查看完整版本: 小精靈☆KAVO and 隨身碟病毒清除程式V 5.1.0 ★精緻版★

小精靈☆KAVO and 隨身碟病毒清除程式V 5.1.0 ★精緻版★

【軟體名稱】：小精靈☆隨身碟病毒清除程式V 5.1.0 ★精緻版★
【軟體版本】：V 5.1.0
【軟體大小】：165 KB 安裝後(362 KB)
【軟體語言】：繁體中文
【作業系統】：WINDOWS(全)
【存放空間】：Windows Live SkyDrive
【檔案格式】：EXE
【分享時效】：永久
【下載位置】：V 5.1.0 [url=http://tinyurl.com/6fqqdu]點我下載...[/url]
【解壓密碼】：無
【軟體預覽】：
[img]http://item.slide.com/r/1/174/i/rL44t9V7zT_d2ikAD1w8F_KRBnZZTzni/[/img]
[img]http://item.slide.com/r/1/11/i/HK_FpSYB3j_8sBa8kwz7IpQEpav77QD3/[/img]
【軟體介紹】：
發表這已個我用BAT檔做的隨身牒清除程式...
(更新 以除去不必要的步驟)
這個是我花了兩個多小時完成的...
這個是專殺最近流行的隨身牒病毒
主要功能有...
刪掉磁碟的隨身牒病毒....
及阻止KAVO一直變種的問題....
包括...
KAVO
---------------------
autorun.inf
大部分變種
其他隨身牒病毒...
--------------------------
autorun.inf
sos.exe
xp.exe
ntldr.exe
snow.exe
sbl.exe
auto.exe
HDM.exe
servet.exe
kaspersky.exe
IO.pif
kid.exe
RECYCLE\INFO.exe
Recycled\Driveinfo.exe
ms-dos\ntdlr.com
.\.vbs
.vbs
.bat
刪掉以上隨身碟病毒的相關檔案...
kavo.exe
kavo0~9.dll
taso.exe
taso0~9.dll
tavo.exe
tavo0~9.dll
avpo.exe
apvo0~9.dll
apvo.exe
avpo0~9.dll
amvo.exe
amvo0~9.dll
mmvo.exe
mmvo0~9.dll
mnso.exe
mnso0~9.dll
kxvo.exe
kxvo0~9.dll
jvvo.exe
jvvo0~9.dll
amwo.exe
amwo0~9.dll
ieso0~9.dll
fool0~9.dll
不正常的 svchost.exe
servet.exe
_kaspersky.exe
.vbs
及其他相關檔案...
及註冊資料...
kava
tasa
tava
avpa
amva
mmva
mnsa
kxva
amwa
jvvoft
tasoft
並且在每個磁碟加入...
autorun.inf
等空的資料夾...
屬性唯讀 隱藏....
修復隱藏檔顯示功能...
V 5.1.0 載點:[url=http://tinyurl.com/6fqqdu]點我下載...[/url]
這個程式可能對中了KAVO,oso或servet的人...
比較有效...
因為本人比較專長於這一類型的病毒...
此外這一次的更新.....
我修改了刪毒的效率....
這次的查殺效率將更快...
可能幾分鐘就結束了....
另外 我增加了可以回到主目錄的功能...
本次2008/6/11的更新...
我還增加了關閉自動播放功能及調整了刪毒時視窗的大小...
讓使用者在使用上比較輕鬆...
謝謝大家的支持...
----------------------------------------------------
希望大家會喜歡....
如果有新的隨身碟病毒出來...
也歡迎大家來補充....
此外 本版會繼續更新...
----------------------------------------------
狂賀!! ^_^
本次更新.. 只有兩家誤判...
VT
[url=http://www.virustotal.com/zh-tw/analisis/7d7c588183a9eae23ae328557a45d24c]http://www.virustotal.com/zh-tw/analisis/7d7c588183a9eae23ae328557a45d24c[/url]
誤判廠商...
avast - Win32:Agent-WSB
GData - Win32:Agent-WSB
所以...
avast和GData用戶...
下載請先暫時關閉防護...
By K.Richard 香菇

本次2008/6/11的更新...
我還增加了關閉自動播放功能及調整了刪毒時視窗的大小...
讓使用者在使用上比較輕鬆...

我看了一下我給幾個建議


1.這個關閉autorun的方式其實沒有用...要的話必須要鎖mountpoint2的權限才行
2.有關閉autoplay功能的話建議就要有回復功能，不然以我的經驗我一天大概會有五到十個左右的人問我怎麼還原autoplay...:fdqyt:

嗯...好吧.....
下次我在改...

