Rimuovere amvo.exe

Sunday 3 February 2008 alle 3:15 pm
Pubblicato da stenet

(foto by *Enozym)

Qualche giorno fa ho avuto a che fare con un nuovo Trojan/Backdoor che, come Disk Knight, si insinua nelle chiavette, in ogni dispositivo USB che inserite in un computer infetto e in tutte le partizioni del disco.

Si tratta di amvo.exe, questo virus non è facilmente rilevabile. Gli effetti sono il rallentamento della macchina e l’impossibilità di visualizzare file nascosti.
Cercando su internet ho trovato due semplici soluzioni, la prima prevede l’utilizzo di una distro live di Linux. Ma probabilmente non tutti ne hanno a disposizione una o perlomeno non la portano sempre con sè!
Passiamo quindi alla seconda soluzione.

Queste operazioni dovranno essere svolte per ogni dispositivo USB infettato e per ogni eventuale partizione presente sul vostro disco rigido.
Per prima cosa vediamo come si presenta generalmente questo virus.

presenza del file autorun.inf nella cartella radice delle partizioni e dei dispositivi USB infetti. Quindi se la vostra chiavetta è in E sarà in E:\ mentre per il disco fisso sarà generalmente in C:\
presenza di un file .com nella stessa posizione di autorun.inf
presenza di amvo.exe o amvo.dll (o entrambi) nella cartella di sistema (C:\Windows\System32)

Passiamo quindi all’eliminazione seguendo il secondo procedimento che ho trovato sul web leggermente modificato.

aprite un prompt di DOS (facendo Win+R oppure Start->Esegui e digitate cmd);
da qui passate nella cartella radice del disco infettato (se la chiavetta è in E digitate E: per quanto riguarda il disco fisso digitate cd\);
per prima cosa verificate la presenza del file autorun.inf digitando au e premendo ripetutamente TAB per controllarne la presenza (vi ricordo che il file non lo dovreste vedere perche è nascosto,in questo modo lo costringete a mostrarsi);
se lo trovate digitate:
edit autorun.inf
e segnatevi il nome del file .com che trovate nel testo;
uscite dall’editor e digitate
attrib -r -h -s autorun.inf
per sbloccare il file
ora possiamo eliminare l’autorun.inf digitando:
del autorun.inf
eliminiamo anche il file .com che ci siamo segnati in precedenza digitando ancora:
del nomefile.com
inifine andiamo nella cartella di sistema ed eliminiamo amvo.exe o .dll
del amvo*
l’ultimo passo è relativo alla riabilitazione della possibilità di visualizzare i file nascosti. Per far questo aprite il registro di sistema (Start->Esegui e digitate regedit).
posizionatevi qui:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL e cambiate il valore della chiave "CheckedValue", impostandola a 1

Sembra una procedura lunga ma non lo è assolutamente.
Vi ricordo come al solito di seguire delle semplici regole per mantenere pulito il vostro computer (ad esempio quelle che trovate in questo post) e vi auguro buon lavoro!

P.S. amvo potrebbe essere strettamente collegato alla presenza del virus nsanti.
P.S.2: questa procedura è valida per Windows XP non ho provato (e soprattutto non ci tengo a provarla con Vista).

[La Vida Es Un Carnval]

Technorati Tags: Trojan, Virus, nsanti, amvo.exe, disk knight

Popularity: 27% [?]

31 Commenti »

Puoi lasciare una risposta, oppure fare un trackback dal tuo sito.

31 Risposte a “Rimuovere amvo.exe”

1

Signor Ponza dice:

Pubblicato il 03 02 2008 alle 7:29 pm

Ora che lo so farò molta attenzione.
2

perlinavichinga dice:

Pubblicato il 03 02 2008 alle 8:52 pm

che bello non dover più avere a che fare con i virus!
3

rioda dice:

Pubblicato il 13 02 2008 alle 11:42 pm

Ho risolto grazie al tuo post! Grande. Tnx!!!
4

stenet dice:

Pubblicato il 14 02 2008 alle 8:24 pm

Di nulla!
5

giuseppe dice:

Pubblicato il 29 02 2008 alle 6:02 pm

ciao sto per eseguire la tua procedura… il problema è che l’autorun in c non è legato ad un file .com bensì a “fppg1.exe”…potresti aiutarmi?
6

stenet dice:

Pubblicato il 01 03 2008 alle 1:20 pm

The filename FPPG1.EXE was first seen on Feb 29 2008 in TURKEY.

