自從高登上一篇的病毒通報:jvvo.exe發出之後,本站的流量激增,因為有許多人在搜尋引擎上輸入jvvo.exe來尋求解毒方法,因為這是最新的病毒網路上的資訊還不多,所以通通連到高登工作室來了,雖然在通報中提到高登怎麼解掉這個毒的,但是因為事發現場在客戶那裡,沒辦法作太詳細的紀錄,所以也不太確定什麼方式可以一次解決這隻病毒,因此高登特地再取得病毒樣本,在工作室中詳細地測試解毒的方法,並用可以確定的告訴你:只要照我的方法一定可以解掉!
首先這隻病毒確定是透過email傳播的,因為高登今天就收到這樣的信正好可以抓來當病毒樣本,在病毒信中還是老套:有一個.zip的附加檔,檔案裡面是一個exe執行檔,如果你不知如何判別是不是病毒信的話那你一定漏了這一篇,我是在一台沒裝防毒的測試機上執行這個病毒程式,一開始程式卡了10秒才出現,高登突然靈機一動,被我的防火牆擋掉了(這個下次再談,我們今天只要解毒再談下去就拖太長了),於是先將防火牆打開,執行病毒程式就馬上有回應,但是依照五個步驟,檢查你是否中了kavo病毒的方法查了一下,並沒有在c:\windows\system32底下發現jvvo.exe和jvvo0.dll,這怎麼可能!最後終於找到源頭了,請看下圖:
原來是藏在c:\windows\Help底下,這隻毒有點特別,要防毒程式去觸發它。要怎麼解毒?請先移除你原先用的他牌防毒程式重開機之後,依照來自德國免費防毒軟體 - 小紅傘AntiVir Personal Free的方法安裝小紅傘並且線上更新病毒之後,馬上跳出的警告視窗,這個時候在c:\windows\system32底下就有jvvo.exe和jvvo0.dll了,而且這個病毒檔案你按delete還是會一直重覆出現,也就是說:解不掉
以下才是真正的必殺絕技:開機時在Windows XP的畫面還沒出來之前趕快一直按F8(如果你是華碩的主機板還會出現一個選擇開機裝置的選單,記得選硬碟開機之後要馬上再按F8),按的時機要對,如果已經看到Windows XP開機的移動光棒那你的手腳就太慢了,沒關係重關機再來一次總會有成功的時候,F8按成功之後會有一個Windows的開機選單,請選第一項的安全模式,記得不是第二項也不是第三項是第一項喔!這個時候可能要等一下子之後,可能會出現使用者登入的畫面,請選擇你一般登入的使用者就可以了,接下來會有一個警告視窗說現在在安全模式什麼什麼的按確定就可以了,進到桌面之後打開我的電腦,滑鼠在C上按右鍵選Scan selected files with AntiVir開始掃毒,掃到毒按delete再OK就可以了,完成之後可以按End結束或是按Report看下面的報告
C掃完之後在如果你還有其他硬碟請重覆一樣的動作,直到全部的硬碟都掃完了重開機,如果沒有再出現警告視窗的話,恭喜你解毒完成!
7/9補充:
avast終究還是老樣子:中毒了也沒反應,小紅傘至少中毒了還會一直叫,所以建議防毒還是用小紅傘,另外比較完整的手動解毒在這一篇當Avira小紅傘,avast都無效時只有手動解毒一途
ㄜ....
可是....我點安全模式過了半小時還是進不進去...
怎...半....
看來你的系統原本就有問題,如果不會手動解最好請別人了
ㄜ...
我的電腦還會跑出什麼WINDOWS檔案保護 說什麼檔案已被無法辨識的版本取代
叫我放光碟
是因為這個原因嗎= = 要怎辦...
