Amvo Truva Atı
SPONSOR REKLAMLARI
Bugün karşılaştığım bir trojan türünden bahsetmek istiyorum.Bulaştığı bilgisayara ilk önce internet üzerinden geldiğini düşündüğüm ama sonradan flash disk üzerinden bulaştığını öğrendiğim bu truva atının genel tanımlayıcı özellikler, “amvo.exe,amvo0.dll,autorun.inf ve u.bat”.
Semptomlar : Trojan sisteme flash disk içerisinden bulaşıyor.Ama bunun bu tür taşınabilir bellekler için yazıldığını düşünmüyorda değilim.Flash diski iki kez tıklayıp açmaya çalıştığınızda daha önceden “autorun.inf” dosyası flash diskin üzerinde kayıtlı olduğu için direkt olarak “u.bat” isimli dosyayı koşulsuz olarak çalıştırıyor.Antivirüs programınız varsa size bir uyarı verecektir ancak bu sorununuzu çözmüyor.Truva atı kendini önce system32 klasörü içine amvo.exe adı altında kaydediyor.İkinci adımda oluşturduğu amvo0.dll dosyasını windows klasörüne, u.bat ve autorun.inf dosyasını da tüm lokal sürücülere kopyalıyor.İşte şimdi yandınız, tabi bilgisayarınızı enfeksiyondan sonra yeninden başlattıysanız.Yeniden başlatma işlemi yapıldıysa artık lokal disklerinize ulaşamıyorsunuz demektir.Bu kadarla da bitmiyor.Artık gizli dosyaları görme seçeneğinizde istediğiniz gibi çalışmıyor.Yeniden başlatma işlemi olmadıysa işiniz daha kolay.
Çözüm : Hey gidi günler deyip DOS kullanabilen arkadaşlar kolları sıvasınlar.Bilmeyenlerde sıvasınlar, çünkü birazdan bi kaç dos komutu ile bu sorunu çözmeye çalışacağız :
- Ama önce CTRL+ALT+DEL yaparak görev yöneticisini çalıştırın.Gelen pencerede “İşlemler” bölümünde AMVO.EXE yazan satırı bulup seçerek “Görevi Sonlandır” butonuna basın.Gelen mesajı onaylayın.
- Sonra Başlat menüsünde ÇALIŞTIR uygulamasını açın ve CMD yazıp enter e basın
- Gelen pencere de gördüğünüz “C:>……..” varsayılan klasörünüzü gösterir.Bizim işimi sürücülerle olduğu için “CD” yazmalısınız.Bu sizin sürücü köküne ulaşmanızı sağlar ki bizim ilk işimiz orada.
- Artık yol olarak “C:>” görünüyorsa ilk komutumuz şu şekilde :
attrib -a -r -s -h autorun.inf ( ve enter )
attrib -a -r -s -h u.bat ( ve enter )
Burada ki amacımız hiç bir şekilde görünür hale getiremediğimiz bu dosyaları dos ortamında görünebilir hale getirmek.
- Şimdi de bu dosyaları silelim :
del autorun.inf ( ve enter )
del u.bat ( ve enter )
Bu iki dosya silindikten sonra varsa eğer diğer lokal disklere de yukarda ki komut satırı parametreleri ile ulaşıp o alanda ki autorun.inf ve u.bat dosyalarını silin.
- Şimdi ikinci aşamaya geçiyoruz.Bilgisayarına bu trojanı bulaştırmış ama yeniden başlatmamış olanlar bu kısımdan itibaren takip etmeliler.Onların işi daha kolay.Şimdi aynı komut satırında önce “cd windows” parametre sizi “c:>windows” alanına getirdikten sonra da “cd system32″ yazıp entere basın.Bu sizi “c:windowssystem32>” klasörüne getirmeli.
- Az önce ki gibi :
attrib -a -r -s -h amvo.exe ( ve enter )
attrib -a -r -s -h amvo0.dll ( ve enter )
yazıyoruz ve gizli dosyaların ortaya çıkmasını sağlıyoruz.