Sei stato rapido a prendere questo malaware!
Comunque dovrebbe essere una variante di amvo.exe,quindi ti consiglio di comportarti allo stesso modo!
Spero di esserti stato d’aiuto!
7

marco dice:

Pubblicato il 08 03 2008 alle 2:37 pm

ottimo articolo
indicazioni precise e puntuali
sistema ripulito in 5 minuti
grazie!
8

alessandro dice:

Pubblicato il 09 03 2008 alle 7:00 pm

amico mi hai salvato in tutti i sensi ti ringrazio
9

SANDRO dice:

Pubblicato il 09 03 2008 alle 8:56 pm

scusa il file v.com quando lo cancello riavvio tutto ma il disco locale non si apre…come faccio? grazie mille
10

Yenaro dice:

Pubblicato il 11 03 2008 alle 10:13 am

GRANDE!!!
11

Fratelmaestro dice:

Pubblicato il 22 03 2008 alle 11:33 pm

Grazie…hai salvato il mio portatile che conteneva il lavoro per la mia tesi.

Una piccola nota
ho dovuto fare la procedura attrib -r -h -s per ogni file che dovevo eliminare ed inoltre,oltre ai file .com ho dovuto eliminare anche i file .cmd

Buona Pasqua!
12

ennio dice:

Pubblicato il 18 04 2008 alle 10:49 am

Io non trovo il file .com che devo fare? Aiutatemi!!!

ciao Ennio
13

ennio dice:

Pubblicato il 18 04 2008 alle 10:50 am

ottimo
14

upais dice:

Pubblicato il 21 04 2008 alle 10:33 pm

ciao,
seguo la procedura da te indicata ma non riesco ad eliminare autorun. inf e neanche il file che trovo nel testo, che nel mio caso non è un .com ma “tknn6.bat”.
Qualcuno sa come fare?
Grazie
15

michela dice:

Pubblicato il 06 05 2008 alle 7:05 pm

ciao!
grazie x l’aiuto!!! :) finalmente rivedo i miei file nascosti!!!
x conoscenza, io mi sono presa fppg1.exe qui (= capo verde) il 3 marzo, ma me l’ha risolto il norton… e in autorun.inf ho trovato un t.com e un 22wcb21o.exe. in tutti e 2 i casi c’era amvo.exe o amvo0.dll nella cartella di sistema.
grazie ancora!!!!
16

martina dice:

Pubblicato il 07 05 2008 alle 6:25 pm

Ciao. anche io mi sono beccata questo virus ma non trovo il file .com.. trovo invece due file .bat? che devo fare?
Grazie!
17

TeoAlbo dice:

Pubblicato il 13 05 2008 alle 8:16 am

ho eseguito la procedura ogni file eliminato unico problema non riesco a mettere 1 nella chiave “CheckedValue” appena esco in automatico ritorna 0
cosa posso fare?
18

lillo dice:

Pubblicato il 17 05 2008 alle 9:26 am

Non riesco a cancellare nè l’autorun.inf nè xyw9tmdj.com. Forse il comando attrib -r -h -s autorun.inf NON RIESCE A SBLOCCARLI? non so. chi sa qualcosa? grazie d’anticipo e complimenti per il sito
19

Tonino dice:

Pubblicato il 21 05 2008 alle 10:30 pm

Riesco sempre a cancellare il virus con la procedura spiegata ogni volta che me lo ribecco sul mio notebook com Windows XP, pero’ non riesco a toglierlo su un altro computer com Windows server 2003 ed un altro con Windows XP, perche’ appena cancello autorun.inf e l’altro file associato, riappaiono immediatamente dopo pochi secondi. Che fare?
Grazie
20

francesco dice:

