ویروس Amvo و Avpo

این ویروسها از طریق USB flash درایو ها منتقل می شوند و اکثر انتی ویروس ها قادر به شناسایی و از بین بردن این ویروس نیستند .

برای از بین بردن ان می تونید از اسکریپت زیر استفاده کنید .

http://www.mygeekside.com/downloads/2007/12/kill_amvo_virus_usb_en.vbs

این ویروس ها با نام های زیر خودشون را توی سیستم پخش می کنند .

کد:

ntdeiect.com

n1detect.com

n?deiect.com

nide?ect.com

u?de?ect.com, etc

بنابراین موقعی که شما USB flash memory را به کامپیوتر متصل می کنید و وارد ان می شوید ممکن است این فایلهای را نبینید . به خاطر این که این فایلهای به صورت مخفی و سیستمی هستند .

اگر شما روی فلش درایو خودتان دابل کلیک کنید این ویروس ها با نام های زیر در مسیرهای گفته شده خودشان را کپی می کنند .

کد:

C:\WINDOWS\System32\amvo.exe

C:\WINDOWS\System32\avpo.exe

C:\WINDOWS\System32\amvo0.dll

C:\WINDOWS\System32\amvo1.dll

C:\WINDOWS\System32\avpo0.dll

C:\WINDOWS\System32\avpo1.dll

همه این فایلهای به صورت سیستمی و مخفی هستند .

این ویروسها بعد از اجرا شدن رجیستری را تغییر داده و با هر بار روشن شدن کامپیوتر اجرا می شوند .

کد:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

“amva”=amvo.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

“avpa”=avpo.exe

همچنین این ویروس درایوهای شما را نیز الوده می کند . و فایلهایی با نامهای autorun.inf و n1detect.com را در ریشه درایوها کپی می کند . و همچنین این ویروس ها باعث می شوند شما قادر به دیدن فایلهای مخفی نشوید . و باعث تغییر مسیر زیر در رجیستری می شوند .

کد:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

“Hidden”=dword:00000002

پاکسازی به صورت دستی

ابتدا باید جلوی اجرا شدن ویروس های amvo.exe و avpo.exe را از طریق command بگیریم .

کد:

taskkill /f /im amvo.exe

taskkill /f /im avpo.exe

سپس باید ویروس های زیر را که به صورت مخفی می باشند با استفاده از صفات انها قابل روئیت کنیم .

کد:

attrib -s -h -r C:\autorun.inf

attrib -s -h -r C:\ntdeiect.com

attrib -s -h -r C:\n1detect.com

attrib -s -h -r C:\n?deiect.com

attrib -s -h -r C:\nideiect.com

attrib -s -h -r C:\nide?ect.com

attrib -s -h -r C:\u?de?ect.com

و حالا باید با استفاده از دستورات زیر انهای را پاک سازی نماییم .

کد:

del C:\autorun.inf /f /q /a

del C:\ntdeiect.com /f /q /a

del C:\n1detect.com /f /q /a

del C:\n1deiect.com /f /q /a

del C:\nide?ect.com /f /q /a

del C:\u?de?ect.com /f /q /

بعد از پاک کردن فایلهای مخفی و سیستمی باید فایلهای ایجاد شده در مسیر C:\windows\system32 folder را نیز پاکسازی کنیم .

کد:

attrib -s -h -r c:\windows\system32\amvo.exe

attrib -s -h -r c:\windows\system32\avpo.exe

attrib -s -h -r c:\windows\system32\amvo0.dll

attrib -s -h -r c:\windows\system32\amvo1.dll

attrib -s -h -r c:\windows\system32\avpo0.dll

attrib -s -h -r c:\windows\system32\avpo1.dll

کد:

attrib -s -h -r c:\windows\system32\amvo*.*

attrib -s -h -r c:\windows\system32\avpo*.*

کد:

del /f c:\windows\system32\amvo*.*

del /f c:\windows\system32\avpo*.*

و همچنین باید قسمتهایی که در رجیستری ایجاد شده را نیز پاکسازی کنید . برنامه نوت پد کپی کنید و دستورات زیر را داخل ان کپی کنید و بعد هم با نام دلخواه و پسوند reg ذخیره کنید و بعد هم اجرا کنید .

کد:

Windows Registry Editor Version 5.00

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f

همچنین باید قسمتهای پاک شده را نیز بازسازی کنیم . دستور زیر را در برنامه نوت پد کپی کنید و بعد هم با نام دلخواه و پسوند reg ذخیره کنید و بعد هم اجرا کنید .

کد:

Windows Registry Editor Version 5.00

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f

تمامی کارهای گفته شده تا به اینجا را برای تمام درایوها انجام دهید . سپس سیستم را ریستارت کنید و کارهای زیر را انجام دهید .