- Bu dosyaları siliyoruz :
del amvo.exe ( ve enter )
del amvo0.dll ( ve enter )
- Yapmamız gereken sonraki işlem konsol penceresini kapatıp yine başlat menüsünden ÇALIŞTIR uygulamasına MSCONFIG yazıp çalıştır demek.Karşınıza Sistem Yapılandırma Yardımcı Programı çıkacak.Burda BAŞLANGIÇ kartını yukardan seçin ve gelen listeden “AMVO.EXE” satırının yanında çentiği kaldırarak açılışta çalışmasını durdurun.
- Ve son işlem.Başlat menüsünde ki ÇALIŞTIR uygulamasına artık aşinayız.Bu kez oraya REGEDIT yazıyoruz.Karşımıza Kayıt Düzenleyici gelecek.Bu uygulama dikkatli kullanılması gereken bir uygulama.Yanlışlıkla yapılabilecek bir değişiklik dimyata giderken bulgurdan olmanıza neden olabilir.O yüzden sadece şunu yapın :
- F3 tuşuna basın
- Arama penceresine “AMVO.EXE” yazıp entere basın
- Bulduğu tek kayıt zaten onun kayıt anahtarı olacaktır.Lütfen onun bulduğu değeri silmeyin.Sol tarafa baktığınızda kayıt ağacına aslında ona ait bir klasör göreceksiniz.Üzerinde AMVO yazan bu klasörü iyice emin olduktan sonra silin.
- Bilgisayarınızı yeniden başlatın ve yeniden başlatma sonrasında lokal disklerinizin yine autorun ile açılıp açılmadığını kontrol edin.Eğer yine böyle bir durum varsa yukarda ki işlemleri tekrarlayın.
Yazıya 01-04-2008 Tarihli ek olarak :
Gün geçtikçe artan şikayetler sebebi nedeniyle, yabancı web sitelerden birinden bulduğum eksiklerini gidererek türkçeye çevirdiğim ve bu virüsün benim bulabildiğim varyasyonlarını temizleyen bir scripti buradan indirip çalıştırabilir ve bilgisayarınıza bulamış bu solucandan tümüyle kurtulabilirsiniz.Script yukarıda anlatılan işlemleri kendisi otomatik gerçekleştiriyor.Sadece işlemleri onaylamalısınız.
Bu yazı 1. yaşını doldurdu ve bu zaman içerisinde bu bela için farklı çözümler ortaya çıktı.Şimdi burayı tıklayıp indirin, çalıştırın ve sadece yönergeleri izleyin.
-
Arkadaşlar adminin yazının sonunda yazdığı program tüm virüslerinizi siler.Pc mükemmel oldu, teşekkürler bin defa.
Yardıma ihtiyacım var.
Arkadaşlar bu autorun.inf gerçekten berbat bişey düşünsenize virüs programınız bile haklayamıyor.Yukarıda ardaşımızın anlattığı gibi kutulabiliyoruz ama benim size pratik bir önerim var.googleden dracula virüs temizleyci diye aratın.Minik bi programcık.Çalıştırın virüsten kurtul komutu verin oldu bitti makina tertemiz.Gerçek zamanlı bi koruma sağlamadığı için tam olarak bir virüs programı değildir ve bu yüzden diğer virüs programıyla aynı anda makinada çalıştırmanın hiç bir sakıncası da yoktur arkadaşlar.Mutlaka deneyin.
sımdı arkadaslar bu konuda ben butun denılenlerı yaptım ama su var evet duzelıor ama makınayı yenıden baslatınca tekrar yptıgım ıslemlerı yapmadan gızlı klasorlerı goremıyorum. bunun bır cozumu varmı yenıden baslatınca aynı kalmasının
- Gizli dosyalar ile ilgil yazıya bakın
arkadaşlar benimde amvo ile başım beladaydı. sonrasında combofix kurdum oh rahatladım derken bu defa combofix tüm sürücülerin autorununu iptal etti. hiçbir sürücüde otomatik kullan yok. aramadığım yol bakmadığım site kalmadı. hiçbişekilde sorunumu çözemiyorum bilen arkadaşlardan yardım istiyorum. şimdiden teşekkürler…
güzel kardeslerim ben format attım bilgisayara ancak atarken gizli dosyaların gizligigini kaldırmayı unutmuşum simdi ise o dosyadaki hiç bir video olsun resim olsun açılmıyo erişilemiyo yani ancak klasördeki hersey tüm boyutları ile duruyo ançak çalıştıramıyorum bi yardmcu olun şu teknolojik özürlü kardesinize
- Bilgisayarınızda hala aktif olan virüs var.Siz format atmış olabilirsiniz ama muhtemelen Sürücünüz 2 parça halinde ve diğer sürücüyü açmaya çalıştığınız anda probleminiz ilk haline dönmüş oldu.Combofix indirin ve çalıştırın.