Pubblicato il 12 06 2008 alle 6:39 pm

grazie !
21

Carlo dice:

Pubblicato il 17 06 2008 alle 6:57 pm

Grazie per i tuoi consigli.. ma dopo un primo successo me lo sono ribeccato e con al seguito non un file.com ma m88coaim.exe E adesso non riesco più ad eliminarli nè con le tue procedure nè con avast nè con Cureit di Dr.Web.
Per favore mi puoi aiutare?
Grazie
22

Luca dice:

Pubblicato il 20 06 2008 alle 12:48 pm

Ciao, anche io ho preso questo virus, pare che l’antivirus sia riuscito ad eliminarlo, però adesso non riesco ad aprire il disco fisso con un semplice doppio clic su c:\ ma dopo questa operazione mi chiede quale programma usare per aprirlo.. Cosa posso fare?? Grazie..
23

stenet dice:

Pubblicato il 20 06 2008 alle 12:57 pm

Il virus è in evoluzione,provate a cercare in giro per la rete qualche soluzione specifica! In bocca al lupo!
24

Giacomo dice:

Pubblicato il 14 07 2008 alle 3:10 pm

Grazie dei consigli! Per ora l’ho eliminato speriamo non ricapiti più…
25

firefoxlex dice:

Pubblicato il 23 07 2008 alle 3:49 pm

Primo post in assoluto sul web: non accanitevi se sbaglio.
Suggerimento per Luca e in generale per chi non riesce più ad aprire con il doppio clic un volume.
Avvertimento di rito: rimedio privo di “certezza informatica” ma nella mia situazione ha funzionato.
Il virus ha modificato alcune voci del registro di sistema che richiamano il file con estensione .com .cmd .bat o altro indicato in autorun.inf
Aprire l’editor del registro di sistema (Start-> Esegui e digitare regedit seguito dal tasto invio)
Se ricordate il nome del file, usate la funzione di ricerca: dal menù Modifica, Trova… scrivere il nome (meglio se con l’estensione), verificare che siano spuntate le voci Chiavi, Valori, Dati in “Cerca in” e che NON sia spuntata “Stringa intera”. Iniziare la ricerca premendo il pulsante “Trova successivo”
La presenza dovrebbe concentrarsi nelle sottochiavi in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ in particolare in
\Shell\Autorun\command\
\Shell\Explorer\command\ e
\Shell\Open\command\
Selezionare nel pannello a destra il valore che riporta in “Dati” il file incriminato, premere CANC e confermare l’eliminazione.
Proseguire con la ricerca con il tasto F3: il numero di riscontri può aumentare se sono configurati più volumi, ad esempio per la presenza di più di un disco fisso o perché si sono create partizioni.
Se non ricordate il nome del file che era in autorun.inf, andate direttamente nella chiave indicata in precedenza, aprite le varie sottochiavi e cercate qualcosa che assomigli a \Shell\Autorun\command\ \Shell\Explorer\command\ e \Shell\Open\command\ : la presenza in tutte di uno stesso file con nome senza significato (sequenza di caratteri alfanumerici abbastanza casuale) e con estensione .com .bat .cmd (forse anche .exe) indica che è quello l’intruso: cancellare!
Quanto tutto è pulito, chiudere l’editor del registro di sistema e riavviare il computer (forse non è indispensabile, ma non crea danni in questa situazione). Ora tutte le unità dovrebbero essere accessibili con il consueto doppio clic. Se qualcuna è ancora bloccata, provare a ripetere la ricerca nel registro di sistema o aspettate che qualcun altro trovi una soluzione diversa.
Attenzione: l’azione di cancellazione è limitata al valore che si trova nel pannello a sinistra. Le varie chiavi, anche se “vuote” è meglio non eliminarle (non conosco le conseguenze dell’operazione, tutto qua)
Attenzione nr. 2 che si collega alla raccomandazione iniziale: modificare il registro di sistema può ridare vita al computer o metterlo fuori uso. E’ sempre opportuno crearne una copia quando è ancora funzionante, da ripristinare dopo le modifiche in caso di necessità.
26

firefoxlex dice:

