Đây là cách diệt con kavo.

exe, bạn làm như vậy thử xem sao :

1-run-->msconfig--> trong startup bỏ cái thằng kavo đi
2- khởi động lại máy
3- sau khi khởi động đừng có dại dột click đúp vào bất kì phân vùng nào sẽ khởi
động
lại con virus(nếu kích đúp > làm lại bước 1)
4- run --> regedit --> tìm đến
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\Curr entversion\
Explorer\Advance\Folder\Hidden\SHOWALL delete bỏ key CheckedValue rồi tạo lại
với tên như vậy (kiểu DWORD) set value là 1
5-cho hiển thị hết file ẩn và file hệ thống lên
6- Tiếp theo là vào các ổ qua ô Address của Window Explore (dùng chuột sổ cái
address xuống --> di chuột đến ổ cần vào --> click) chứ kô được vào bằng click đúp
lên các ổ để kô kích hoạt lại virus.
Sau khi vào được ổ thì Xóa 2 cái file Autorun.inf và ntdetect.com đi. Chú ý ở ổ C có
ntdetect.com(chữ thường) của virus và NTDETECT.COM (chữ in hoa) của OS --> chỉ
xóa ntdetect.com(chữ thường)

7- Tiếp theo vào xóa các file Kavo.exe và Kavo*.dll trong c:\windows\System32
8- Tiếp nữa là vào regedit xóa key "kava"="%Sysdir%\Kavo.exe" trong
HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\Curren tVersion\Run

Restart Computer --> OK !

Nếu xóa luôn file ntdetect.com trong phân vùng chứa Win thì khi khởi động lại nó sẽ
báo ntdetect failed và ko vào được Win
Cứ bình tĩnh đâu còn có đó,
- kiếm cái đĩa Win nhét vô, khởi động từ cd
vào chế độ Repair console (nhấn phím R)
- chọn phân vùng cần repair nếu như máy cài nhiều OS, còn nếu chỉ có 1 thì táng số
1 rồi enter
-nhập pass (nếu có)
-gõ dòng sau: copy <tên ổ đĩa cd>:\i386\ntldr <tên ổ chứa win>:\
copy <tên ổ đĩa cd>:\i386\ntdetect.com <tên ổ chứa win>:\
vd iem cài win ở phân vùng C, ổ cd là F
copy F:\i386\ntldr C:\
copy F:\i386\ntdetect.com C:\
- lấy đĩa cd ra khỏi ổ (ném bỏ nếu cảm thấy thích), type exit

Để tránh việc xóa nhầm file ntdetect.com trong phân vùng cài win thì trước khi xóa
các pác phải chuột vào file đó xem properties, cái nào có ngày khởi tạo mới hơn thì
đó file cần xóa, còn nếu xóa nhầm thì làm như trên...
Goodluck

Hoạt động:
Tạo các file:
* %sysdir%\passwd.log ( lưu các passwords lấy được)
* %sysdir%\wincab.sys ( rootkit )
* %sysdir%\kavo.exe ( bản sao của virus )
* %sysdir%\kavo0.dll ( thư viện hook password )
* %sysdir%\tf.dll ( thư viện hook password )
* %sysdir%\[random_name].dll ( thư viện hook password )
xóa file nguồn khi chạy file %sysdir%\kavo.exe
tạo các file: autorun.inf,NTDELCT.COM trên tất cả các phân vùng ổ cứng, kể cả USB
nếu có, mỗi khi double-click lên các phân vùng, hệ thống dựa vào file autorun.inf để
chạy file NTDELCT.COM, do vậy nội dung file autorun.inf sẽ có dòng:
[autorun]
open=NTDELCT.COM
(có thể có biến thể khác).
khi NTDELCT.COM được kích hoạt, nó sẽ kiểm tra sự tồn tại của process kavo.exe,
nếu chưa chạy nó sẽ kiểm tra tiếp sự tồn tại của file %sysdir%\kavo.exe. Nếu ko tồn
tại file này,NTDELCT.COM sẽ tạo ra file kavo.exe và chạy nó.
khi file kavo.exe chạy:
liên tục chỉnh sửa key:HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--
Advance--Folder--Hidden-SHOWALL về giá trị 0.
liên tục tạo các file trên ở mọi phân vùng - (việc tạo qua lại giữa các file đảm bảo cho
virus tồn tại).

Cách khắc phục:

Tắt kavo.exe:chạy CMD, gõ taskkill /f /im kavo.exe
Đặt lại key: HKLM --SW--MICRO--WINDOWS-Currentversion--Explorer--Advance--
Folder--Hidden-SHOWALL giá trị thành 1.
Xóa key tự chạy của kavo.exe trong khóa --SW--MICRO--WINDOWS-
Currentversion--RUN
mở Explorer(xuất hiện Explorer bar), hiển thị các file ẩn, file hệ thống bằng thiết đặt
trong Tools-Folder Option., nếu ko thấy Folder Option thì đặt lại bằng cách:
vào run, gõ gpedit.msc
tìm đến khóa: User Configuration/Administrative Templates/Windows
Components/Windows Explorer/Removes the Folder Options menu item from the
Tools menu. đặt giá trị thành Enable, Apply, đặt lại thành Not Configured.

Chỉ thực hiện thao tác truy xuất ổ bằng Explorer bar, không double-click vào bất cứ
phân vùng nào, tránh tình trạng tái khởi động virus,
đọc file autorun.inf nếu có, tìm file có tên trong dòng "open=" ở từng phân vùng, xóa
file đó và file autorun.inf.

Xóa các file được liệt kê ở phần trên cùng bài này, kiểm tra và làm sạch thư mục
Temp và Temp Internet Files trong Documents and Settings/User Name/Local
Settings/.
Note: Tốt nhất nên thay đổi thói quen double-click trực tiếp lên các phân vùng, nên
sử dụng Explorer Bar để truy xuất vào các phân vùng ổ cứng.