selam, yine ben yani fatih
arkadaslar kavo virüsünü kayspersk ve yarimekanikin bizlere verdigi imkanlarca çozmuştük şimdi bu kavo virüsü gibi bir virus başımıza musallat oldu . fakat bu sefer kaysperski virüs taraması yaparken ceb6eu98.bat virüsü kayspersky antivirüsü bozmakta. Kayspersy çalısmıyor. Düşünüyorumda kavo virüsünü yapan şahıs ile kayspersky yapımcısı arasında reabet var. Bu arada telef olan bizleriz. ancak kurtuluş yine bu sitedeki bilgiler kavo virüsünü nasıl bu sitedeki bilgilerle kaldırdı isek ( once C ye format sonra tum yedek hard disklerimiz flaş belleklerimizi cmd dostan girip nasıl temizledi isek oyle ) temizlezşiyoruz. bu benim amatorce yorumum soz soz yarı mekanik yapımcısınındır. saygılarımla fatih
sonunda 2 haftadır bilgisayarımı kitleyen format atmama ve virüs taraması yapmama engel olan yaratıklardan kurtuldum.
teşekkürler..
Combo fix super ,herşey için sagol ömer
selam arkadaslar bende de aynı problem var bakalım bunları deneyince ne olacak umarım benim pc de düzelir emeğinize sağlık arkadaslar
Scripti aktif hale getırıp dosyaları siliyorum ancak bı sure sonra tekrar eskı problm ortaya cıkıyor.yanı bu scrıpt gecıcı bır surelıgınemı ıse yarıyor? dedıklerınızı harfıyen yaptım ancak ne autorun ne amvo nede u.bat dosyalarını bulabıldım.. ayrıca usb gırısıne herhangı bırsey taktıgımda onuda gormuyor pc.baska cozumu varmı ?
gerçekten en iyi çözüm combofix oldu. şimdiye dek bunların bulaştığı üç pcyi temizledim.
Masque arkadaşımızın önerisini dikkate aldım ve artık sanırım bu sorundan kurtuldum..pekte zahmetsiz oldu..umarım yan etkisi yoktur..
indirin çalıştırın ve arkanıza yaslanın..
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
bilgisayarinizi güvenli kipte başlatin. birtane winrar li dosya açın ve yukarı diyerek bütün local disklerinizi gezin, bu şekilde gizli ve sistem dosyalarinin hepsini görüp silebilirsiniz. Flash_Disinfector indirip çalıştırın, masaüstü gidip geri gelcek, artik herşey eskisi gibi.
autorun.inf diye bi klasör oluşacak korkmayin onu flash_disinfector yapiyor bir daha bulaşmasin diye. kolay gelsin.
hüseyin diyor ki :
09 Temmuz 2008, 13:15 tarihinde yazılan mesaja cevaptır :
Çözüm bulundukça isimleride değiştiriliyor demekki.Bende şimdi bu dosya isimlerini de script’e ekleyip tekrar yükleyeceğim.Bir kez daha indirip çalıştırırsanız sanıyorum sorun çözülecek.
Kolay gelsin
Çok teşekkürler verdiğiniz bu bilgiler için. İki gündür ne yapacağımı şaşırmıştım. Birsürü antivirüs denedim, çare olmadı. amvo bulaşmadan önce kullandığım antivirüsten gayet memnundum ama amvo geldikten sonra program resmen iptal oldu. Sonunda burada yazılanları uyguladım da öyle kurtuldum.
