Вирус amvo.exe Trojan/Backdoor, как се премахва .
Вируса има доста имена и разновидности, но винаги присъства в стартиращите се приложения в startup на системата с път „C:\Windows\System32\amvo.exe“ , най – срещания размер на файла е 123,422 bytes. Заразяването често става от USB Flash памети. Един от симптомите за заразяването е изключването на опцията за показването на скрити файлове от Folder Options\View – Do not show hidden files and Folders(винаги се намира в тази позиция ). Със стартирането вируса във вашия компютър вкарва код на всички дялове(в главната директория) от вашия хард-диск в autorun.inf и файлове с раширение *.com, *.dll , *.sqm , *.exe . Непознати файлове с подобни разширеня намиращи се в главните директории на устройствата трябва да бъдат премахнати, но това не е лесна задача тъй като файловете са с hidden опция. Има програми с които може да броузвате и скритите файлове .
Ръчното премахване става с премахване на ехе-то от стратъпа с msconfig, стартира се и regedit и се намират всички стрингове които съдържат amvo.exe и се изтриват .Рестартира се в SAVE MODE , с regedit се правят следните промени в стойностите
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer searchidden en 1 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer searchsystemdirs en 1 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced hidden en 1 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced showsuperhiden en 1 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced superhiden en 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN CheckedValue 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN DefaultValue 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL DefaultValue 1 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun 0x00000091 (145)
след това се изтриват също от главните директории на устройствата autorun.inf и файлове с раширение *.com, *.dll , *.sqm , *.exe . Рестартира се компютъра и се сканира с добра антивирусна или поне Spybot за пропуснати файлове.
В друг блог намерих и бат файл който може да свърши работата вместо вас .. но много зависи каква е разновидността на вируса , някои файлове могат да са с други имена, вътре автора е описал локализацията и имената на файловете които трябва да бъдат изтрити а също така и ключовете в регистрито.
други:
Comments