Была просьба описать для "ламеров =)" как бороться с вирусом amvo.
Оказывается, не такой уж он и простой, этот зверь. За последнее время было выявлено еще несколько файлов от это вируса. Также точно они копировались в корень каждого диска.
Файлы этого вируса, пока мне известные:
0hct8ybw.bat, x.com, d6fagcs8.cmd, autorun.inf, n1deiect.com, nideiect.com, 3wcxx91.cmd, amvo.exe, amv0.dll, amvo1.dll. (28.02.2008 добавлено: ntde1ect.com и avpo.exe. Спасибо Александру. 7.04.2008 добавлено: 3o.exe, cfdflx.com, gjn2pjlw.exe, ino6.exe, rthrw.com и un9.cmd. Спасибо анонимному незнакомцу. 30.04.2008 добавлено: jfvkcsy.bat. Спасибо анониму. 5.05.2008 добавлено: jiwsxh39.exe и mvxm.cmd. Спасибо lamer'у. 15.05.2008 добавлено: r6r.exe. Спасибо анониму. 16.03.2009 добавлено: d.com. Анонимусу респект. :)
Очень возможно, что это не весь список.
Главное, для того, чтобы убить этот вирус и все его файлы, надо удалить autorun.inf с каждого диска. И включить опцию "показывать скрытые файлы" и выключить опцию "скрывать системные файлы". После чего можно чистить комп от мусора.
Для того, чтобы это всё проделать автоматически, так сказать, "по-ламерски =)" можно воспользоваться этим bat-файлом в составе с файлом реестра.
Как именно? А вот как!
Какчаете файл "unAmvo.7z",
Распаковываете его так, чтобы файлы "unAmvo.bat" и "unAmvo.reg" были в одной папке,
Закрываете все приложения,
Втыкаете флэшку (чтоб с нее тоже вирус удалился по-ламерски =),
И запускаете "unAmvo.bat".
Я не гарантирую что у вас всё получится и что вирус полностью удалится.
Если что-то не получается, то попробуйте описать проблему поподробнее в комментариях.
Проверял выполнение этого бата на своем компе... предварительно заразив его вирусом =) (актуально для старой версии unAmvo, новая тоже успешно работает, согласно отзывам)
И всем огромное спасибо за отзывы! =)
Внимание! Нет никаких гарантий, что файлы вируса полностью удалятся с компьютера (поиск вирусов по имени файла – не эффективный способ). Поэтому рекомендуется после (перед/вместо) выполнения bat-файла воспользоваться антивирусным ПО.
(добавлено 15.10.2008)
Вот ещё очень нужная вещь для отлавливания вирусов... ну просто мега рульная!
Да, и вот ещё что. Бывает что бесплатный сервак, где я храню файлы, глючит и файлы не отдает. Так что если не скачивается, а очень надо, то пишите сюда.
76 коммент.:
Большое спасибо за помощь, просто нет слов как я благодарен!
Большое пожалуйста! :) Я Вам тоже очень благодарен за отзывы.
Огромное спасибо!
Всё как рукой сняло. И свой комп вылечил и комп у кого подхватил.
Ден Harley
Очень рад, что у вас всё получилось :) Спасибо.
Не удаётся провести очистку, ибо "включить опцию "показывать скрытые файлы" и выключить опцию "скрывать системные файлы". После чего можно чистить комп. от мусора." не представляется возможным, как в нормальном так и в экономном режиме работы компа. Видимо данная зараза пошла дальше того этапа на котором Вы её изничтожили.
Может есть другие способы?
Вероятно, что невозможно было удалить файл самого вируса - amvo.exe. Попробуйте отключить этот процесс из диспетчера задач. После чего запустите файл прилагающийся к этому посту.
Также попробуйте почитать предыдущий пост на эту тему.
Спасибо.
Кроме названных файлов, у меня в корне всех дисков оказался ntde1ect.com, а в system32 - avpo.exe.После небольшой редакции файла unAmvo.bat прога unAmvo успешно почистила комп. Респект.
Оказывается этот вирус может изменять имена своих файлов. Видимо нужен другой инструмент для универсального удаления.
Спасибо за подсказку. Файлы обязательно добавлю в .bat.
