این ویروسها از طریق USB flash درایو ها منتقل می شوند و اکثر انتی ویروس ها قادر به شناسایی و از بین بردن این ویروس نیستند .
برای از بین بردن ان می تونید از اسکریپت زیر استفاده کنید .
http://www.mygeekside.com/downloads/2007/12/kill_amvo_virus_usb_en.vbs
این ویروس ها با نام های زیر خودشون را توی سیستم پخش می کنند .
کد:
ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
u?de?ect.com, etc
بنابراین موقعی که شما USB flash memory را به کامپیوتر متصل می کنید و وارد ان می شوید ممکن است این فایلهای را نبینید . به خاطر این که این فایلهای به صورت مخفی و سیستمی هستند .
اگر شما روی فلش درایو خودتان دابل کلیک کنید این ویروس ها با نام های زیر در مسیرهای گفته شده خودشان را کپی می کنند .
کد:
C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
همه این فایلهای به صورت سیستمی و مخفی هستند .
این ویروسها بعد از اجرا شدن رجیستری را تغییر داده و با هر بار روشن شدن کامپیوتر اجرا می شوند .
کد:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
همچنین این ویروس درایوهای شما را نیز الوده می کند . و فایلهایی با نامهای autorun.inf و n1detect.com را در ریشه درایوها کپی می کند . و همچنین این ویروس ها باعث می شوند شما قادر به دیدن فایلهای مخفی نشوید . و باعث تغییر مسیر زیر در رجیستری می شوند .
کد:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002
پاکسازی به صورت دستی
ابتدا باید جلوی اجرا شدن ویروس های amvo.exe و avpo.exe را از طریق command بگیریم .
کد:
taskkill /f /im amvo.exe
taskkill /f /im avpo.exe
سپس باید ویروس های زیر را که به صورت مخفی می باشند با استفاده از صفات انها قابل روئیت کنیم .
کد:
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\u?de?ect.com
و حالا باید با استفاده از دستورات زیر انهای را پاک سازی نماییم .
کد:
del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\u?de?ect.com /f /q /
بعد از پاک کردن فایلهای مخفی و سیستمی باید فایلهای ایجاد شده در مسیر C:\windows\system32 folder را نیز پاکسازی کنیم .
کد:
attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll
کد:
attrib -s -h -r c:\windows\system32\amvo*.*
attrib -s -h -r c:\windows\system32\avpo*.*
کد:
del /f c:\windows\system32\amvo*.*
del /f c:\windows\system32\avpo*.*
و همچنین باید قسمتهایی که در رجیستری ایجاد شده را نیز پاکسازی کنید . برنامه نوت پد کپی کنید و دستورات زیر را داخل ان کپی کنید و بعد هم با نام دلخواه و پسوند reg ذخیره کنید و بعد هم اجرا کنید .
کد:
Windows Registry Editor Version 5.00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f
همچنین باید قسمتهای پاک شده را نیز بازسازی کنیم . دستور زیر را در برنامه نوت پد کپی کنید و بعد هم با نام دلخواه و پسوند reg ذخیره کنید و بعد هم اجرا کنید .
کد:
Windows Registry Editor Version 5.00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f
تمامی کارهای گفته شده تا به اینجا را برای تمام درایوها انجام دهید . سپس سیستم را ریستارت کنید و کارهای زیر را انجام دهید .