依照掃毒報告來看 似乎是中了最近流行的jvvo病毒 可以到google 搜尋 jvvo kavo 等關鍵字 或 看下面 --------------------------------------------------------------------------- 以下解毒方法 取自台南女中資研社指導老師 請務必「確實」做到以下步驟，否則病毒一定會重覆產生： 1.重新開機進入安全模式 2.插入所有你用到的usb隨身碟，並確定電腦能抓取到 3.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽) 4.開始 -> 執行 -> 輸入 cmd -> 確定 -> 輸入 taskkill /f /im explorer.exe -> 確定 -> 再輸入一次 explorer.exe 5.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽) 6.開始 -> 執行 -> 輸入 regedit ->找到以下機碼： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 將 "CheckedValue"=dword:00000000 數值改為 1 這是解除隱藏 7.找尋以下機碼： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 直接刪除 MountPoints2 8.千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽) 9.進入我的電腦 -> 上方工具列的工具 -> 資料夾選項 -> 檢視 -> 取消「隱藏保護的作 業系統檔案」及點選「隱藏所有檔案和資料夾」 -> 確定 10.開始 -> 執行 -> 輸入 cmd -> 輸入 del /f /q %windir%\system32\kav*.* 按enter 11.上述步驟執行完畢後輸入 cd %userprofile%\"local settings" 按 enter -> 輸入 rd /s /q temp 按enter 12.以 explorer 指令開啟磁碟區，如： explorer c: 、explorer d以此類推，看你有幾 個磁碟區，包含隨身碟，千萬不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區) 13.刪除所有磁碟區的 autorun.inf 、 ntdelect.com、 ntdeI(此為大寫的 i)ect.com、 auto.exe、 sos.exe 、 avp.exe(有些是變種的檔名，沒有就沒有，有就刪) 14.開始 -> 執行 -> 輸入 msconfig -> 到「啟動」頁面 -> 取消 kava、tasa、kavo、... -> 大功告成，重新開機 15.在防火牆將以下ip封鎖(這個病毒是透過這些ip來做持續更新)： 60.169.0.182 ~ 60.169.0.188 尤其 60.169.0.185 一定要封鎖(不會使用防火牆，請自 行研究) 上述步驟一定可以完整清除Virus.Packed,Win32.NSAnti.r (卡巴斯基判定 KAVO.exe、ntdelect.com、autorun.inf 的病毒名稱) 因此這個病毒的刪除重點： 1.就是explorer.exe 要先被停用再啟用，因為會有一隻 kavoX.dll 及tasoX.dll(盜帳號 的木馬)被 explorer.exe 調用 2.不要在「我的電腦」中，點擊滑鼠開啟任何磁碟區(比如 c 槽、d 槽)，因為會觸發 autorun.inf 呼叫 ntdelect.com或avp.exe、sos.exe、auto.exe…，病毒行為會一再重 覆執行 3.將 60.169.0.182 ~ 60.169.0.188 IP封鎖，尤其是 60.169.0.185，這是它的更新來源 請確定一定要依照我的步驟確定做完，並請回報是否解決。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 202.132.77.125