Спасибо за отзывы :)
Эта сволочь на все диски расплодилась, но благодаря тебе за секунду и следа от нее не осталось =)
Спасибо, за отзыв ;)
Но вот про "следа от нее не осталось" даже я с уверенностью не смогу сказать.
Попробуйте использовать антивирусное ПО.
Прогнал unAmvo.rar со вставленной флешкой как вы писали. И о чудо!!!Спасибо!!!Но есть вопросик! У меня телефон подключается как флешка.Может там вирус сидеть? Если да,то что делать с ним?
На телефоне именно этот вирус, думаю, не появится. А если и появится, то вреда, скорее всего, не нанесет, если у вас, конечно, телефон не под управлением Windows.
Спасибо за отзывы :)
От моих друзей Вам огромное спасибо!!!Интересно а SonyEricsson K510i не под управлением Windows? Если эта тварь опять нас посетит,это все можно еще раз повторить? Еще раз спасибо!!!
PS:Я просто вот че думаю.При подключении телефона он опять в комп не залезет?
Вам тоже огромное спасибище! :)
Это всё можно хоть сколько раз.
Кстати, хороший способ проверить заражен ли ваш телефон: подключить его к компу и если вирус не распространится, то всё ok ;)
Если серьёзно, то я не знаю, копируется ли он на телефоны и прочие устройства. Не думаю.
Вобщем, не парьтесь. Втыкайте ваш телефон в компьютер.
Ок!Все теперь успокоился!!!
:) Рад за вас!
Тоже не хочу остаться неблагодарным и сердечно благодарю за помощь в борьбе с amvo 2.0 - всё моментально почистилось!
Спсибо большое!
Я рад за вас! :) Столько благодарностей я не ожидал :)
Спасибо. редкостно противный вирус. надеюсь не вернется ))
Спасибо! Будем надеяться.
Эту заразу, ниче не берет, следил за ним а сделать ниче не мог. В 2х словах: СПАСИБО ОГРОМНОЕ...
ОГРОМНОЕ ТАКОЕЖЕ ПОЖАЛУЙСТА :)
posle zapuska unAmvo.bat savetuiu skaniravati PC s cureIT http://freedrweb.com/ Virus mutiruet o4ni bystra ;) naprimer "3o.exe, cfdflx.com, gjn2pjlw.exe, ino6.exe, rthrw.com un9.cmd ..." Uda4i !!!
Спасибо большое! В ближайшее время обязательно добавлю эти файлы в список.
Спасибо большое!Удалил!У меня сестра с работы часто флешку приносит и тикает в комп домашний :).Вот и подхватил это дермо. Хорошо хотя бы что Zone Alarm мне процес убивал.Еще раз спасибо! Sorry за ошибки. ;)
Пожалуйста :) Приходите ещё :)
очень интересный червячок, целый месяц за ним гонялся...БИГ СЕНЬКС !!!
попрежнему неотображаются скрытые файлы, в реестре значение измени, в безопасном режиме все норм, а в простом никак нехотят видися файлы =\
Спасибо за отзыв.
Если не показываются скрытые файлы, то, возможно вирус не удалился и до сих пор висит в системе.
Попробуйте почитать здесь.
Кроме того, попробуйте вручную изменить ключи реестра:
HKLM\SW\MS\W\CV\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue значение должно быть "2"
HKLM\SW\MS\W\CV\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue значение должно быть "1"
HKCU\SW\MS\W\CV\Explorer\Advanced\Hidden значение должно быть "1" (для просмотра скрытых файлов)
HKCU\SW\MS\W\CV\Explorer\Advanced\ShowSuperHidden значение должно быть "1" (для просмотра системных файлов)
(SW - Software, MS - Microsoft, W - Windows, CV - CurrentVersion)
Если после изменения этих ключей вручную предыдущие значения восстанавливаются, то вирус не удалился.
Большинство файлов вируса имеют атрибуты "срытый", возможно "системный" и "только для чтения".
Для вывода всех скрытых файлов на диске С: в текстовый файл для чтения, воспользуйтесь командой "dir /a:h /B /S c:\ >> file_to_read.txt"
Для удаления скрытого/системного/только для чтения файла можно сначала изменить его атрибуты: "attrib -R -S -H c:\autorun.inf", а затем удалить: "del c:\autorun.inf".
