依照扫毒报告来看 似乎是中了最近流行的jvvo病毒 可以到google 搜寻 jvvo kavo 等关键字 或 看下面 --------------------------------------------------------------------------- 以下解毒方法 取自台南女中资研社指导老师 请务必「确实」做到以下步骤，否则病毒一定会重覆产生： 1.重新开机进入安全模式 2.插入所有你用到的usb随身碟，并确定电脑能抓取到 3.千万不要在「我的电脑」中，点击滑鼠开启任何磁碟区(比如 c 槽、d 槽) 4.开始 -> 执行 -> 输入 cmd -> 确定 -> 输入 taskkill /f /im explorer.exe -> 确定 -> 再输入一次 explorer.exe 5.千万不要在「我的电脑」中，点击滑鼠开启任何磁碟区(比如 c 槽、d 槽) 6.开始 -> 执行 -> 输入 regedit ->找到以下机码： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 将 "CheckedValue"=dword:00000000 数值改为 1 这是解除隐藏 7.找寻以下机码： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 直接删除 MountPoints2 8.千万不要在「我的电脑」中，点击滑鼠开启任何磁碟区(比如 c 槽、d 槽) 9.进入我的电脑 -> 上方工具列的工具 -> 资料夹选项 -> 检视 -> 取消「隐藏保护的作 业系统档案」及点选「隐藏所有档案和资料夹」 -> 确定 10.开始 -> 执行 -> 输入 cmd -> 输入 del /f /q %windir%\system32\kav*.* 按enter 11.上述步骤执行完毕後输入 cd %userprofile%\"local settings" 按 enter -> 输入 rd /s /q temp 按enter 12.以 explorer 指令开启磁碟区，如： explorer c: 、explorer d以此类推，看你有几 个磁碟区，包含随身碟，千万不要在「我的电脑」中，点击滑鼠开启任何磁碟区) 13.删除所有磁碟区的 autorun.inf 、 ntdelect.com、 ntdeI(此为大写的 i)ect.com、 auto.exe、 sos.exe 、 avp.exe(有些是变种的档名，没有就没有，有就删) 14.开始 -> 执行 -> 输入 msconfig -> 到「启动」页面 -> 取消 kava、tasa、kavo、... -> 大功告成，重新开机 15.在防火墙将以下ip封锁(这个病毒是透过这些ip来做持续更新)： 60.169.0.182 ~ 60.169.0.188 尤其 60.169.0.185 一定要封锁(不会使用防火墙，请自 行研究) 上述步骤一定可以完整清除Virus.Packed,Win32.NSAnti.r (卡巴斯基判定 KAVO.exe、ntdelect.com、autorun.inf 的病毒名称) 因此这个病毒的删除重点： 1.就是explorer.exe 要先被停用再启用，因为会有一只 kavoX.dll 及tasoX.dll(盗帐号 的木马)被 explorer.exe 调用 2.不要在「我的电脑」中，点击滑鼠开启任何磁碟区(比如 c 槽、d 槽)，因为会触发 autorun.inf 呼叫 ntdelect.com或avp.exe、sos.exe、auto.exe…，病毒行为会一再重 覆执行 3.将 60.169.0.182 ~ 60.169.0.188 IP封锁，尤其是 60.169.0.185，这是它的更新来源 请确定一定要依照我的步骤确定做完，并请回报是否解决。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 202.132.77.125