Ama şimdi her gördüğüm dosyadan tırsar oldum. amvo’yu vs. temizleyip gizli klasörleri görüntülemeyi başardıktan sonra gözüm şunlara takıldı;
C – D – E sürücülerinde “hgu.bat – 00hoeav.com – qxbx9blb.com”
windows’ta “xmg.exe”
system32′de “ckvo.exe – ckvo0.dll – ckvo1.dll”
Bunlar neyin nesidir? Tehlikeli bi durumları var mı? internette aradım ama türkçe bir bilgi bulamadım. Prevx CSI ile taradığımda bunları buluyor ve yanlarında “cloaked malware” açıklaması var. Silmeye çalıştığımda “ckvo.exe” yi silemiyorum (Diğerlerini silmekle doğru birşey yaptığımdan da emin değilim)
Ne yapmalıyım? Kurtulmam gerekir mi? Bunun bir yolu var mı? Yoksa hiç dokunmayayım mı? Bir tehlikeleri var mıdır?
arkadaşlar dikkat edin virüs tarayıcıları bu trojenı bulamıyor. bir bilgisayarcı olarak şu anda en işe yarar antivirüs programı olarak nod32 dıyorum fakat türkçesini kullanırsanız işinize yarar. bu program trojanı buluyor ancak sil dediğinizde windowsta genellikle system32 ye yerleşen bu trojanı temizlerken ayrıca dosyadanda bir kısım siliniyor. dracula virüs temizleyicisi sadece bu trojanlar üstünde etkili bununla işinizi devam ettirirseniz yarıyabilir
Benim bilgisayarda nideiect.com var. hiçbir virus programı
kurulmasına izin vermiyor. Ayrıca combofix.exe yi de engelliyor.
Sevgili Arkadaslar bana kavo virusu bulastı ne yaptıysam silemedim . Format attım yedek hardiskime tıkladıgımda yeniden bulastı. ancak yarimekanikle tanısıncaya kadar sırdu bu mucadelem .
- Artık yol olarak “C:\>” görünüyorsa ilk komutumuz şu şekilde :
attrib -a -r -s -h autorun.inf ( ve enter )
attrib -a -r -s -h u.bat ( ve enter )
Burada ki amacımız hiç bir şekilde görünür hale getiremediğimiz bu dosyaları dos ortamında görünebilir hale getirmek.
- Şimdi de bu dosyaları silelim :
del autorun.inf ( ve enter )
del u.bat ( ve enter )
bu sekilde gorunmeyen gizli dosyaları gorup bulup sildim
regedit e kavo yazıp nerede kavı var ise onu sildim.
yukarda adresi verilen bu linkten
http://rapidshare.com/files/105653360/amvo.zip.html
amvo yu bulup calıstırdım gorunmeyen klasorlerim gorunur oldu.
kayspersky anti virusu de kurup butun yedek har disklerimi taradım birkac tane bilgisayarım var idi hepsindede bu uygulamaları yaptım diger pc lerimi de format atmadan bu virusten kurtarmıs oldum
Yarimekanik.com a tesekkur ederim
sevgiler fatih
Banada nideiect.com bulaştı
Dün (09.06.2008) Norton 360 , kaspersky ve aviva
kurmayı denedim. Bunları kurmaya bile izin vermiyor.
Combofix.exe yi geçerli bir win32 dosyası değil
diye çalıştırmıyor.Bilgisayarı güvenli kipte
başlatmaya izin vermiyor.
Bana Xp Sp3 kurduktan sonra Mp11 ve
IE7 kurduktan sonra bulaştı gibi
yada bunlar Microsoftun sabırlı ve sistemli
bir korsan kopyalama engelleme girişimi
Abi sana ne kadar teşekkür etsem azdır, sayende çözdüm. Aynen dediklerini yaptım, gerçi benim her aşamada u.bat çıkmadı ama pek de etkilemedi. Gerçekten çok teşekkür ederim
çok tşk ederim bende bu sıkıntıdan nasıl kurlacagımı düşüne düşün esaçımda saç kalmadı tşk
MASQUE KARDEŞİM SAOL VAROL SORUN ÇÖZÜLDÜ VERDİGİN LİNKTEKİ PROGRAMLA
Kaspersky Internet Security hariç ne yakalayan var ne esamesini okuyan kurun pc’yi taratın hepsini tek tek bulup silsin hiç bir sıkıntınız kalmasın.
bu truva atından beni kurtardıgın için cok tsk ederim 3 gündür bununla ugrasıyodum cıldırttı beni resmen emegine saglık…
amvo.exe için dediklerinizi yaptım ve hem bilgisayarımı hem kendimi tüm işlemlerimi felç eden ve moralimi bozan bu dertten kurtardım. yardımlarınız için emeği geçen herkese teşekkür ederim!!! gerçekten çok makbule geçti! Allah razı olsun!!!