你的問題有點複雜,建議不要在這裡留言,請到funp.com註冊再悄我,我的funp帳號gordon168
ㄜ.....那我請人來修會比較快嗎= =
推推王要怎麼用 要怎麼找你呢?= =
在首頁搜尋使用者gordon168,把我加入你的好友
感謝你~~~高登先生
不好意思 不知道該怎麼稱呼你 應該是很厲害的工程師吧:)
我是女生 也患有嚴重的電腦知識缺乏症
我是在聯合報的blog看到別人轉載你寫的
"十件不要放在部落格上的事"那篇文章連結到你的網站的
而且看到你對kavo 和 taso 病毒的介紹
才知道原來我的電腦中毒了= =
就如你在文中所說的 電腦在開機時都會出現 奇怪的對話視窗
剛開始我並不以為意 因為我根本看不懂那是什麼@@
可是後來發現我的電腦愈跑愈慢 愈跑愈不動
我的信箱還會莫名奇妙寄色情信給別人
我就知道 事情嚴重了 我的電腦中毒了
可是我根本不會修 就得過且過 一天過一天
直到看到你寫的文章 讓我興起想把病毒清除的念頭
過程中花了四五個小時摸索 邊看說明邊操作
再加上我只看了kavo病毒的說明 就急著解毒
而沒有看jvvo病毒的說明
結果電腦一直出現病毒警訊 卻無法消除
而且無法使用任何功能時 開愈多功能跳愈多視窗出現
整個人就快爆走~~~
所以當我重灌Avira防毒軟體時 我一度以為我錯了
我為什麼要把自己的電腦搞到當機
不過後來再看到jvvo病毒的說明時 才知道原來不是只有我會這樣
大家都遇到相同的問題
可是我沒有找到jvvo的檔名ㄟ 有點奇怪
接著叫照你所說的 開機在進入windows視窗之前 狂按F8 然後再掃毒
之前我是灌Trend的防毒軟體
可是它每次都顯示出有發現病毒 卻無法清除 讓我很苦惱
現在灌了Avira之後 我已經把病毒掃得乾乾淨淨 電腦又恢復正常了
尤其是我第一次自己把病毒解掉 那種成就感很大
真是太感謝你了~~~提供這麼好的資訊 講解的非常清楚 仔細
連我都看得懂 呵呵~~
在此 謝謝你:)
不客氣!這是這個網站存在的目的之一:幫大家建立防毒的觀念
我沒辦法進入安全模式吶
不過 我重新開機之後
並沒有出現
應用程式錯誤的訊息
那是代表什麼意思啊
可以麻煩幫我解答嗎
謝謝
如果裝完小紅傘掃完毒之後不會一直重覆出現找到病毒的視窗應該就解掉了,無法進安全模式的問題我再試看看是什麼原因(應該是病毒引起的沒錯)確定之後再告訴大家
ㄜ....
我開機之後都沒再跑出什麼東西了
似乎恢復正常了
可是我還是無法進入安全模式.....
但是小紅傘已經不會該該叫了 到底是清除了沒? 還是只是表面上?
恩 那我了解
希望能幫我解決不能進入安全模式的問題
謝謝
非常感謝高登大哥詳細解說~~連我對電腦一知半解ㄉ生手想不到也可以自己 解毒ㄉ說===祝福你網站人氣滿滿喔^^
親愛的大大,首先感謝您對jvvo清除方式說明.我想請教一下,我安裝了Avira了,至安全模式找到了jvvo.exe等相關的病毒,也都選擇delete了,但重開機後,使用沒多久,又出現如您文章提的"也就是說:解不掉"...請告訴我那裡出錯了?已殺了一整天,還是解不掉...鳴~
在安全模式你是用右鍵掃毒還是手動刪除檔案的?
還有一直出現的警告視窗檔名是什麼?
親愛的高登大,我終於也幫公司專門收信的電腦也處理好了,不過小弟有個問題,就是這類病毒是否會利用網路芳鄰跑來跑去?因為有次我的工作電腦就中了,不知道是被我的bitDefinder觸發了還是怎麼發生,照您的說法是要去觸發他嘛~。最慘的就是那些剪接師的電腦了,他們沒有接網路,但都有用隨身碟傳染過,剪接師的電腦都沒有防毒軟體,也會莫名出現警告視窗耶(jvvo應用程式錯誤),提供您參考。
最近透過網路芳鄰傳播的毒已經較少了,之前曾經有過所以還是要小心!
