Virus Kavo_vo Hieu Folder Option

Đây là cách diệt con kavo.exe, bạn làm như vậy thử xem sao : 1-run-->msconfig--> trong startup bỏ cái thằng kavo đi 2- khởi động lại máy 3- sau khi khởi động đừng có dại dột click đúp vào bất kì phân vùng nào sẽ khởi động lại con virus(nếu kích đúp > làm lại bước 1) 4- run --> regedit --> tìm đến HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\Curr entversion\ Explorer\Advance\Folder\Hidden\SHOWALL delete bỏ key CheckedValue rồi tạo lại với tên như vậy (kiểu DWORD) set value là 1 5-cho hiển thị hết file ẩn và file hệ thống lên 6- Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái address xuống --> di chuột đến ổ cần vào --> click) chứ kô được vào bằng click đúp lên các ổ để kô kích hoạt lại virus. Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdetect.com đi. Chú ý ở ổ C có ntdetect.com(chữ thường) của virus và NTDETECT.COM (chữ in hoa) của OS --> chỉ xóa ntdetect.com(chữ thường) 7- Tiếp theo vào xóa các file Kavo.exe và Kavo*.dll trong c:\windows\System32 8- Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\Curren tVersion\Run Restart Computer --> OK ! Nếu xóa luôn file ntdetect.com trong phân vùng chứa Win thì khi khởi động lại nó sẽ báo ntdetect failed và ko vào được Win Cứ bình tĩnh đâu còn có đó, - kiếm cái đĩa Win nhét vô, khởi động từ cd vào chế độ Repair console (nhấn phím R) - chọn phân vùng cần repair nếu như máy cài nhiều OS, còn nếu chỉ có 1 thì táng số 1 rồi enter -nhập pass (nếu có) -gõ dòng sau: copy :\i386\ntldr :\ copy :\i386\ntdetect.com :\ vd iem cài win ở phân vùng C, ổ cd là F copy F:\i386\ntldr C:\ copy F:\i386\ntdetect.com C:\ - lấy đĩa cd ra khỏi ổ (ném bỏ nếu cảm thấy thích), type exit Để tránh việc xóa nhầm file ntdetect.com trong phân vùng cài win thì trước khi xóa các pác phải chuột vào file đó xem properties, cái nào có ngày khởi tạo mới hơn thì đó file cần xóa, còn nếu xóa nhầm thì làm như trên... Goodluck Hoạt động: Tạo các file: * %sysdir%\passwd.log ( lưu các passwords lấy được) * %sysdir%\wincab.sys ( rootkit ) * %sysdir%\kavo.exe ( bản sao của virus ) * %sysdir%\kavo0.dll ( thư viện hook password ) * %sysdir%\tf.dll ( thư viện hook password ) * %sysdir%\[random_name].dll ( thư viện hook password )

xóa file nguồn khi chạy file %sysdir%\kavo.exe tạo các file: autorun.inf,NTDELCT.COM trên tất cả các phân vùng ổ cứng, kể cả USB nếu có, mỗi khi double-click lên các phân vùng, hệ thống dựa vào file autorun.inf để chạy file NTDELCT.COM, do vậy nội dung file autorun.inf sẽ có dòng: [autorun] open=NTDELCT.COM (có thể có biến thể khác). khi NTDELCT.COM được kích hoạt, nó sẽ kiểm tra sự tồn tại của process kavo.exe, nếu chưa chạy nó sẽ kiểm tra tiếp sự tồn tại của file %sysdir%\kavo.exe. Nếu ko tồn tại file này,NTDELCT.COM sẽ tạo ra file kavo.exe và chạy nó. khi file kavo.exe chạy: liên tục chỉnh sửa key:HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer-Advance--Folder--Hidden-SHOWALL về giá trị 0. liên tục tạo các file trên ở mọi phân vùng - (việc tạo qua lại giữa các file đảm bảo cho virus tồn tại). Cách khắc phục: Tắt kavo.exe:chạy CMD, gõ taskkill /f /im kavo.exe Đặt lại key: HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--Advance-Folder--Hidden-SHOWALL giá trị thành 1. Xóa key tự chạy của kavo.exe trong khóa --SW--MICRO--WINDOWSCurrentversion--RUN mở Explorer(xuất hiện Explorer bar), hiển thị các file ẩn, file hệ thống bằng thiết đặt trong Tools-Folder Option., nếu ko thấy Folder Option thì đặt lại bằng cách: vào run, gõ gpedit.msc tìm đến khóa: User Configuration/Administrative Templates/Windows Components/Windows Explorer/Removes the Folder Options menu item from the Tools menu. đặt giá trị thành Enable, Apply, đặt lại thành Not Configured. Chỉ thực hiện thao tác truy xuất ổ bằng Explorer bar, không double-click vào bất cứ phân vùng nào, tránh tình trạng tái khởi động virus, đọc file autorun.inf nếu có, tìm file có tên trong dòng "open=" ở từng phân vùng, xóa file đó và file autorun.inf. Xóa các file được liệt kê ở phần trên cùng bài này, kiểm tra và làm sạch thư mục Temp và Temp Internet Files trong Documents and Settings/User Name/Local Settings/. Note: Tốt nhất nên thay đổi thói quen double-click trực tiếp lên các phân vùng, nên sử dụng Explorer Bar để truy xuất vào các phân vùng ổ cứng.