chép chính  bản  thân  file  thực  thi  vào thư mục  gốc  của  từng
         thiết bị như: <X>:\h2.com (với <x> là tên ổ có liên quan).
            Ngoài ra, Trojan còn đặt file thực thi vào thư mục gốc của
         mọi ổ thiết bị: <x>:\autorun.inf.
            File  này  sẽ  khởi  chạy  file  thực  thi  Trojan  mỗi  khi  người
         dùng mở thiết bị nhiễm độc bằng Explorer.
         Hướng dẫn gỡ hỏ

         Nếu máy tính của bạn không có một chương trình diệt virus
         tự động cập nhật, hoặc không có một giải pháp diệt virus toàn
         vẹn, hãy thực hiện theo các hướng dẫn sau để xóa bỏ mã độc
         khỏi máy tính:
         1. Xóa file %System%\kavo.exe.

         2. Khởi động lại máy tính.
         3. Xóa file Trojan gốc (vị trí file tùy thuộc vào cách nó xâm
         nhập ban đầu vào máy tính nạn nhân).
         4. Xóa tham số khóa Registy hệ thống «au:

            [HKCU\Software\Microsoft\Windows\CuưentVersion\Run]
            "kava" = "%System%\kavo.exe"
         5. Khôi phục lại các giá trị khóa Registry hệ thống gốc:

            [HKLM\SOFTWARE\Microsoft\Windows\CuưentVersio
            n\Explorer\Advanced\Fol
           der\Hidden\SHOWALL]
            "CheckedValue" = "0"
            [HKCƯvSoftware\Microsoft\Windows\CurrentVersion\Exp
            lorerXAdvanced]
            "Hidden" = "2" "ShowSuperHidden" = "0"
            [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion
           \Pocilies\Explorer]
            "NoDriveTypeAutoRun" = "0x91"
         6. Xóa file %System%\kavo0.dll.


                                    310