在下上次測試j3ewro.exe...
發現它會導致卡巴無法更新....
它會修改 klif.sys <= 這檔案跟卡巴有關...
KAVO會把它破壞掉...
導致卡巴無法更新...被他害死了..

有時候是 tdi.sys 有時候是 klif.sys
請大家要特別小心...

嗯 這一隻的確利害
卡巴不能更新是其次 可以改用手動更新
這一隻卡巴已經可以刪除
但問題在 我遇到兩次 是網路驅動程式被破壞
不管怎麼修改 還是會出現驚嘆號
看不出有其他病毒或硬體上問題
但都是有中一堆隨身碟病毒 包括這一隻
在時間與狀況考量下 只能建議客戶重灌較快
在商言商 我也沒辦法

抱歉....
手動更新 無效..
會變成...
按更新 完全沒有回應....
有開更新視窗但是什麼都沒有...

其實可不可以叫卡巴的HIPS保護自己的klif.sys,這樣就不怕KAVO攻破卡巴的自我防護!

還有,各位大大,可否列出需要保護的卡巴元件?

我對於有KAV還會被破壞而感到懷疑
除非你不聽勸阻放行驅動安裝，要不然你不可能在自我保護開啟的情況下刪除KAV任何文件

其實是不是惡意程式一但安了驅動就好可能攻破卡巴?

卡巴的自我保護好似是世界數一數二!我想如果不是驅動級的惡意程式和靠卡巴的BUG,我想都好難攻破卡巴的自我保護!

[ 本帖最後由 卡巴斯基 於 2008-8-2 18:07 編輯 ]

真相如何，拿一隻試試看就好了，不過誰要做先鋒

引用:

原帖由 pingu 於 2008-8-2 18:17 發表
真相如何，拿一隻試試看就好了，不過誰要做先鋒

我早就試過了，根本不會不能上網

ㄚ一大大和各位大大,小弟有一個卡巴自我保護的問題想問?

其實在Windows中,有無方法設定當某進程被終止,自動去執行某些動作?
例如當卡巴的進程死了,自動重新啟動C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe?

請ㄚ一大大和各位大大指教!

[ 本帖最後由 卡巴斯基 於 2008-8-2 19:30 編輯 ]

應該沒必要，通常它有自動重起動，至少Symantec的SEP11會（這是因為他自己一直當……）。

不然像這邊提的辦法應該也適用：http://www.avpclub.ddns.info/discuz/thread-12033-1-1.html

KIS 8測過就不再貼一次了
KIS 7一樣防的住，重新開機後一樣能夠上網

引用:

CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\ImagePath
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\Start
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\ErrorControl
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\Type
CreateRegKey        \REGISTRY\MACHINE\System\CurrentControlSet\Services\KAVsys
ModifyFile        C:\WINDOWS\system32\drivers\tdi.sys

引用:

CreateRegValue        \REGISTRY\USER\S-1-5-21-1343024091-630328440-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run\jvsoft
CreateFile        C:\WINDOWS\system32\jwedsfdo0.dll
CreateFile        C:\WINDOWS\system32\j3ewro.exe
DeleteRegKey        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\ImagePath
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\Start
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\ErrorControl
CreateRegValue        \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\KAVsys\Type
CreateRegKey        \REGISTRY\MACHINE\System\CurrentControlSet\Services\KAVsys
ModifyFile        C:\WINDOWS\system32\drivers\tdi.sys

引用:

原帖由 krichard2007 於 2008-8-2 15:36 發表
抱歉....
手動更新 無效..
會變成...
按更新 完全沒有回應....
有開更新視窗但是什麼都沒有...

手動更新 不可能無效 除非卡巴無法執行
你確定你有試過手動更新嗎 並非靠本機網路去連線下載
而是從別台下載來替代舊病毒碼

引用:

原帖由 卡巴斯基 於 2008-8-2 18:04 發表
其實是不是惡意程式一但安了驅動就好可能攻破卡巴?

卡巴的自我保護好似是世界數一數二!我想如果不是驅動級的惡意程式和靠卡巴的BUG,我想都好難攻破卡巴的自我保護!

如果是驅動級的惡意程式, 在安裝時卡巴已有提示

引用:

原帖由 upside 於 2008-8-2 14:16 發表
嗯 這一隻的確利害
卡巴不能更新是其次 可以改用手動更新
這一隻卡巴已經可以刪除
但問題在 我遇到兩次 是網路驅動程式被破壞
不管怎麼修改 還是會出現驚嘆號
看不出有其他病毒或硬體上問題
但都是有中一堆隨身 ...

這邊似乎也碰到不少這樣的案例

如果說有碰到的話下次可以試看看將
TCPIP.SYS
TDI.SYS
PSCHED.SYS
這三個檔案另外找正常電腦的檔案覆蓋過去看看

我那邊有回報覆蓋後重開機網路就正常的

引用:

原帖由 sylovanas 於 2008-8-4 10:46 發表



這邊似乎也碰到不少這樣的案例

如果說有碰到的話下次可以試看看將
TCPIP.SYS
TDI.SYS
PSCHED.SYS
這三個檔案另外找正常電腦的檔案覆蓋過去看看

我那邊有回報覆蓋後重開機網路就正常的

原來如此 我已經碰到第三例 網路驅動被破壞造成無法連線的狀況
  最近越來越忙了 都沒辦法好好去分析
感謝提供快速解決方案 不然光是毒刪除掉 但不能連線 等於沒修一樣

嗯 關於此案例
目前我的解法是
1.手動刪除病源或執行其他專殺程式 (手動刪除比較快)
2.安裝防毒程式 並做全系統掃瞄 (我是安裝KAV7)
3. 全系統掃瞄後 發現一些殘留的生成物 (但因為病毒碼無法更新 只到今年2008 3月31日)
但仍然可以清除大部份病毒)
4. 自動更新失敗 手動更新失敗 該 更新位置顯示灰色 (一例可以手動更新 另一例就無法更新)
5. 移除防毒程式 重新安裝 即恢復正常 可以正常自動更新
6. 若發現如無法連線上網 請至正常電腦 取出 TCPIP.SYS TDI.SYS PSCHED.SYS 三個檔案覆蓋回去即可
位置於 C:\WINDOWS\SYSTEM32\drivers

[ 本帖最後由 upside 於 2008-8-5 11:45 編輯 ]

新變種出現!

這支新變種我把其他增生檔案送上去檢查會有增生檔都掃得到，原生檔卻掃不到的奇特現象!
難怪常有掃不乾淨的問題會出現!

[ 本帖最後由 jolan 於 2008-9-13 18:10 編輯 ]

基本上這隻病毒(j3ewro.exe)我也遇過很多次，
不過倒是沒有遇見有發生會無法上網的情況…

但似乎還真的會是干擾到防毒更新的運作，
真的很機車…
原來有灌卡巴的環境下仍然會被破壞掉，
那也太猛了

有病毒樣本供測試嗎???