çoooooooook saolun ama başımda power spy diye bir program var lütfnn yardm
Çok Teşekkürler.. Dediklerinizi Yaptım bilg. düzeldi.. ve Sık kullanılanlara ekledim sitenizi
slm win32 onlinegames.yze bulastırmışım
bu sorunu format atmadan çözmenin bi yolu varmıdır acaba ?
arkadaşlar sanırım bu virüsten dolayı kredi kartı bilgilerimi çaldılar dikkatli olun
bitdefender onlinede taradım pcyi dracula ilede bir tarama daha yapıp restar ettim bitti cok şükür
açıklamaların için teşekkürler arkadaşım bende yeni format attım bilgisayarıma sonra avastı kurdum bu dosya hatasını verdi deli oldum sonra nette bu yazıyla karşılaştım işte
saol kardeşim eline sağlık denedim oldu
arkadaşlar en üsteki yazılı anlatım ve diğer 2 program çalışıyor
herkese çok teşekkür ederim.
Verdiğiniz bilgilerin hepsini uyguladım ancak command yazarken u.bat dosyasının yine cmd’de silerken iki dosyayı da bulamadı.Herneyse bi şekilde lokal disklerin autorun şeklinde açılmasını ve msconfig’deki avmo.exe’nin yanındaki tiki kalıcı olarak kaldırmayı başardım ama hala gizli klasörlerimi görünür hale getiremiyorum. Teşekkürler
verdiğiniz bilgiler için çok teşekkürler… arkadaşlar sizlerede kolay gelsin en kısa zamanda şu trojandan kurtulun… pc min anasını ağlattı yaaa rahatladım artık… tekrar teşekkürler..
merhaba arkadaşlar. Bu problem son zamanlarda benimde başıma bela oldu ama ben şöyle aştım sorunu bi nebze olsun hafifletti beni:)şöyle özetlersem;
-Bilgisayarım penceresi(herhangi pencerede olabilir)
-Ara butonuna basın ekranın sol tarafında arama seçenekleri görünüyor.
-ileri düzey seçeneklere girin gizli dosya ve klasörlerde ara seçeneğini seçin( tabi diğer seçenekleri seçerek aramayı özelleştirebilirsiniz size kalmış) bu arada biliyorsanız dosya adını girin ve o dosyanın nerde olduğunu biliyorsanız arama alanını daraltınki işiniz kolaylaşsın.
-gelen sonuçlarda gizli dosyanız göründümü öyleyse gidin sağ tuş tıklayın özellikler deyin ve gizliliğini kaldırın umarım işinize yarar. bana yaradı
bende de işe yaradı ama güvenilir olup omayacağı şüpheli zamanla görcez.tnx for now but i am suspicious too
Ben bu adımları uygulamadım yedeklememi yapıp format attım. Windowsum orjinal olmasına rağmen kurulumun ertesi günü üstelik herhangi bir flashdisk takmamış olmama rağmen Kaspersky 7.0 yine amvo.exe amvo.dll ve bilimum amvo türevlerini buldu ve system32 içinde uyarı verdi.
Soracağım şu ki acaba bu meretin hdd ye teknik olarak zararı olabilir mi? Kalıcı hasar olması benim intiharıma denktir..
Taylan soytemiz kardeşim Allah senden razı olsun ne dileğin varsa versin inşallah …çünkü benim disk temizlendi şu anda öyle bir rahatladım ki sorma… ne zamandan beridir bu virüsle uğraşıyordum, hem evdeki pc de hem işyerindekinde bu virüs bulaşmıştı pc ye …yarın da işyerindeki pc yi temizleyecem….çok teşekkür ediyorum tekrardan….
ahmet diyor ki:
24 Mart 2008, 09:29 tarihinde yazılan mesaja cevaptır :
eksik kalan bir şeyler var.sıralamayı kontrol edip tekrar denemen gerekiyor.
dediklerinizi yaptıktan sonra bu sefer de bilgisayarımı tıkladığımda c ye ya da d ye tıklamak istediğimde neyle açayım diye soruyor bunu nasıl halledebilirim?
