不用kavo.exe专杀手工即可清除方法

文件名称:kavo.exe 
文件大小:116464 bytes

AV命名:

Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky)

Trojan.PSW.Win32.GameOL.lor(Rising)

Worm/AutoRun.Y(AVG)

编写语言:delphi

文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d

病毒类型:盗号木马

行为分析:

1、  释放病毒文件:

C:\WINDOWS\system32\kavo.exe  113759 字节

C:\WINDOWS\system32\kavo0.dll  96768 字节

C:\WINDOWS\system32\kavo1.dll  96768 字节

2、  添加注册表,开机启动:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

kava = REG_SZ, "C:\windows\system32\kavo.exe"

3、  修改注册表,记录下载地址的版本:

HKEY_CLASSES_ROOT\CLSID\MADOWN

当前为:"cdfty1.7"

4、  启动IE进程,连接网络下载木马,释放:

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

5、  tavo0.dll和kavo1.dll则注入系统进程,监视鼠标、键盘操作,盗取木马。

6、  释放驱动,随机命名的,然后删除自身。

7、  修改注册表,破坏显示隐藏文件功能。

8、遍历磁盘,生成病毒文件和autorun.inf

解决方法:

1、  下载SREng,然后断开网络连接。

2、  打开SREng,删除注册表键:

(注册表值) kava和(注册表值) tava

3、  重启计算机,删除文件:

C:\WINDOWS\system32\kavo.exe  113759 字节

C:\WINDOWS\system32\kavo0.dll  96768 字节

C:\WINDOWS\system32\kavo1.dll  96768 字节

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

还有每个磁盘下的autorun.inf和病毒文件,也删除,建议用winrar

4、  其他:

修改注册表修复显示隐藏文件功能:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

(*)(注册表值) Hidden

REG_DWORD, 2 修改为 REG_DWORD, 1

(*)(注册表值) ShowSuperHidden

REG_DWORD, 0 修改为 REG_DWORD, 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

(*)(注册表值) CheckedValue

REG_DWORD, 0修改为 REG_DWORD, 1

(0)

相关推荐

  • 不用kavo.exe专杀手工即可清除方法

    文件名称:kavo.exe 文件大小:116464 bytes AV命名: Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky) Trojan.PSW.Win32.GameOL.lor(Rising) Worm/AutoRun.Y(AVG) 编写语言:delphi 文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d 病毒类型:盗号木马 行为分析: 1.  释放病毒文件: C:\WINDOWS\system32\kavo.exe  113

  • iexplore.exe专杀手工解决

    系统进程--伪装的病毒 iexplore.exe Trojan.PowerSpider.ac        破坏方法:密码解霸V8.10.又称"密码结巴" 偷用户各种密码,包含:游戏密码.局域网密码.腾讯QQ账号和密码.POP3 密码.Win9x缓存密码及拨号账号等等.这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大. 现象:1.系统进程中有iexplore.exe运行,注意,是小写字母      2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文

  • wsttrs.exe bat专杀附exe专杀

    最近两天病毒肆虐,一个名为wsttrs.exe的进程会自动终结病毒防火墙,而且导致进入不了系统桌面,出现假死现象.这些病毒都很变态,目前瑞星 卡巴都不识别: 一.手动清除方法:1.在windowsXP及其以上系统中: 当无法进入桌面的时候,调出windows任务管理器(Ctrl+Alt+Delete调出),切换到进程标签,然后找到wsttrs.exe进程,选中后单击右键结束进程,既可正常显示桌面. 2.当以上方案不能成功,则有可能是该病毒的最新变种,应进入安全模式,打开注册表编辑器,定位到HKE

  • 熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐

    近日,江民科技发布紧急病毒警报,一伪装成"熊猫烧香"图案的病毒正在疯狂作案,已有数十家企业局域网遭受重创.来自我国不同地区的企业向江民反病毒中心举报,他们公司正在遭受不明病毒攻击,电脑中所有可执行的.exe文件都变成了一种怪异的图案,该图案显示为"熊猫烧香"中毒症状表现为系统蓝屏.频繁重启.硬盘数据被破坏等等,严重的整个公司局域网内所有电脑全部中毒,公司业务几乎陷入停顿.广东.上海等地区也出现了类似病毒疫情,江民大客户技术服务部电话响个不停.迹象表明,"熊

  • systemer.exe-B001.exe,B002.exe,cx.exe专杀 软件

    进程文件: systemer 或 systemer.exe  进程位置: windir  程序名称: Troj_backdoor.CX  程序用途: 后门木马病毒  程序作者:    系统进程: 否  后台程序: 是  使用网络: 是  硬件相关: 否  安全等级: 低  进程分析: 该病毒修改注册表创建Run/Winsystem启动systemer.exe,修改注册表创建Run/systeme启动systeme.exe或Run/systeminfo启动system.exe,病毒生成B001.e

  • 各分区根目录释放shell.exe,autorun.inf 的病毒清除方法

    病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

  • wowexec.exe比较简单的查杀办法(毒霸就是wowexec.exe专杀工具)

    注意:wowexec.exe是系统进程,但是如果前面带一个空格,就是病毒.wowexec.exe病毒解决办法: 1.下载毒霸,并升级到最新病毒库,进入安全模式,关闭系统还原,查杀该病毒,下载地址::http://www.duba.net,避免感染病毒变种,引起文件或照片被破会: 一般第一步就可解决问题,建议大家安装360,这样对于添加注册表运行的功能就没有了,下面的操作也就不必要了.2.删除病毒的注册表键值,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window

  • 用批处理轻松清掉sxs.exe和autorun.inf的专杀工具

    保存为del.bat,运行即可,另一个是注册表文件,可以防止病毒修改注册表无法查看隐藏文件 复制代码 代码如下: @echo off @echo 我们 @echo sxs.exe 专杀 @echo 开始 @echo 结束病毒进程sovhost ntsd -c q -pn sovhost.exe echo 修正注册表 regedit /s del.reg echo 删除各盘病毒文件 cd\ c: attrib sxs.exe -a -h -s  del /s /q /f sxs.exe attri

  • 多个IEXPLORE.EXE进程,专杀的完美解决方案

    这几天电脑中了病毒,c盘格式化重装了也不管用,把我郁闷的.一开机就出现IEXPLORE.EXE的进程,强行终止后一会又出现了,卡巴斯基杀了一遍没查出来,到网上转了好几圈,发现了这样的解决方案. 现象: 1.系统开机,没有启动IE的情况下,进程中有iexplore.exe运行,注意,是小写字母: 2.搜索该程序iexplore.exe,位于C:\WINDOWS\system32下面. 解决方案: 十有八九,你是中了 Trojan.PowerSpider.ac 木马病毒,它偷取用户各种密码,包含:游

  • 病毒专杀VBS模板更新

    自从发布了<写了款Worm.Win32.VB.fw病毒专杀>与<病毒rundll.exe专杀发布与源码共享>两篇文章中的病毒专杀后,我的病毒专杀VBS模板也开始考虑完善.这次增加了"HOSTS文件恢复功能模块"与"Autorun免疫功能模块".本地服务的控制模块还在测试中--源码还是完全公开,这样的好处是有兴趣的朋友可以继续完善,多谢小G.UMU.看破红尘! 07.4.30日更新如下:1."病毒文件删除模块"支持环境变量,

随机推荐