病毒样本信息：
File: ntdelect.com
Size: 75776 bytes
Modified: 2008年4月14日, 17:10:00
MD5: 597C3D9FD61616C26822EFABB744E3D7
SHA1: 159D782EE186CB4D77085C2F601655FB5906DF4D
CRC32: FF6FF5B3

1.病毒运行后，释放如下文件或者副本
%systemroot%\system32\wincab.sys
%systemroot%\system32\kavo.exe
%systemroot%\system32\kavo0.dll
在每个盘符下面生成ntdelect.com和autorun.inf达到通过U盘等移动存储传播的目的。

2.wincab.sys的作用
a.恢复部分SSDT hook，使得杀毒软件或HIPS的部分功能失效
b.hook挂某些SSDT钩子，如NtenumerateKey,NtEnumerateValuKey,NTopenprocess隐藏其注册表项目，并防止其他进程打开其自身进程以躲避杀毒软件的查杀。

3.kavo0.dll注入Explorer.exe以及由Explorer.exe启动的进程中，监控多种游戏程序的启动，并将其注入到游戏进程中达到盗号目的：
可以盗如下游戏帐号和密码：
冒险岛online
黄易群侠传online
热血江湖
传奇世界
希望Online
完美世界
...

4.注册表操作
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run下面增加
"kava" = %SYSTEM%\KAVO.EXE
达到开机启动自身的目的

破坏显示隐藏文件设置
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue修改为0X00000000

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden修改为0X00000000

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden修改为0X00000002

5.由于kavo0.dll的作用，Explorer.exe会不断暴力回写注册表信息和各个盘符下的ntdelect.com和autorun.inf

解决方法：
到down.45its.com下载sreng和Xdelbox1.6

1.复制如下文字 到剪贴板
%systemroot%\system32\wincab.sys
%systemroot%\system32\kavo.exe
%systemroot%\system32\kavo0.dll
C:\ntdelect.com
C:\autorun.inf（有几个盘写几个，以此类推）

打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式

2.重启计算机后，打开sreng
启动项目 注册表 删除如下内容
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run下面的
"kava" = %SYSTEM%\KAVO.EXE

系统修复－Windows Shell/IE 全选  点击修复