木馬病毒Kavo.exe

Kavo.exe 這隻木馬病毒近來真是害慘我了

學校至今至少有四台以上電腦偵測出這個病毒的蹤跡，並且造成了危害........

首先是趨勢Officescan一直出現病毒警訊，看似被趨勢刪除的病毒檔案，卻一再的出現生成新的病毒檔案ntdelect.com、kavo0.dll....

然後要處理時打開電腦的資料夾選項想要將「顯示隱藏檔」的功能打開卻老是被鎖住讓你無法顯示隱藏檔

真是有夠機車

上網搜尋了一下找到這篇~~這隻木馬還真麻煩－Kavo.exe－

依照他的說明一步一步將有問題的檔案清除

重開機之後大功告成

---

以下將~曬月亮的魚~這隻木馬還真麻煩－Kavo.exe－的清毒過程節錄下來

1．先執行cmd呼叫「命令執行視窗」

【步驟2~4請在命令執行視窗裡下指令】 

2．執行attrib -A -S -H -R x:\autorun.inf

    執行attrib -A -S -H -R x:\ntdelect.com

    執行attrib -A -S -H -R c:\windows\system32\kavo*.* 

    注意：x代表自己的磁碟機，所有分割的磁碟機都要

3．del c:\windows\system32\kavo.exe

     del x:\autorun.inf

     del x:\ntdelect.com

     注意：x代表自己的磁碟機，所有分割的磁碟機都要

     注意：不要砍錯檔！ntdetect是winxp系統檔，ntde『l』ect才是木馬！

4．用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽

5．執行regedit

6．找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

     裡有一個執行c:\windows\system32\kavo.exe的值，砍了它，別客氣！

7．找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL

     裡的一個值CheckedValue把它改成1

8． 將c:\windows\system32\kavo0.dll 刪除（選重開機後刪除），如果沒有killbox，就先重開機，在跑完BIOS畫面後一直按F8，選擇進入「安全模式」就可以刪除了

9．成功刪除 c:\windows\system32\kavo0.dll 後，再檢查一次第7步驟的值有沒有改成功

---

再重開機後試試看能不能「顯示隱藏檔」
（本來木馬在的時候，就算選了顯示還是會跳回去）， 

如果可以就是大功告成了！

如果還是不放心，就看看c:\windows\system32裡還有沒有kavo開頭的檔案，並利用顯示隱藏檔的方式，檢查各分割磁區裡有沒有autorun.inf和ntdelect.com這兩個檔

 

 小心您的隨身碟裡是否也藏有autorun.inf和ntdelect.com這兩個檔

如果這時把隨身碟插進主機...嘿嘿...那就再來一次吧！

 

延伸閱讀: 

• [疑問]ntdelect.com用途?
• 香草巧克力解決 ~ 硬碟打不開 & 無法顯示隱藏檔