amvo exe

Bir trojan virüstür.Gizli dosya ayarlarını değiştirip bulaştığı klasörleri görmenizi engeller.combofix isimli bir dosya ile silinmesi mümkün, başka türlü silmeniz pek mümkün değil çünkü neredeyse hiçbir anti-virüs programı bunu bulamıyor.

manual olarak dostan 2 dakikada silinebilen bir virüs.

çok piç kurusu bi' şey bu. combofix falan hikaye olabiliyor. çünkü virüs onunda çalışmasını engelliyor. siz hiçbirşeye elinizi sürmeyin önce.

http://rapidshare.com/files/126835739/sil.rar.html
adresine girin indirin. sistem geri yüklemeyi kapatın önce. indirdiğiniz dosyanın içindekileri okuyun eksiksiz uygulayın. sorununun bu yolla halledildiğini söylüyorlar. valla ben yaptım olmadı. ondan önce bi sürü şey denemiştim. ondandır herhalde. siz ilk bunu deneyin kurtulun. kurtulursanız bi artılayın bu entryi hatrına. bende sevineyim birisine hayrım dokundu diye. hadi bakalım oy da dilendik gider ayak. sksksjksj...

edit: evet bi kişi kurtulmuş. yardımlaşmak ne güzel bi şey canım...

gizli dosyaları görünür olmasını engelleyen pislik. Flash diskler yüzünden pcden pcye bulaşır.
http://uploaded.to/?id=vt9qoa adresinden indireceğiniz vbscript ile 2 sn de kurtulmanız mümkün.

Not: 3 numaralı scripti çalıştırın.

baş belası virüs. çözümü de şöyle;
aşağıdaki scripti alın, bir metin dosyasına yapıştırıp vbs uzantılı olarak kaydedip çalıştırın. işte bu kadar.

--spoiler--

on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
"a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")

Set hardwaremania=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives

Wscript.Echo "bu script kötü amaçlý amvo, avpo, n1detect ve türevlerini kaldýrmak için hazýrlanmýþtýr"
Wscript.Echo "arama ve silme iþlemi bikaç saniye alacaktýr. lütfen sabýrlý olun"

i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=hardwaremania.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close
End If
Next

Set objRegex = new RegExp

objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)

i=0
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Proceeding to remove file of virus :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Clean drive: " & objDrive.DriveLetter

nret=hardwaremania.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=hardwaremania.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

nret=hardwaremania.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=hardwaremania.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=hardwaremania.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)

nret=hardwaremania.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=hardwaremania.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=hardwaremania.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

End If
Next
i = i + 1
Next


Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing

nret15=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)


nret56=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)

nret23=hardwaremania.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=hardwaremania.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)


nret57=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret59=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)

WScript.Echo "gizli dosyalarýn görünmesi için kayýt defteri eski haline getiriliyor"

nret31=hardwaremania.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
nret32=hardwaremania.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

nret68=hardwaremania.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)

nret33=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

nret45=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

nret34=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

nret36=hardwaremania.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
nret37=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

nret39=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

nret48=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)

nret61=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)

nret78=hardwaremania.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=hardwaremania.Run("cmd /C start explorer.exe",0,TRUE)

nret15=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)



nret56=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)
nret60=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)

nret23=hardwaremania.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=hardwaremania.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)


nret57=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret59=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)

For Each objDrive in colDrives
If objDrive.IsReady = True Then
For X=0 to UBound(Lista)
nret=hardwaremania.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
nret=hardwaremania.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
Next
End If
Next

WScript.Echo "Tebrikler! bilgisayarýnýz amvo virus ve türevlerinden temizlendi"
WScript.Echo "http://www.hardwaremania.com";

WScript. Quit(0)
--spoiler--

flash diske bulaştıysa cmd kullanılarak çabucak aşılan virüs. aha da şöyle;

önce diskin takılı olduğu alan seçilir. biz flash diski F'ye takmış olalım mesela. her windows işletim sisteminde bulunan cmd programını çalıştırıyoruz. ardından şunları ekrana yazıyoruz.

f:
attrib -r -s -h /s /d

işte bu kadar. artık gizli dosyalarınızı görebilirsiniz.