(大概)今天同事打開信件時中了kavo 變種, 可能是taso, 小弟下載張書維的kavo_killer.exe, 但是好像被病毒攔截了, 只好另外設法下載, 但是仍無法根除, 最後不得已只好執行AutoRuns, 以肉眼觀察, 結果發現在 "Exploere" 之下
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
多了一個不明的 "c:\windows\help\F3xxxxxxxxxx.dll", 由於檔案總管無法設定顯示隱藏檔, 所以從命令提示字元執行 "dir c:\windows\help /ah", 結果找到兩個同名的隱藏檔(dll & exe), 小弟由日期和屬性判斷, 99.999% 是病毒, 因為 "c:\windows\help" 之下不應該有任何 "見不得人" 的檔案, 難怪清除kavo, taso, ntdelete, 和autorun.inf 之後再開啟檔案總管, 則防毒程式又發現不明程式入侵, 但無法清除
最後總整理一下, 小弟的清除方法是以BartPE 開機(或者搜尋網友jzdai0903 所製作的 "XPE), 下載並執行張書維的kavo_killer.exe, 手動清除 "c:\windows\help\F3xxxxxxxxxx.*", 接著啟動Windows 安全模式, 執行 "regedt32", 首先以#1 所介紹的方法將 "CheckedValue" 設為1, 再找到上面所提到的 "ShellExecuteHooks", 複製第一個字串名, 然後從頭搜尋該字串名, 由搜尋到的第一個CLSID 可以確定和 "F3xxxxxxxxxx.dll" 相關, 接下來就可以放心刪除和該字串相關的機碼, 最後再把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
之下不該出現的字串值刪除, 就大功告成(不敢保證)
書籤