從這一版EFIX開始會自動更新,好處是可以時時保持安全,
壞處是會忘記來看更新文章.....

E-FIX 免費下載
作者好低調沒有表明身分,不過從網址看來ID應該是reinfors(大)?
總之最近身邊的人紛紛出現奇怪病症,什麼硬碟讀不到,桌面當掉,
網路卡消失,音樂自閉,大概都是因為驅動程式被KAVO給竄改,
接著又被防毒刪除。

總之東西沒壞,只是驅動掛了而已。

以下病毒行為節錄自E-FIX網站

KAVO 病毒-------------------------------------------------------

KAVO系列的病毒現在的變種會產生驅動程序vga.sys
vga.sys原本是windows預設顯示卡驅動程序
kavo系列病毒會將其覆蓋掉
如果系統檔案保護機制 (Windows File Protection) 可以動作的話系統會將其還原回去
但如果沒有的話,vga即會被覆蓋掉
至於是否有被覆蓋,可以看EFix內報告
如果報告內有下列文字的話,就是被覆蓋掉了

C:\WINDOWS\system32\drivers\vga.sys Verified Failed:

windows資料夾隨系統安裝位置而定
如出現上述文字時就請找正常的檔案將其替換
這裡不提供該檔案。

2008.08.05
接續前面提到的
原本kavo系列病毒會修改vga.sys造成預設顯示卡驅動損壞,現在已有更新,.更新為修改tdi.sys和tcpip.sys,會造成網路無法使用

解決方式為到正常的電腦尋找下列檔案
windows\system32\drivers.\tdi.sys
windows\system32\drivers\tcpip.sys
windows\system32\drivers\psched.sys
將其複製到網路受損的電腦上將原檔案覆蓋之後重開機即可 (請注意要將他複製在同樣位置)

2008.07.28
這邊有碰到幾例kavo系列有比較不太一樣的變種
由於並沒有在EFix清單內 (目前為4.69版)
所以EFix 4.69版之前的版本執行基本上沒效 (下一版會更新,預計是明天)
這邊有碰到的人可以先用自定義腳本方式來清除即可。

 

 

,.EXE 病毒-------------------------------------------------------

於2008.05月左右的時候開始擴散於各學校之間
公司行號目前尚無聽到災情、但請多留意。
此病毒將檔名取名為 ,.exe (注意:是"逗號.exe")
利用隨身碟自動撥放特性傳撥自身,於每個月3號到18號之間發作
症狀是刪除所有D磁碟和E磁碟內所有資料

由於目前僅有幾間病毒碼更新速度較快的防毒廠商能夠偵測到病毒
所以請撥空確認自己磁碟內是否有,.exe檔案避免資料被刪除

行為模式:
於Windows資料夾內產生 ,.exe 檔案
於各磁碟根目錄內產生 ,.exe 檔案 (不知道根目錄是什麼請用google查詢)
會寫入下列登錄值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"HUI"="x:\windows\,.exe" (x隨你系統磁碟位置而定)

會重複一直作上述的動作
然後到每月3號和18號時,會刪除D磁碟和E磁碟內所有檔案

arrow
arrow
    全站熱搜

    ARC 發表在 痞客邦 留言(0) 人氣()