https://forum.andowson.com/posts/list/9.page JForum - http://www.jforum.net 本病毒目前尚不知有什麼重大影響，但擴散速度極快，已發現數處會議室電腦中毒，已知影響為無法更改「隱藏檔案與資料夾」選項。

[b]驗證步驟：[/b]
1.開啟我的電腦。由功能列選擇工具(T)->資料夾選項(O)->檢視。
2.取消「隱藏保護的作業系統檔案 (建議使用)」。
3.點選「顯示所有檔案和資料夾」。
4.點選「確定」按鈕。
5.重複步驟1檢查設定是否成功，如果設定值為「不顯示隱藏的檔案和資料夾」，則可能已經中毒，請參考下列步驟嘗試清除。

[b]清除病毒步驟：[/b]
1.開啟regedit.exe程式，可由開始->執行(R)->輸入regedit，或者由「命令提示字元」輸入regedit命令。
2.依照階層式樹狀圖，依序開啟HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL，並修改ChedkedValue為1，通常中毒後設定會被改成0。
3.使用Trend Micro HijackThis工具刪除開機自動執行病毒常駐程式，開啟後請點選「Do a system scan and save a logfile」或「Do a system scan only」兩個其中一個，稍待數分鐘即可看到下列結果。找到HKCU開頭的資料，找看看是否有kavo.exe為執行命令的設定，也有可能是其他類似或變形後的執行檔名，勾選後點選「Fix checked」，取消勾選選項開機自動執行的效果。(注意：如果勾選錯誤選項，可能造成部分正常開機執行功能被關閉，請小心選擇)
4.刪除感染的主要檔案，請開啟檔案總管，點選左方視窗開啟上述步驟所找到的執行檔路徑，找到檔名後並刪除該檔案，以上述步驟為例應該刪除檔案為C:\WINDOWS\system32\kavo.exe。(注意：若使用我的電腦執行上述步驟可能會造成重複感染，若發生重覆感染，請由步驟1開始重新執行)
5.刪除感染的延伸病毒檔案，依照本例所產生的感染行為，會在所有磁碟機根目錄產生autorun.inf與ntdelect.com兩個檔案，如在系統安裝磁碟機中可能會有NTDETECT.COM，此檔為系統開機檔案，並非病毒檔案請小心注意以免誤刪系統開機檔案，刪除時請使用檔案總管來刪除各磁碟機根目錄中的感染檔案。(注意：若使用我的電腦執行上述步驟可能會造成重複感染，若發生重覆感染，請由步驟1開始重新執行)
6.檢查隨身碟根目錄是否也有感染的延伸病毒檔案，方法請參考步驟5，插入隨身碟時，請勿執行任何自動播放功能，以免重複感染，若重複感染請由步驟1開始重新執行。
7.注意事項：
a、養成使用隨身碟時，使用「檔案總管」來開啟並檢視檔案
b、請勿使用來路不明的隨身碟，並由該隨身碟來啟動自動播放功能
c、HijackThis可由TrendSecure (http://www.trendsecure.com/)下載，若文中連結已經失效，請自行到該網站下載

[b][i][color=red]附檔中有詳細的步驟與圖片，請參考使用[/color][/i][/b]

]]> https://forum.andowson.com/posts/preList/173/267.page https://forum.andowson.com/posts/preList/173/267.page GMT