早一點看到這篇就好了
就不必跟那台該死的電腦拼戰半天.....:fdqyt:

謝謝香菇囉~
有關閉自動撥放功能真是太好了~
因為這個我用不到~
也可以減少讀取的時間~
謝謝^^

感謝樓主的分享，正在下載中。

Hello,
我在很多論壇的防毒版看到你發布這樣的工具，瞭解你是好意要為大家解決所謂"隨身碟病毒"的問題，但你說你"專長"這類的病毒解決，我不以為意，以下是我對這樣"批次指令"刪除病毒工具的見解：
開發工具就僅是微軟內、外部命令，只是使用迴圈方式，讓指令碼比較短，但是最重要的是，你也只是"大概"瞭解這樣的病毒會在電腦內那個路徑產生出怎樣的檔案，修改什麼登錄值，然後刪除這個修改那個回來而已。所以說，現在"隨身碟病毒"相關檔案大概十至二十個吧，修改的登錄值還好一向很固定，但是如果今天相關檔案已經多到數百甚至數千，請問你自己有寫過並執行會去尋找與刪除數百甚至數千個檔案的批次檔嗎？批次檔為什麼叫批次檔，就是執行完一行再往下一行，除非你用了破壞邏輯迴圈的 goto 等指令，如此以我所說的情形，可能電腦為了執行這樣的批次檔，一天甚至兩三天都不能用，只光去找尋及刪除這幾百幾千個病毒檔案(甚至98%都根本不存在電腦內)。而且你也不敢拿掉比較早期產生的病毒檔案，因為擔心還是會有人中了較早期的"隨身碟病毒"。
我認為若你真有興趣在這樣的惡意軟體上做研究，應該要從瞭解手法開始，做"逆向工程"將惡意軟體反組譯回去，我想很多人也沒有這樣的本事，不然你可能可以去防毒軟體公司當程式開發員了。
開發出這樣的工具只是治標不治本，而且你製作的工具仍有漏洞，比如說在每個磁碟區根目錄下建立"autorun.inf"的資料夾，想要抑制"autorun.inf"文件產生，惡意軟體的開發者也不笨，只要在惡意軟體的指令碼多加上一條偵測每個磁碟區根目錄下有沒有存在"autorun.inf"資料夾或任可物件，若有就刪除(指令用 rd 即可)，刪除後再產生，建立相同檔名及副檔名的"資料夾"來抑制惡意軟體的產生，根本就是無效的做法，最後電腦內只會多出一大堆自行建立的垃圾資料夾而已。不過如果拿掉 autorun.inf 資料夾的權限倒是不錯，因為autorun.inf 一定要為autorun.inf這個檔名，但是前提是磁碟必需為NTFS格式。
而且為什麼這個惡意軟體會被冠上"隨身碟病毒"的稱呼，你應該去瞭解這個惡意軟體的運作手法與目的，再來研究怎麼清除，事實上，現在的惡意軟體都會在電腦中產生相關檔案與修改登錄值，也有很多軟體可以用來比對程式執行前與執行後，對檔案與登錄值的新增、修改與刪除。
比如說這個惡意軟體會在以下路徑產生出相關檔案：
C:、D:… autorun.inf 及亂數檔名的.exe 或 .com 或 .bat 或 .pif 或 .vbs…
%windir%\system32\  kavo.exe、kavoX(累加數).dll、tavo.exe、tavoX.dll、jvvo.exe、jvvoX.dll…
%temp% 亂數檔名的.dll
與其你將你的工具從V1版升級到V99版(這時要找的檔案可能已經數千行了吧)，還不如指導大家怎麼樣去防範，事實上手動刪除也不過五分鐘的時間，以你現在的程度，只是看到產生什麼檔案與修改什麼登錄值然後再做反向刪除(再一次強調)，大概只是瞭解它的5分之1不到而已，以上還請你好好加油，不然還真的不要再"升級"這樣的批次檔(我覺得這並不是工具，一向認為是很單純的批次檔而已)
PS..3樓的 sylovanas 知道要鎖 MountPoints2 的登錄值的權限(就是將權限全部拿掉)，是否曾有到奕瑞科技上過惡意程式分析課程呢？

回復 8# 的帖子

這是blman版友提供給我的資訊

謝謝風流瀟灑的指教.....
:plzz:
下次我會朝這方面試試看的....
謝謝...

回復 10# 的帖子

Hello,krichard2007,,
我想很多人會感謝你的付出，大家都是一直在學習，也希望能對資訊安全盡一份心力，請繼續加油
Thanks~