關於KAV0.exe 這類型的病毒，會另外產生ntdelect.com、kav0.dll、kav1.dll、等的病毒檔，其中有「ntdelect.com」和「autorun.inf」這兩個檔案，是從KAVO這個病毒，所產生的相關檔。目前此版本「ntdelect.com」已可以被偵測，「autorun.inf」也有解決的方式了！

1. 在「autorun.inf」的這個檔案中，檔案類型是唯讀系統隱藏檔，並再重新啟動電腦或重新載入儲存裝置時，會寫入機碼中，[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]，此目錄下會有{ {2972bac1-bdc3-11db-a36b-806d6172696f}}的子目錄，（註：會隨著每台電腦不同，ID值都會不同，但格式都是相同的），此ID目錄可能會有好幾個，在從此ID目錄中，尋找有[Shell\AutoRun\Command]和[Shell\AutoRun\open]和[Shell\AutoRun\explore]， 有這些項目的3層子目錄的ID目錄資料夾，會被更改寫入執行「ntdelect.com」這個檔案，造成你在儲存裝置上的右鍵選單中，無論你是雙擊儲存裝置目錄，或是點選右鍵選單的開啟或是檔案總管，都會去執行「ntdelect.com」這個檔案。

2. 在「ntdelect.com」這個檔案，檔案類型也是唯讀系統隱藏檔，會去呼叫KAVO相關的DLL檔，造成無法顯示隱藏檔和系統檔，並且做監視的動作，造成無法變更相關設定和機碼，並且執行後，會自動多開啟一個磁碟目錄的視窗，讓使用者以為是正常開啟視窗的動作，繼續使用，但是除了win98以前的系統，基本上預設會在同一視窗，開啟下一個目錄，除非有更改過設定。才會造成以新視窗開啟下一個目錄的動作。但若只有「ntdelect.com」這個檔案，在沒有上網的狀況下執行後，並無法做出上述動作，他無法自行複製，也對系統無法造成太大的影響，一且都需依賴KAVO相關的DLL檔。

目前關於KAVO這類型的病毒，在沒有變種的狀況下，卡巴斯基已經可以全部偵測到了。由於此病毒會有造成系統，無法顯示隱藏檔和植入autorun.inf的後遺症，因此針對這類型的病毒，可參考下述處理方式，即可清除完成。

1.清除暫存檔案 : Windows Temp 資料夾或 IE 暫存資料夾中的病毒檔案可能因系統正在使用中而無法清除， 且因這些資料夾中的檔案是 Windows 運作中產生的暫存檔，所以請依下列步驟刪除病毒檔案。

   a.開啟IE -> 工具 -> 網際網路選項 -> 一般 ，在中間 Temporary Internet File 內按下 刪除檔案， 勾選 刪除所有離線內容後點選確定。

   b.在開始 -> 程式集(所有程式) -> 附屬應用程式 -> 系統工具 中，選擇 清理磁碟將所有磁碟的資料清除。

2.關閉XP 系統還原 : 某些病毒藏匿在此，會隨著系統還原又恢復檔案，在 開始 -> 所有程式 -> 附屬應用程式 -> 系統工具 中，選擇 系統還原，關閉系統還原。

3.重開機在安全模式下掃毒 : 正在執行的程式，系統會阻擋防毒軟體刪除檔案，可在重開機時按 F8選擇安全模式下做掃毒。

或請下載詳細說明文件：完整掃毒步驟.doc

關於無法顯示隱藏檔和植入autorun.inf的後遺症，因不是病毒檔，所以奕瑞科技僅提供一手動還原此狀況的工具
工具請由此下載：NewGetSamples0908.zip

只要解壓縮後執行此檔案，重新開機後，即可還原此狀況。