Cách diệt virus W32.Kavo

Cát Tường

Virus Win32:Kavos Virus Kavo khiến Yahoo! Messenger tự “kết thúc”, Quản Trị Mạng đã tìm hiểu và đưa ra cách thức giúp bạn đọc nếu nhiễm phải con virus này có thể "bắt" và xóa nó bằng tay hoặc dùng phần mềm diệt virus hỗ trợ.

Cách diệt virus Kavo bằng phần mềm ClamWin Free Antivirus

Tải ClamWin Free Antivirus và cài đặt trên máy tính, đến màn hình Select Components, nếu không muốn tích hợp phần mềm vào Outlook và Widows Explorer thì bạn có thể bỏ tích chọn, rồi nhấn Next.

Sau khi cài xong, bạn nhấp vào biểu tượng phần mềm trên desktop để mở, bạn sẽ được nhắc tải dữ liệu virus mới nhất trwóc khi vào giao diện chính của phần mềm.

Bạn nhấn phím Shift và chọn tất cả các ổ đĩa hiện ra rồi nhấn phím Scan.

Phần mềm sẽ tiến hành quét máy tính, phát hiện và loại bỏ virus Kado, cũng như những malware khác trên máy tính.

Cách xóa virus Kavo thủ công

1. Chạy Task Manager

Bấm chuột phải vào thanh Taskbar ở dưới góc phải màn hình, chọn Task Manager, bạn sẽ thấy hiển thị ra cửa sổ của Task Manager

Hình 1: Chạy Task Manager

Tắt bỏ WScript.exe & Explorer.exe nếu 2 chương trình này đang chạy

Hình 2: Đóng wscript.exe

Hình 3: Đóng explorer.exe

2. Xóa bỏ các file Autorun.inf

Đặc điểm của con Kavo này là sinh ra các file Autorun nằm trong các thư mục gốc của các ổ đĩa cứng. Các file này giúp cho virus được kích hoạt khi nạn nhân nháy đúp chuột vào ổ cứng. Để tránh việc tái kích hoạt virus, một trong những điều đầu tiên là bạn phải xóa bỏ các file Autorun trong thư mục gốc của các ổ (Ở máy của tôi là ổ C, D, E)

Trong cửa sổ Task Manager bạn chọn File > New Task (Run...)

Hình 4: Mở hộp thoại run để thi hành 1 chương trình

Màn hình sẽ thị hộp lệnh Run, bạn gõ cmd để mở màn hình console, thực hiện các lệnh DOS

Hình 5: Chạy lệnh CMD

Trong console bạn lần lượt thực hiện các lệnh sau đây:

Hình 6: Màn hình Consonle để thi hành các dòng lệnh

DEL c:\autorun.* /f /a /s /q
DEL d:\autorun.* /f /a /s /q
DEL e:\autorun.* /f /a /s /q

3. Xóa bỏ virus

Trong cửa sổ console bạn gõ các lệnh sau:

CD c:\windows\system32
DIR /a avp*.*

Bạn sẽ thấy hiển thị các file avpo.exe hoặc avpo0.dll

Tiếp tục gõ

ATTRIB -r -s -h avpo.exe
DEL avpo.exe

hoặc

ATTRIB -r -s -h avpo0.dll
DEL avp0.dll

Tiếp tục gõ

DIR /a kavo*.*

Nếu xuất hiện 1 hoặc các file kavo.exe và kavo0.dll hay kavo1.dll

Thực hiện các lệnh xóa

ATTRIB -r -s -h kavo.exe
DEL kavo.exe
ATTRIB -r -s -h kavo.dll
DEL kavo.dll
ATTRIB -r -s -h kavo1.dll
DEL kavo1.dll

Tiếp tục gõ trong console

CD\
ATTRIB -r -s -h ntde1ect.com
DEL ntde1ect.com

4. Chỉnh sửa Regedit

Trong cửa sổ Task Manager, Chọn File > New Task (Run...) (Hình 4)

Hiển thị hộp lênh Run, bạn gõ regedit

Hình 7: Thi hành chương trình Regedit

Hình 8: Cửa sổ regedit

Hình 9: Xóa avpo.exe

Bạn vào HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

Trong panel bên trái của cửa sổ Regedit, nếu trong đó có dòng avpo.exe, bạn click chuột phải vào và xóa bỏ dòng chữ đó đi

Kết thúc quá trình, bạn khởi động lại máy.

Vào lại windows, nếu chưa thấy hiển thị các file ẩn (do ảnh hưởng của virus) bạn có thể tải file Windows Registry sau về và chạy nó https://quantrimang.com/data/fixHiddenFiles.reg

Vào Statup bằng cách vào Run > gõ msconfig

Hình 10: Chạy MsConfig