沒上網的電腦也要防毒,請參考另一篇"不上網就不會中毒"的文章
高登先生:
首先感謝您架設了這麼一個very useful & helpful的網站,讓我這個電腦文盲獲益良多。
日前我的電腦也中了jvvo.exe的病毒,依照您的方式
1. 安裝最新版小紅傘(antivir_workstation_winu_en_h.exe)
2. 在安全模式下以小紅傘掃毒並delete Virus
記憶體不得為written或read的錯誤訊息也沒再出現,但是我按照您〝五個步驟,檢查是否中了kavo〞,發現在cd\windows\system32的目錄下還是有jvvo*.dll, kxvo1.dll, taso.exe等應是病毒的檔案,另在cd\windows\help的目錄下也有2ace4cfbaf2c.dll及CC34FC9CC812.dll看似病毒的檔案。
註:我有用小紅傘再掃毒一次,甚至再進安全模式掃毒,上述檔案仍然存在。
請問:
1. 上述所題jvvo*.dll, kxvo1.dll, taso.exe, 2ace4cfbaf2c.dll及CC34FC9CC812.dll全是病毒嗎?
2. 如果是,要如何delete?
3. 以下是掃毒完C:\WINDOWS\system32 及C:\WINDOWS\Help 的目錄下的檔案,能幫忙看看是否有其他病毒檔案嗎?
不好意思,麻煩您啦! : p
C:\WINDOWS\system32 的目錄
2005/08/17 下午 05:43 749 cdplayer.exe.manifest
2008/05/26 上午 09:20 dllcache
2008/03/01 下午 08:42 fly.exe
2008/03/01 下午 08:42 goods.exe
2008/05/26 上午 09:29 125,952 jvvo0.dll
2008/05/26 上午 09:20 125,952 jvvo1.dll
2008/03/01 下午 08:42 kavo
2008/05/26 上午 09:20 81,408 kxvo1.dll
2005/08/17 下午 05:43 488 logonui.exe.manifest
2005/08/17 下午 05:43 749 ncpa.cpl.manifest
2005/08/17 下午 05:43 749 nwc.cpl.manifest
2008/03/01 下午 08:42 poor.exe
2005/08/17 下午 05:43 749 sapi.cpl.manifest
2008/03/01 下午 08:42 shareb.exe
2008/03/01 下午 08:42 taso.exe
2008/02/11 下午 09:58 1,920,054 toyhide.bmp
2008/03/01 下午 08:42 ubs.exe
2005/08/17 下午 05:43 488 WindowsLogon.manifest
2008/03/01 下午 08:42 winpow.exe
2008/03/01 下午 08:42 winpows.exe
2005/08/17 下午 05:43 749 wuaucpl.cpl.manifest
11 個檔案 2,258,087 位元組
10 個目錄 31,703,851,008 位元組可用
C:\WINDOWS\Help 的目錄
2008/03/01 下午 08:42 2ace4cfbaf2c.dll
2008/03/01 下午 08:42 CC34FC9CC812.dll
2005/10/28 下午 10:46 8,628 netcfg.GID
2006/05/15 上午 10:56 10,820 nocontnt.GID
2 個檔案 19,448 位元組
2 個目錄 31,703,851,008 位元組可用
我今天會再發一篇文你可以參考看看,另外你列出的檔案除了dllcache是目錄外其他的都可以手動刪掉,都不是系統的檔案
依照您最新文章“kavo,taso,jvvo,kxvo病毒一次解決”已將病毒的.dll的程式刪除,但病毒目錄檔案卻無法刪除。
請問
1. 如何判斷其下是否有隱藏程式?
2. 要如何刪除該等目錄檔及其下所有的程式?
