kevinnguyen25

1. Các bạn vào run--> msconfig--> trong startup bỏ cái thằng kavo (kava) đi

2. Khởi động lại máy

3. Sau khi khởi động đừng có dại dột click đúp vào bất kì phân vùng nào (nếu lỡ dại thì làm lại bước 1)

4. Vào run --> regedit --> tìm đến HKEY_LOCAL_MACHINE --> SOFTWARE --> MICROSOFT --> WINDOWS --> Currentversion --> Explorer --> Advance --> Folder --> Hidden --> SHOWALL --> delete bỏ key CheckedValue rồi tạo lại với tên như vậy (kiểu DWORD) set value là 1

5. Cho hiển thị hết file ẩn và file hệ thống lên bằng cách vào My Computer --> Tools --> Folder Options --> View --> Tại mục Hidden files and folders --> đánh chọn Show hidden files and folders --> Apply --> OK

6. Phải chuột vào từng phân vùng chọn explorer rồi xóa bỏ file autorun.inf, ntdelect.com <-- chú ý nha ko phải là ntdetect.com

7. Xóa file kavo.exe và kavo0.dll trong system32
Sở dĩ nguyên nhân có bạn nói là Format hoặc Ghost máy lại mà vẫn bị là do mới làm sạch 1 phân vùng. Virus đã len lỏi vào các phân cùng khác (ổ D,E,F...) và bạn vô tình kích hoạt lại Virus --> việc Format máy vô ích.

8. Khi sửa trong registry xong phải delete hết những file *.exe (bị nghi ngờ là virus) trong các phân vùng, các thư mục bị lây nhiễm (thường nằm trong system32, và thư mục gốc các phân vùng). Sau khi xóa trong registry mà vô tình kích hoạt lại virus thì những key trong registry đã xóa sẽ được khởi tạo lại

9. Kiểm tra trong registry (thường ở chỗ này, vì sẽ được khởi động cùng win)
- HKEY_CURRENT_USER --> Software --> Microsoft --> Windows --> Curentversion --> Run
- HKEY_LOCAL_MACHINE --> Software --> Microsoft --> Windows --> Curentversion --> Run
khi kiểm tra sẽ thấy luôn file đó đang nằm chỗ nào trên ổ cứng, thấy file nào lạ, các bạn tìm đến thẳng tay delete luôn

10. Virus lây qua flash disk (USB) rất nhanh vì vậy khi cắm 1 flash disk chưa dám chắc là sạch sẽ và an toàn các bạn nên giữ phím SHIFT cho tới khi máy báo nhận xong thiết bị mới (giữ phím shift windows sẽ không thực thi autorun), rồi sau đó phải chuột chọn explorer, thấy có file autorun.inf và những file là lạ *.exe thì delete luôn, như vậy sẽ ngăn chặn được Virus muốn xâm nhập vào máy mình và đỡ mất công ngồi gỡ từng thằng ra khỏi hệ thống

CHÚC CÁC BẠN THÀNH CÔNG !!!

CUBASE

cái này quá cũ và chẳng có tác dụng gì cả, về cơ bản thì ko nhìn thấy kavo nữa nhưng chỉ vài lần khởi động thì đâu lại vào đấy

hiep23984

Bạn nói đúng. Nếu ai bị nhiễm hãy đọc bài của mình sẽ làm được.
Mình là người đã từng bị nhiễm con kavo này và mình cũng từng hì hục làm theo hướng dẫn như trên không sai một li. Mình thấy hướng dẫn này ở rất nhiều diễn đàn nhưng mình xin khẳng định với các bạn là làm theo hướng dẫn này sẽ KHÔNG THÀNH CÔNG
Bài hướng dẫn này có điểm sai rất quan trọng ở bước thứ 6. Nếu bạn làm theo bước này, tức là chọn chuột phải rồi chọn explorer thì ngay lập tức con virus này được hoạt động trở lại nhờ con autorun.inf của chính nó. Có nghĩa là virus được kích hoạt động lại bình thường --> Tất cả bước 1 đến 5 là vô nghĩa.
cú pháp autorun.inf của amvo (tương tự kavo) là:
;fsaSDa0iar
[AutoRun]
;kdKs17A5j4fCe2si0kf34wDFO42iAwfllKd3oKwjs9iwdsKld 4
open=1weicxa.com
;Dsf4o9n0Sss1Kd73kli
shell\open\Command=1weicxa.com
;kjksldAadA2d4n4K02j2dsldr2a22owX4iLj51js
shell\open\Default=1
;iJ4wa6s3qosKoL
shell\explore\Command=1weicxa.com
;ik04dw42w1X24aOrl2aDd5wp3AaS1a2L2lof42502ia1ak0oZ kadkwqdslfie3J4DHK6woDjl8ai5ks
dceJr2warrwZAKaiA74Ud3
Vậy bài hướng dẫn trên chỉ đúng với con kavo(amvo, tavo) mà file autorun.inf của nó không có dòng shell\explore\Command=1weicxa.com
Vậy muốn làm theo hướng dẫn kia thì bạn phải thay đổi bước 6 đó bằng một trong 3 cách sau (hoặc cách khác nếu bạn biết)
cách 1: Start/All programs/Accessories/Windows Explorer rồi truy nhập ổ đĩa bằng cây thư mục bên tay trái và nhìn sang bên phải xóa những file virus (chú ý là virus có thể có tên 1weicxa.com, ntdelect.com ... nhưng nó sẽ luôn đi kèm với autorun.inf). Nếu không thấy virus bạn cũng phải chỉnh thêm thuộc tính hiện những file ẩn của hệ thống (tự tìm)
cách 2: Vào các ổ đĩa bằng lệnh các dòng lệnh.
Ví dụ muốn vào ổ D thì vào my computer gõ D:\ rồi enter hoặc vào run gõ D:\ enter
Cách 3: Dùng winrar để view
Tiện đây xin góp ý thêm về cách phòng tránh nó bằng cách giữ shift. Nếu bạn giữ shift rồi lát nữa chuột phải chọn explorer thì vẫn bị autorun hoạt động đó. Vậy phải truy nhập usb bằng các dòng lệnh hoặc Windows Explorer như mình chỉ ở trên rồi xem có file virus nào không (chú ý là phải để chế độ hiện file ẩn, file hệ thống).

__________________
Nhà tớ cho thuê xe du lịch từ 4-16 chỗ ở Hà Nội.
Liên hệ YM: thehiep23984