спс за инфу. У меня еще был файл jfvkcsy.bat.
пжлст :)
Завтра скачаю ваше лекарство.Уже предчувствую как гадину валить буду...Тоже ко мне это тварюго с флэшки заползло.
Узбеков! Не забудьте обработать спиртом после операции ;)
Молодцы!!! Изгнал тварюгу.
У меня тоже это файл jfvkcsy.bat остался, я его руками добил. Так сказать отрубил голову.
Спасибо :)
Весьма благодарен :)
У меня ещё вот эти организьмы валялись jiwsxh39.exe и
mvxm.cmd, в батник вписал,всё удалилось 8-)
Вам большое спасибо, lamer. Добавлю файлы обязательно...
у меня когда-то был, подцепил с флеши начальника... крч он цуко оч умный и по ходу постоянно обновляется через интернет и модернизируется. Я каждый день наблюдал, как он цуко менял имена))
Вылечил я его пару месяцев назад самым надёжным способом - формат с:
...ту кучу имён, к сожалению, предоставить не могу, т к больше не имею доступа к офисному компу...хотя он вроде остался у друзей)). Вобщем, если что, я соберу коллекцию имён и скину вам=)
Ой! Правда? Здорово! Думаю будет весьма кстати.
Сы-пасибо!
ВОТ,,, Я Е,,, СВОЙ РЕЕСТР...
а так с одново раза всё ушло =))
СПАСИБО ТЕБЕ,, БОЛЬШОЕ
Огромное спасибо! Вирус снёсся, долго не мог понять, что это за зверь.
Только у меня ещё были файлы r6r.exe и iqxv.*(не помню точно). Думаю, первый файл стоит добавить в список, второй на заметку в будущем
Спасибо вам большое. Файлик добавил.
У меня эта зараза была под именем r6r.exe
Я запустил ERD Commander и почистил его нафиг..
Кстати NOD32 2.7 - этот вирус не видят
NOD32 3.0 - тоже не видят
СПАСИБО ОГРОМНОЕ НАКОНЕЦТО ЭТОЙ ЗАРАЗЫ У МЕНЯ БОЛЬШЕ НЕТ!!!!!!!!
Всем пожалуйста... ноду – позор! :)
Большое спасибо за помощь! Особенно за информацию по ключам реестра
Даже не знаю как выразить свою радость. Мой старик кашлял уже 5 месяцев :)) Спасыб тебе большое!!!
Вам большое спасибо за комментарии :) Очень рад что пригодился.
Огромное спасибо, наконец-то вывел заразу:)
Спасибо! У меня на дисках был еще d.com.
theonewho пишет...
Всем пожалуйста... ноду – позор! :)
Да, это точно! Спасибо.
Оч благодарен)
Раньше чистил вручную, но из универа притаскиваю чуть ли не каждый день и batник очень пригождается)
Спасибо. Могу посоветовать ещё вот этот батник, проверяет наличие авторана на флешке и удаляет, если такой есть.
u.bat еще используется... Вчерась у знакомых обнаружил.
спасибо...вроде как работает..
Так вот, у меня проблемка. давно уже пользуюсь AMVO, всегда выручала, спасибо гению, т.е.автору проги.
но, раньше всё было нормально, стоял нод, но он меня так вывел из себя (надоело искать пути обновления, тип того) и поставил аваст.
было нормально, но вдруг через месяца 3-4 как она у меня аваст начал на работе видеть её как червя. думал фиг его знает, на работе и на флешке видит. прихожу домой, врубаю на компе её (проверяю) работает, молчит. вставляю флешку - орёт. удаляю нафиг. запускаю из компа - орёт. ШОК. скачал ещё раз с сайта - орёт. ЛЮДИ, ШО ДЕЛАТЬ, чё эт такое, аваст выкобелюется.
напишите кто знает.