以下是更新後c:\windows\system32下的子目錄及檔案,其中kavo及所有的.exe檔均為目錄檔案,無法刪除:
C:\WINDOWS\system32 的目錄
2005/08/17 下午 05:43 749 cdplayer.exe.manifest
2008/05/26 上午 09:20 dllcache
2008/03/01 下午 08:42 fly.exe
2008/03/01 下午 08:42 goods.exe
2008/03/01 下午 08:42 kavo
2005/08/17 下午 05:43 488 logonui.exe.manifest
2005/08/17 下午 05:43 749 ncpa.cpl.manifest
2005/08/17 下午 05:43 749 nwc.cpl.manifest
2008/03/01 下午 08:42 poor.exe
2005/08/17 下午 05:43 749 sapi.cpl.manifest
2008/03/01 下午 08:42 shareb.exe
2008/03/01 下午 08:42 taso.exe
2008/03/01 下午 08:42 ubs.exe
2005/08/17 下午 05:43 488 WindowsLogon.manifest
2008/03/01 下午 08:42 winpow.exe
2008/03/01 下午 08:42 winpows.exe
2005/08/17 下午 05:43 749 wuaucpl.cpl.manifest
7 個檔案 4,721 位元組
10 個目錄 31,720,529,920 位元組可用
如果你列的是目錄的話那就不是病毒了,因為有些解毒程式會產生一個和病毒同名的目錄,以防毒病毒的寫入,這種方法我以前也用但現在不用了
要列出隱藏檔請使用dir /ah指令
我自使至終只使用過小紅傘掃毒,小紅傘只會找出病毒然後問你是否要delete或隔離等等其他選項,應該沒有產生一個和病毒同名的目錄檔對嗎?為保險起見,要如何刪除這些目錄檔?若用del (+檔名),系統會告訴你找不到‧
C:\WINDOWS\system32>del kavo
找不到 C:\WINDOWS\system32\kavo\*
C:\WINDOWS\system32>del taso.exe
找不到 C:\WINDOWS\system32\taso.exe\*
順便一提,dos畫面中表示目錄檔的字樣,為何上傳到您的部落格就自動消失?如此您看到的dos畫面就無法分辨那些是目錄檔?那些是檔案?
刪除目錄請用rd指令
如要強制刪除請加/s/q參數,例:rd kavo /s/q
非常謝謝您這麼不厭其煩的解答,感激不盡!Thanks a lot!
小紅傘是不錯用~~但是掃到的檔案有時不是毒~~
像我有一個清除KAVO病毒的程式~~kavo_killer.exe
小紅傘就會把它當病毒~~
該如何判斷檔案是不是病毒
----------------------
把檔案上傳到http://www.totalvirus.com看看
如果大部份的程式都說是毒就那是毒了
應該是http://www.virustotal.com才對!
謝謝你,打錯了一直都沒發現
妳好如果連安全模式都進不去~要如何解決
-------------------
你可以試看看kavo,taso,jvvo,kxvo病毒一次解決這一篇,
如果再不行只有用XPE光碟開機來手動解了
高登您好:
今按照您所說的解毒方式來解毒,但因未看清楚您所寫的,以致於在選擇安全模式時選擇了第二項(安全模式_網路模式),接著均按照您所說的所以想步驟來做完所有解毒,所以想請問,會有什麼影響或問題嗎?還是需要重頭再來?
----------------
只要能解掉這個是沒關係的,不用重頭來
登大
小弟做 中學生論需要用到一些圖文請問能否轉載?
只要註明出處即可,另外這一篇是很久前的文章了,最新的"uret463.exe"那一篇現在可能會比較實用
感謝登大
那篇全國中學生網的小論文得第二名了
還贏同班研究防毒軟體的那一組
(作品類別是資訊)
網址:
http://140.111.104.17/ltivs01/01news-list-one.asp?num=8180&owner=圖書館
恭喜了,這種資訊請大力給他傳播出去,我也與有榮焉喔!
對耶...jvvo.exe跟Kavo.exe
現在好像都可以用
張書維寫的
Kavo_killer 來殺
沒錯
高大你好 最近在翻你的舊文看到這篇
想請問一下 就目前我所知道的範圍
像jvvo.exe病毒 一般不是就以jvvo.exe這個檔名駐寄在systrm32底下嗎!?
可是你說剛開始找不到 是因為在help底下的B41346EFA848.exe搞的鬼
這讓我有點搞不懂...這是指
jvvo.exe 和 B41346EFA848.exe 是同一隻病毒嗎!?
還是 這是分開的兩隻病毒 但是B4...exe 會幫助 jvvo.exe隱藏起來讓別人看不到呢!?
所謂狡兔有三窟!
寫病毒的把檔案藏在不同的地方這是很常見的,有的也會藏在 c:\windows 之下,還有 c:\windows\debug, c:\windows\downloaded program files 甚至 c:\Program Files 都有案例
但是在我寫這一篇文的時候,大部份的防毒都抓不到那個藏在 c:\windows\help 下的分身或是只抓到 .exe 跟 .dll 其中的一個,所以這個沒殺掉一下子其他的檔案又會生出來,就是這樣
所以B4....exe其實是jvvo.exe的分身而已
即使殺掉了B4....exe其實也沒有用
因為還是會被jvvo.exe在產生出來
所以一定要兩邊同時都砍掉才能產草除割
是這個意思嘛!?
沒錯!