Archivio per la categoria 'amvo'

Rimuovere amvo.exe

Sunday 3 February 2008 alle 3:15 pm
Pubblicato da stenet
31 Commenti »

computer_Virus_by_Enozym
(foto by *Enozym)

Qualche giorno fa ho avuto a che fare con un nuovo Trojan/Backdoor che, come Disk Knight, si insinua nelle chiavette, in ogni dispositivo USB che inserite in un computer infetto e in tutte le partizioni del disco.

Si tratta di amvo.exe, questo virus non è facilmente rilevabile. Gli effetti sono il rallentamento della macchina e l’impossibilità di visualizzare file nascosti.
Cercando su internet ho trovato due semplici soluzioni, la prima prevede l’utilizzo di una distro live di Linux. Ma probabilmente non tutti ne hanno a disposizione una o perlomeno non la portano sempre con sè!
Passiamo quindi alla seconda soluzione.

Queste operazioni dovranno essere svolte per ogni dispositivo USB infettato e per ogni eventuale partizione presente sul vostro disco rigido.
Per prima cosa vediamo come si presenta generalmente questo virus.

  • presenza del file autorun.inf nella cartella radice delle partizioni e dei dispositivi USB infetti. Quindi se la vostra chiavetta è in E sarà in E:\ mentre per il disco fisso sarà generalmente in C:\
  • presenza di un file .com nella stessa posizione di autorun.inf
  • presenza di amvo.exe o amvo.dll (o entrambi) nella cartella di sistema (C:\Windows\System32)

Passiamo quindi all’eliminazione seguendo il secondo procedimento che ho trovato sul web leggermente modificato.

  1. aprite un prompt di DOS (facendo Win+R oppure Start->Esegui e digitate cmd);
  2. da qui passate nella cartella radice del disco infettato (se la chiavetta è in E digitate E: per quanto riguarda il disco fisso digitate cd\);
  3. per prima cosa verificate la presenza del file autorun.inf digitando au e premendo ripetutamente TAB per controllarne la presenza (vi ricordo che il file non lo dovreste vedere perche è nascosto,in questo modo lo costringete a mostrarsi);
  4. se lo trovate digitate:
    edit autorun.inf
    e segnatevi il nome del file .com che trovate nel testo;
  5. uscite dall’editor e digitate
    attrib -r -h -s autorun.inf
    per sbloccare il file
  6. ora possiamo eliminare l’autorun.inf digitando:
    del autorun.inf
  7. eliminiamo anche il file .com che ci siamo segnati in precedenza digitando ancora:
    del nomefile.com
  8. inifine andiamo nella cartella di sistema ed eliminiamo amvo.exe o .dll
    del amvo*
  9. l’ultimo passo è relativo alla riabilitazione della possibilità di visualizzare i file nascosti. Per far questo aprite il registro di sistema (Start->Esegui e digitate regedit).
  10. posizionatevi qui:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL     e cambiate il valore della chiave "CheckedValue", impostandola a 1

Sembra una procedura lunga ma non lo è assolutamente.
Vi ricordo come al solito di seguire delle semplici regole per mantenere pulito il vostro computer (ad esempio quelle che trovate in questo post) e vi auguro buon lavoro!

P.S. amvo potrebbe essere strettamente collegato alla presenza del virus nsanti.
P.S.2: questa procedura è valida per Windows XP non ho provato (e soprattutto non ci tengo a provarla con Vista).

[La Vida Es Un Carnval]

Technorati Tags: , , , ,

Popularity: 27% [?]

Condividi

Leggi tutto.. virus, amvo, sicurezza, computer, internet world, informatic world Condividi

Chiudi
Invia e-mail