症狀: 本病毒目前尚不知有什麼重大影響,但擴散速度極快,已發現數處會議室電腦中毒,已知影響為無法更改「隱藏檔案與資料夾」選項。
驗證步驟: 1.開啟我的電腦。由功能列選擇工具(T)->資料夾選項(O)->檢視。
2.取消「隱藏保護的作業系統檔案 (建議使用)」。
3.點選「顯示所有檔案和資料夾」。
4.點選「確定」按鈕。
5.重複步驟1檢查設定是否成功,如果設定值為「不顯示隱藏的檔案和資料夾」,則可能已經中毒,請參考下列步驟嘗試清除。
清除病毒步驟: 1.開啟regedit.exe程式,可由開始->執行(R)->輸入regedit,或者由「命令提示字元」輸入regedit命令。
2.依照階層式樹狀圖,依序開啟HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,並修改ChedkedValue為1,通常中毒後設定會被改成0。
3.使用Trend Micro HijackThis工具刪除開機自動執行病毒常駐程式,開啟後請點選「Do a system scan and save a logfile」或「Do a system scan only」兩個其中一個,稍待數分鐘即可看到下列結果。找到HKCU開頭的資料,找看看是否有kavo.exe為執行命令的設定,也有可能是其他類似或變形後的執行檔名,勾選後點選「Fix checked」,取消勾選選項開機自動執行的效果。(注意:如果勾選錯誤選項,可能造成部分正常開機執行功能被關閉,請小心選擇)
4.刪除感染的主要檔案,請開啟檔案總管,點選左方視窗開啟上述步驟所找到的執行檔路徑,找到檔名後並刪除該檔案,以上述步驟為例應該刪除檔案為C:\WINDOWS\system32\kavo.exe。(注意:若使用我的電腦執行上述步驟可能會造成重複感染,若發生重覆感染,請由步驟1開始重新執行)
5.刪除感染的延伸病毒檔案,依照本例所產生的感染行為,會在所有磁碟機根目錄產生autorun.inf與ntdelect.com兩個檔案,如在系統安裝磁碟機中可能會有NTDETECT.COM,此檔為系統開機檔案,並非病毒檔案請小心注意以免誤刪系統開機檔案,刪除時請使用檔案總管來刪除各磁碟機根目錄中的感染檔案。(注意:若使用我的電腦執行上述步驟可能會造成重複感染,若發生重覆感染,請由步驟1開始重新執行)
6.檢查隨身碟根目錄是否也有感染的延伸病毒檔案,方法請參考步驟5,插入隨身碟時,請勿執行任何自動播放功能,以免重複感染,若重複感染請由步驟1開始重新執行。
7.注意事項:
a、養成使用隨身碟時,使用「檔案總管」來開啟並檢視檔案
b、請勿使用來路不明的隨身碟,並由該隨身碟來啟動自動播放功能
c、HijackThis可由TrendSecure (
http://www.trendsecure.com/)下載,若文中連結已經失效,請自行到該網站下載
附檔中有詳細的步驟與圖片,請參考使用
