文件名称：kavo.exe  文件大小：116464 bytes  AV命名：   Trojan-PSW.Win32.OnLineGames.pcm（Kaspersky） Trojan.PSW.Win32.GameOL.lor（Rising） Worm/AutoRun.Y（AVG）   编写语言：delphi   文件MD5：3b08963e3b2cae9e3b4dc38b21b2a69d   病毒类型：盗号木马   行为分析：   1、  释放病毒文件：   C:\WINDOWS\system32\kavo.exe  113759 字节 C:\WINDOWS\system32\kavo0.dll  96768 字节 C:\WINDOWS\system32\kavo1.dll  96768 字节   2、  添加注册表，开机启动：   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run kava = REG_SZ, "C:\windows\system32\kavo.exe"   3、  修改注册表，记录下载地址的版本：   HKEY_CLASSES_ROOT\CLSID\MADOWN 当前为："cdfty1.7"   4、  启动IE进程，连接网络下载木马，释放：   C:\WINDOWS\system32\tavo.exe C:\WINDOWS\system32\tavo0.dll   5、  tavo0.dll和kavo1.dll则注入系统进程，监视鼠标、键盘操作，盗取木马。   6、  释放驱动，随机命名的，然后删除自身。   7、  修改注册表，破坏显示隐藏文件功能。   8、遍历磁盘，生成病毒文件和autorun.inf   解决方法：   1、  下载SREng，然后断开网络连接。   2、  打开SREng，删除注册表键：   (注册表值) kava和(注册表值) tava   3、  重启计算机，删除文件：   C:\WINDOWS\system32\kavo.exe  113759 字节 C:\WINDOWS\system32\kavo0.dll  96768 字节 C:\WINDOWS\system32\kavo1.dll  96768 字节 C:\WINDOWS\system32\tavo.exe C:\WINDOWS\system32\tavo0.dll   还有每个磁盘下的autorun.inf和病毒文件，也删除，建议用winrar   4、  其他：   修改注册表修复显示隐藏文件功能:   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced        (*)(注册表值) Hidden         REG_DWORD, 2 修改为 REG_DWORD, 1        (*)(注册表值) ShowSuperHidden         REG_DWORD, 0 修改为 REG_DWORD, 1   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL        (*)(注册表值) CheckedValue         REG_DWORD, 0修改为 REG_DWORD, 1