virüs sorununu çözdüm hakikaten çok gerekli bilgiler bunlar sana sonsuz teşekkür ediyorumm
saygılarla
alican krc
YA ABİ BU VİRÜSDÜN ÇÖZÜM YOLUNU BULANLAR LÜTFEN BENİM MSN ADRESİMİ EKLESİNLER BAŞIM DERTTE BU VİRÜSLE
YEDİN BENİ AMVO:(
AMVO VİRÜSÜ HAKKINDA DETAYLI BİLGİ SAHİBİ OLANLAR LÜTFEN BENİ EKLESİNLER.
msn adresim = rrdvan@hotmail.com
İYİ GÜNLER BU SİTEYE TAKILAMIYORUM VAKTİM OLMUYO NETTE
Arkadaşlar antivirus falan boş beleş şeyler en iyi çözüm Flashdisk takacaksanız eğer daha önceden yaratmış olduğunuz kısltlı bir kullanıcıda açmak. Bende Nod vardı ama AVMO yine de bulaştı. Kısıtlı kullanıcıda Registry ye ve sisteme hiç birşey yazılamadığı için virüs çalışsa bile bulaşamıyor. Autorun virüslerden korunmanın en iyi yolu bu yoksa autorun özelliğini kaldırmak, antivirüse güvenmek boş şey. Hem her gün yeni bir autorun virüsü çıkıyor. Yukarıda arkadaşların yazdığı üsullerle sile bilirsiniz ama dosla uğraşmak istemiyorsanız Easycleaner programının Gereksiz dosyalar bölümüne girip amvo,autorun,inf,Nideiect.com kelimelerini yazarak virüsün dosyalarını bula ve sile bilirsiniz. Bunu yapmadan önce tabii ki görev yöneticisinden avmo.exe yi kapatmayı ve easycelaner özelliklerinden gizli dosyaları yoksay özelliğini kaldırmayı unutmayınız.
combofix isimli script gerçekten işe yarıyor ama güvenilirliği tartışılabilir ((:
slm dostum bilgilerin için çok tesekkürler ama hala benim gizli dosyalar görünmüyoo.
AMVO mu bulaştı DURUN..
HİÇ BİR YOLU DENEMEYİN…
aşşadaki script i indirin. çalıştırın ve butun trojanı temizlesin.
ayrıca hard dislerin farklı pencerede açılma ve gizli dosyaları goster/gosterme seçeneklerindeki engellemeyi de kaldırıyo. Güvenmeyebilirsiniz ama en azından deneyin derim. bana kurstaki bilgisayardan usb me bulastı ordan da bnm pc me. kendi bilgisayarımda uğraştım bu siteyi kullanarak onu sildim bunu sildim. sonunda trojanı yok ettim ama etkileri felan kaldı gizli dosyalar hala engelleniyo felan.. ama kursa gittiğimde kurs bilgisayarında butun belirtilere baktım aynıydı. suruculeri farklı pencerede açma gizli dosya engeli gibi… hiç bişey ellemedim bu script i çalıştırdım ve butun sorunlardan kurtuldum.. ardından da hemen usb mi taktım ve içindeki.. ozel doaya olarak duran isimlerini tam hatırlamıorum ama yq2… .exe ve onun gibi 2 dosya daha var onları da sildim artık tertemiz…
script i çalıştırdıgınızda tek tek silecek size mesaj gosterecek surekli tamam a basın en sonunda tebrikler silindi yazacak bu kadar…
http://www.dosya.cc/kill_amvo_virus_usb_en.rar.html
linki burada kendim upload ettim.
Sizlerle paylaşmak istedim çunjki bende sizler gibi cok uğraştım…
Tamamdır arkadaşım saolasın gerek kalmadı esete
gene amvo engelliyormuş sesi de gizli dosyaları da.Ama senin söylediğin işlemlerle birlikte 1-2 işlem daha yaptm ayrıca.Belki yararlanmak isteyen olur diye yazıyorum;
Google’dan “combofix.exe” diye aratıp programı indirmeniz gerekiyor.
Program çalıştırdığınızda amvo virusunu siliyor ve tarama sonunda bi log dosyasıylasize rapor veriyor bundan sonra programı kapatıyoruz.