Спасибо за комплимент :) Если это не автору Amvo (ибо... ибо... ибо amvo есть вирус, а UNamvo - «гениальное творение» (но не думаю что более гениальное чем вирус)). Понятно? Вобщем. Если вы о программке, которая лечит компьютер от вируса, то убедиться в её «доброжелательности» достаточно просто, не прибегая к помощи аваста и других анти/вирусов. Достаточно правой кнопкой ткнуть в файл .bat и выбрать «изменить»... вот тогда и откроется пред вами весь «вредоносный код» :)
Спасибо!!!! огромное!!!!!! за прогу "unamvo" Все пролечил, невидимые и системные ВИДНО, тока одно но.как с вами связаться моя ася 244456602.
Поставил каспера, он постоянно блокирует что то и у меня на экране предупреждения НЕВЕРНЫЙ ОБРАЗ.
Благодарю :) Связаться со мной можно будет недельки через три. Уезжаю в тундру, где не будет Интернета. Пишите сюда, приеду – отвечу.
Ссылки по теме:
http://forum.kaspersky.com/lofiversion/index.php/t54604.html
http://forum.windowsfaq.ru/archive/index.php/t-63198.html
google
Спасибо вам большое!
Также в помощь советую OSAM:
http://www.online-solutions.ru/osam_autorun_manager.php
Помимо amvo.exe, у меня он нашел еще и ckvo.exe.
Похоже кто-то еще проапгрейдил этот вирь: держаться только за файлы недостаточно. Мой AVAST! 4.8 Home обнаружил червя в памяти, обозвал его (уж не знаю как он узнал :) ) CKVO, а поскольку оный ckvo пришел у меня на смену, когда я удалил amvo, то... все ясно. Как ни чистил, как ни удалял, ничего не помогло: на следующий день все начиналось заново. И это не вставляя флешки, используя Зоркий Глаз, Тотал Коммандер! Думаю, он еще и заразил что-то, вот токо не знаю что :(. Не выбрасывать же теперь все накопленное с таким трудом...
Какой кошмар! :) А вообще, вирусы не обязательно через флэшку распространяются...
Если вам мешает вирус, то его можно за "это самое чем он мешает" выловить и наказать :)
Почитайте ещё тут.
Согласен.
А о чем это: "его можно за "это самое чем он мешает" выловить и наказать"? Я удалял сего черта
десятки раз, но он восставал из пепла, как феникс. Помогло: ФОРМАТ С:\ + del всех *.exe, *.com,
*.bat, *.cmd, *.dll, *.inf нафик с компа. Только вот с чистой системой, пока качнул обратно
антивирь и винрар, случилось тотальное загрязнение троянами. Где они были? В винраре? А может,
прям в Авасте с офиц. сайта? :)) Кому тогда доверять вообще можно? :) Постепенно
переквалифицируюсь в "фармацевта" =)
Вот честное слово... прям удивительные вещи пишете :)
Может у вас локалка с непорядочными пользователями?
Доверять сегодня можно хэш-функциям :) Но не всем.
У меня на флэше сидит 4 файла скрытых autorun.inf fppg1.exe fun.xls.exe uisvkqr.exe Помоему это зло распространяется через эти файлы потому как после формата флэша они снова появляются.Анологично в каждом локальном диске в корневой папке сидит вышеупомянутый fun.xls.exe Помогите как от него отбится? PS. BAT-ки пробовал они не чего не смогли исправить
PPS. фармаТцевтом не хочу быть.
Вот спасенье
http://www.en.mygeekside.com/?p=18#comment-193 загружаете жава скрипт и запускаете 2 минуты и готово
Огромнейшее спасибо за статью !!
Всегда восхищался настолько умными льдьми!
Ну что Вы, не стоит :)
Я тоже восхищаюсь умными людьми ;)
Ещё раз спасибо, дорогой Анонимус!
Спасибо огромное!!! Давно хотел избавится! :)
Пожалуйста, Max!!!
БОЛЬШОЕ СПАСИБО!!!!
Спасибо, никогда не задумывался на его "безантивирусном" сносе, попробовал, помогло, скрипт просто отличный ;)
Спасибо за комплименты :)
На самом деле ничего сложного. Любой желающий сам может это сделать. Ну а я просто выложил в Интернет... и, кстати, это самая популярная страница моего блога ;)
Ну а с вирусами нужно быть аккуратнее.
Создатель, хорошая прога, добавь в базу d.com =)
Спасибо, Анонимус, ;) добавим.
Отправить комментарий