Cách diệt virus W32.Kavo
Cập nhật lúc 15h31' ngày 11/07/2008

Sau bài viết Virus Kavo khiến Yahoo! Messenger tự “kết thúc”, Quản Trị Mạng đã tìm hiểu và đưa ra cách thức giúp bạn đọc nếu nhiễm phải con virus này có thể "bắt" và xóa nó bằng tay.

1. Chạy Task Manager 

Bấm chuột phải vào thanh Taskbar ở dưới góc phải màn hình, chọn Task Manager, bạn sẽ thấy hiển thị ra cửa sổ của Task Manager


Hình 1: Chạy Task Manager

Tắt bỏ WScript.exe & Explorer.exe nếu 2 chương trình này đang chạy


Hình 2: Đóng wscript.exe


Hình 3: Đóng explorer.exe

2. Xóa bỏ các file Autorun.inf

Đặc điểm của con Kavo này là sinh ra các file Autorun nằm trong các thư mục gốc của các ổ đĩa cứng. Các file này giúp cho virus được kích hoạt khi nạn nhân nháy đúp chuột vào ổ cứng. Để tránh việc tái kích hoạt virus, một trong những điều đầu tiên là bạn phải xóa bỏ các file Autorun trong thư mục gốc của các ổ (Ở máy của tôi là ổ C, D, E)

Trong cửa sổ Task Manager bạn chọn File > New Task (Run...)


Hình 4: Mở hộp thoại run để thi hành 1 chương trình

Màn hình sẽ thị hộp lệnh Run, bạn gõ cmd để mở màn hình console, thực hiện các lệnh DOS


Hình 5: Chạy lệnh CMD

Trong console bạn lần lượt thực hiện các lệnh sau đây:


Hình 6: Màn hình Consonle để thi hành các dòng lệnh

DEL c:\autorun.* /f /a /s /q 
DEL d:\autorun.* /f /a /s /q
DEL e:\autorun.* /f /a /s /q

3. Xóa bỏ virus

Trong cửa sổ console bạn gõ các lệnh sau:

CD c:\windows\system32
DIR /a avp*.*

Bạn sẽ thấy hiển thị các file avpo.exe hoặc avpo0.dll

Tiếp tục gõ

ATTRIB -r -s -h avpo.exe
DEL avpo.exe

hoặc 

ATTRIB -r -s -h avpo0.dll
DEL avp0.dll

Tiếp tục gõ

DIR /a kavo*.*

Nếu xuất hiện 1 hoặc các file kavo.exekavo0.dll hay kavo1.dll

Thực hiện các lệnh xóa

ATTRIB -r -s -h kavo.exe
      DEL kavo.exe

ATTRIB -r -s -h kavo.dll
      DEL kavo.dll

ATTRIB -r -s -h kavo1.dll
      DEL kavo1.dll

Tiếp tục gõ trong console

CD\
ATTRIB -r -s -h ntde1ect.com
DEL ntde1ect.com

4. Chỉnh sửa Regedit 

Trong cửa sổ Task Manager, Chọn File > New Task (Run...) (Hình 4) 

Hiển thị hộp lênh Run, bạn gõ regedit


Hình 7: Thi hành chương trình Regedit


Hình 8: Cửa sổ regedit


Hình 9: Xóa avpo.exe

Bạn vào HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run 

Trong panel bên trái của cửa sổ Regedit, nếu trong đó có dòng avpo.exe, bạn click chuột phải vào và xóa bỏ dòng chữ đó đi

Kết thúc quá trình, bạn khởi động lại máy.

Vào lại windows, nếu chưa thấy hiển thị các file ẩn (do ảnh hưởng của virus) bạn có thể tải file Windows Registry sau về và chạy nó http://www.quantrimang.com/data/fixHiddenFiles.reg

