1.先執行cmd呼叫「命令執行視窗」
【步驟2~4請在命令執行視窗裡下指令】
2.執行attrib -S -H -R x:\autorun.inf
執行attrib -S -H -R x:\ntdelect.com
執行attrib -S -H -R c:\windows\system32\kavo*.*
注意:x代表自己的磁碟機,所有分割的磁碟機都要
3.del c:\windows\system32\kavo.exe
del x:\autorun.inf
del x:\ntdelect.com
注意:x代表自己的磁碟機,所有分割的磁碟機都要
注意:不要砍錯檔!ntdetect是winxp系統檔,ntde『l』ect才是木馬!
4.用attrib x:\autorun.inf和attrib x:\ntdelect.com檢查所有磁碟機是否還有重生的餘孽
5.執行regedit
6.找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run裡有一個執行c:\windows\system32\kavo.exe的值,砍了它!
7.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL裡的一個值CheckedValue把它改成1
8.將資料夾選項裏的檢視的隱藏已知的附檔名選項消除, 將c:\windows\system32\kavo0.dll ,如果無法刪除,直接將.txt加在檔名後,變成kavo0.dll.txt,再重新開機,即可再刪除
9.成功刪除 c:\windows\system32\kavo0.dll 後,再檢查一次第7步驟的值有沒有改成功
10.在下DEL指令時,有時要先刪除執行檔,再刪除AUTORUN.inf。要檢查一次所有的隨身碟,大拇哥等行動儲存裝置,避免再中毒或散布。