Pubblicato il 23 07 2008 alle 3:59 pm

Lo sapevo, succede sempre: devo correggere me stesso. Nell’intervento numero 25 ho scritto
“Attenzione: l’azione di cancellazione è limitata al valore che si trova nel pannello a sinistra. Le varie chiavi, anche se “vuote” è meglio non eliminarle (non conosco le conseguenze dell’operazione, tutto qua)”
Il riferimento al PANNELLO DI SINISTRA è SBAGLIATO: i valori sono sempre sulla parte DESTRA.
Quindi: le chiavi che si trovano a sinistra rimangono, il valore eventualmente deve essere cancellato è a DESTRA.
27

Bat dice:

Pubblicato il 30 07 2008 alle 4:07 am

edit di autorun.inf da 6×8be16.cmd che non riesco ad eliminare. non riesco più ad accedere a C: e D:!
28

firefoxlex dice:

Pubblicato il 30 07 2008 alle 12:29 pm

Questo programma può essere d’aiuto per la rimozione dei file resistenti ai metodi cancellazione già descritti

http://swandog46.geekstogo.com/avenger2/avenger2.html

Importante: nella finestra dove si elencano i file da cancellare, la prima riga DEVE essere
“Files to delete:” (senza le virgolette ma i “duepunti” devono esserci)
Prendendo ad esempio il commento nr. 27 di Bat, lo script tipico contro amvo.exe potrebbe quindi essere

Files to delete:
C:\autorun.inf
C:\6×8be16.cmd
D:\autorun.inf
D:\6×8be16.cmd

ipotizzando che D:\ non sia un’unità ottica per la quale il solo problema è l’impossibilità di accedervi.

Dopo aver premuto sul pulsante “Execute” ci sarà la richiesta di conferma dell’operazione di esecuzione dello script e la richiesta di riavvio. L’esito sarà registrato in un file TXT che apparirà automaticamente una volta ultimato il riavvio.
29

Bat dice:

Pubblicato il 31 07 2008 alle 5:31 pm

mi ero fermato al mio ultimo post , ormai rassegnato alla formattazione, oggi avvio il pc e riesco ad accedere ai volumi c e d!!! cmq avvio scan approfondito con avast e trovo
C:\documents and settings\nome|impostazioni locali\temp\qrwafza.dll (trojan-gen)
c:\system volume informatione\restore{numeri}\rp40\A0033175.cmd
uguale dir con \rp41\A0033556.exe
rp41\A0033565.dll
c:\6×8be161.cmd
D:\system volume information\restoer{numero}\rp41\A0033725.cmd (questi sono tutti trj di tipo oliga)
Cancello tutto con Avast e provo con avanger che non trova nulla….riavvio..rieffettuo lo scan e tutto sembra pulito :)
Ora la chiavetta??io l’avevo ripulita, almeno credo, ma ho paura a ricollegarla al pc!
grazie a tutti!
30

anto dice:

Pubblicato il 22 08 2008 alle 9:37 am

Sono riuscito a rimuovere amvo, il file autorun.inf ed il file .exe visibile dal setup di autorun. Sono anche riuscito a ripristinare la visualizzazione dei file nascosti, però non riesco più ad aprire il disco C col doppio click da risorse del computer. Potete aiutarmi per favore ?
31

firefoxlex dice:

Pubblicato il 22 08 2008 alle 10:32 am

Per ANTO: hai provato con la procedura che ho indicato nell’intervento n. 25, con la precisazione fatta al n. 26? Sul computer che ho “ripulito” ha funzionato ma è stato un colpo di genio (o colpo di c…), sono andato un po’ ad intuito con i sistemi classici di soluzione dei problemi. Avrei bisogno di sapere se funziona “scientificamente” e quindi posso continuare a suggerirlo oppure no. Se qualche passaggio non è chiaro, chiedi pure (fino a quando il titolare del post ci ospita)