Enable, Apply, đặt lại thành Not Configured.

Chỉ thực hiện thao tác truy xuất ổ bằng Explorer bar, không double-click vào bất cứ phân vùng nào, tránh tình trạng tái khởi động virus,
đọc file autorun.inf nếu có, tìm file có tên trong dòng "open=" ở từng phân vùng, xóa file đó và file autorun.inf.

Xóa các file được liệt kê ở phần trên cùng bài này, kiểm tra và làm sạch thư mục Temp và Temp Internet Files trong Documents and Settings/User Name/Local Settings/.
Note: Tốt nhất nên thay đổi thói quen double-click trực tiếp lên các phân vùng, nên sử dụng Explorer Bar để truy xuất vào các phân vùng ổ cứng.