文件名称:kavo.exe
文件大小:116464bytes
AV命名:
Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky)
Trojan.PSW.Win32.GameOL.lor(Rising)
Worm/AutoRun.Y(AVG)
编写语言:delphi
文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d
病毒类型:盗号木马
行为分析:
1、释放病毒文件:
C:WINDOWSsystem32kavo.exe113759字节
C:WINDOWSsystem32kavo0.dll96768字节
C:WINDOWSsystem32kavo1.dll96768字节
2、添加注册表,开机启动:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
kava=REG_SZ,"C:windowssystem32kavo.exe"
3、修改注册表,记录下载地址的版本:
HKEY_CLASSES_ROOTCLSIDMADOWN
当前为:"cdfty1.7"
4、启动IE进程,连接网络下载木马,释放:
C:WINDOWSsystem32tavo.exe
C:WINDOWSsystem32tavo0.dll
5、tavo0.dll和kavo1.dll则注入系统进程,监视鼠标、键盘操作,盗取木马。
6、释放驱动,随机命名的,然后删除自身。
7、修改注册表,破坏显示隐藏文件功能。
8、遍历磁盘,生成病毒文件和autorun.inf
解决方法:
1、下载SREng,然后断开网络连接。
2、打开SREng,删除注册表键:
(注册表值)kava和(注册表值)tava
3、重启计算机,删除文件:
C:WINDOWSsystem32kavo.exe113759字节
C:WINDOWSsystem32kavo0.dll96768字节
C:WINDOWSsystem32kavo1.dll96768字节
C:WINDOWSsystem32tavo.exe
C:WINDOWSsystem32tavo0.dll
还有每个磁盘下的autorun.inf和病毒文件,也删除,建议用winrar
4、其他:
修改注册表修复显示隐藏文件功能:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
(*)(注册表值)Hidden
REG_DWORD,2修改为REG_DWORD,1
(*)(注册表值)ShowSuperHidden
REG_DWORD,0修改为REG_DWORD,1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
(*)(注册表值)CheckedValue
REG_DWORD,0修改为REG_DWORD,1
【不用kavo.exe专杀手工即可清除方法】相关文章:
★ 熊猫烧香病毒,熊猫病毒专杀,最新变种清除,删除方法 超强推荐
★ RAV0088.exe RAV0088.DAT手工查杀方法
★ winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法
★ conime.exe是什么附conime.exe病毒的清除方法