Vào Statup bằng cách vào Run > gõ msconfig


Hình 10: Chạy MsConfig


Hình 11: Bỏ check Kavo, hoặc Avpo

Khởi động lại máy tính của bạn lần nữa.
Quản Trị Mạng
Đánh giá(?):
Các bài phản hồi, bình luận
Tất cả có 9 phản hồi cho bài này
Gửi bởi Bạn Le Trung Ha [allempty] lúc 08:57 12/07/2008
Good.! Cam on Ban QTM
 Phàn nàn
Gửi bởi Bạn Phan Thoại Nam [luonhochoi] lúc 10:51 15/07/2008
QTM viết bài này rất hay.Bạn cho mình bổ sung thêm 1 cách nữa là các bạn có thể down chương trình avira antivir personal - free antivirus ở trang web http://www.free-av.com để diệt virus này. Mình đã bị dính con virus này và đã dùng chương này diệt có hiệu qủa lắm.
 Phàn nàn
Gửi bởi Bạn đào ngọc hữu [docnhan3x] lúc 20:40 25/07/2008
tui làm mãi mà sao hổng ddc nơi
 Phàn nàn
Gửi bởi Bạn vo dai duong [duongvo] lúc 23:07 30/07/2008
QTM ơi! em ko diệt được mấy con virut này.......đau đầu quá.....em làm như QTM mà ko được, em nhấn chuột phải nhưng cái task manager của em nó bị ẩn , ko click vào được.......em làm như bạn phanthoainam nhưng cũng ko ăn thua gì.....nó vẫn cứ xuất hiện hoài.......vậy giờ em phải làm sao đây........??? mọi người giúp em với....!!!
 Phàn nàn
Gửi bởi Bạn Nguyễn Đức Sơn [sonnguyen] lúc 16:13 02/08/2008
to vo dai duong:
Bạn có thể nhấn Ctrl+Alt+DEL nó sẽ hiển thị hộp thoại và bạn chọn Task Manager (như vậy vậy cũng hiển thị được Task Manager)
 Phàn nàn
Gửi bởi Bạn d x t [winspring] lúc 18:01 02/08/2008
Kavo chỉ oanh tạc ngày xưa thôi, bây giờ còn hoạt động sao được khi BKAV đã cập nhật.
 Phàn nàn
Gửi bởi Bạn Tran Nam Khanh [khanhintech] lúc 08:36 03/08/2008
Ok minh cung diet con nay 1 cach kha de dang voi phan mem BKAV, nhung voi dieu kien ban phai chay Windows trong moi truong Safemode va cho hien cac file an len, sau do cac ban co the nhin thay rat nhieu files virus Kavo, Autorun va cac bien the cua noi cac ban co the xua ngay truc tiep bang tay ma, roi vao Regedit chinh sua lai 1 teo la OK ngay.
 Phàn nàn
Gửi bởi Bạn le phuong thao [happyfeet2102] lúc 23:20 26/08/2008
tai sao may cua e vao task manage k co WScript.exe va khi e go lenh DEL c:\autorun.*/f /a /s /q no lai bao la k co file nay.tuong tu cho cac o con lai.Moi nguoi giup e voi.E da thu du cac cach de diet nhung cung chi vao Yahoo dc 1 luc la tu bi out lun k vao dc nua
 Phàn nàn
Gửi bởi Bạn vu thanh binh [ngactudi] lúc 10:15 29/08/2008
co the may tinh cua ban khong co tap tin do.nhu may cua minh cung khong co ne`.khi do ban phai lam nhu ban QTM de nhin ra cac files an rui` xoa thu cong thoi. nhung nho la khi vao khong dc kick truc tiep vao cac o.Ma phai mo explorer ra rui` chon o ben cot foder(ben trai cua so)(de tranh toi da viec kick hoat virut neu no co trong o cua ban)vay nha
 Phàn nàn
Tất cả có 9 phản hồi cho bài này
Tiêu điểm (xem thêm)
BlazingTools Perfect Keylogger 1.68
Phát hành: BlazingTools Software
Download:23622
Dung lượng: 578 KB
Tìm thêm:perfect keylogger, keylog, gián điệp, không thể bị phát hiện
 
Deep Freeze Standard 6.30.021.1926
Phát hành: Faronics
Download:11730
Dung lượng: 9.96 MB
Tìm thêm:pc, hệ thống, faronics, đóng băng, đóng băng ổ cứng
 
Comodo Firewall Pro 3.0.25.378
Phát hành: Comodo
Download:11494
Dung lượng: 18.6 MB
Tìm thêm:microsoft windows 2000, threat, firewall, attack, security, tưởng lửa, ngăn chặn, bảo vệ
 
Cain & Abel
Phát hành: Massimiliano Montoro
Download:9439
Dung lượng: 5.97 MB
Tìm thêm:cain & abel
 
Folder Lock 6.0.1
Phát hành: New Softwares
Download:8676
Dung lượng: 2.76 MB
Tìm thêm:bảo vệ dữ liệu, password, mã hoá, thư mục, new softwares, folder
Những chuyện kỳ bí