Ardından da “prevx CSI” diye bir program var bu antiviruslerin bulamadğı malware ları taramak için ücretsiz ama silmek isterseniz lisans istiyor.Biz sadece tarama da kullanacağımız için sorun yok
Taratıyoruz ve eğer hala virus war ise yukarda admin arkadaşın da yazdığı gibi önce dosyayı görünür yapmak için bulunduğu dizine gelip attrib -a -r -s -h “dosyaismi” yazıp eter a basıyoruz sonra da del “dosyaismi” yazıp virusu siliyoruz.
Ben böyle temizledim bilgisayarımı,amvo dan da krtuldum diğerleriinden de..
Ayrıca tekrardan yazın için teşekkür ederim arkadaşım..
mrb. baslatta komut yazarken dosya bulunamadı dıyor bana yardımcı olurmusunuz:( bu vırus banada bulasmıs.
Barış C. diyor ki:
08 Mart 2008, 16:23 tarihinde yazılan mesaja cevaptır :
Başka bir varyant ya da virüs ile ilgili sorun yaşıyorsun.ESET firmasının Antivirüs programını ( NOD32 Antivirüs, System Security değil ) http://www.eset.com üzerinden indirip kurarmısın.Daha sonra güvenli modda sıkı bir tarama işlemi yap bakalım ne olacak sonuç ?
Off yok gene gitti,üstüste yazıorm ne gelişme olduysa.Gene gitti ses,ve şmdi antivirus programı da devre dışı kaldı autoprotect özelliği kapatldı ve açamıorm.Lütfen yardım
Sorun çözülmüştür
“- Yapmamız gereken sonraki işlem konsol penceresini kapatıp yine başlat menüsünden ÇALIŞTIR uygulamasına MSCONFIG yazıp çalıştır demek.” bölümünden başladım ve sonuna kadar yaptım en son kayıt düzenleme kısmından da bulunduğu klasörü silip yeniden başlattım ve artık sesi engelleyen kimsecikler kalmamış ortada =)
Çok teşekkürler
Merhabalar..
Öncelikle yazınız için teşekkürler,fakat ben de yeniden başlattıktan sonra trojanın bulaştığını farkettim.Sizin söylediğinz gibi komutları girdiğimde
attrib -a -r -s -h autorun.inf ( ve enter ) dediiğmde tamam fakat “attrib -a -r -s -h u.bat ( ve enter )” dediğimde ise dosya bulunamadı diyor ve ondan sonraki işlemlerde de hiçbir doya bulunamıyor.
Benim asıl sorunum bilgisayarı yeniden başlattığımda windows açılış sesi geliyor ve donanımlarda hiçbir sorun yok gibi gözüküyor.Fakat yaklaşık 15-20 sn sonra bilgisayar donar gibi oluyor(sanırım bu sırada amvo kendini yeniden devreye sokuyor) ve ozmn da microsoft çekirdek dalga ses karıştırıcısında sürücü hatası olarak hata gözüküyor ve bilgisayarımdan ses alamıyorum.Bunun dışında zaten gizli dosyaları da göremiorm amvo saolsn…
Yapabileceğim başka birşey varmı acaba?Nasıl temizleyebilirim bu trojanı,verdiğinz komutları yazdm ama dediğim gibi olmadı
Norton Antivirus ile Spybot teatimer sürekli güncel çalşmakta ama onlar da engelleyemedi ne yazık ki..
Yardımcı olabilirseniz sevinirim.Kendinize iyi bakın.
Tekrardan teşekkürler..
abreah diyor ki:
03 Mart 2008, 22:19 tarihinde yazılan mesaja cevaptır :
Söylemek istediğinizi anladım, bahsettiğiniz konu da bir ihtimal olabilir.Ancak Anamakinalar (Server) kendi üzerlerinde sıkı bir güvenlik yazılımı barındırdığı için bu ihtimal biraz düşük gibi.Bu truva atının en büyük özelliği TAŞINABİLİR CİHAZLAR’dan geliyor olması.Zaten Autorun dosyasının yazılmasında ki temel sebep bu.Eğer bir ağ üzerindeyseniz bu virüs size ancak ağda paylaşıma açılıp kendisine bu virüs bulaşmış bir sürücü üzerinde çalışmak istediğiniz anda bulaşabilir.Onun dışında aynı ağ üzerinde ki farklı bilgisayarlara takılan bir taşınabilir cihazdan da bulaşabilir.Server üzerinden bağlanan yetkili bir kişi eğer diğer sistemlere erişebiliyorsa onlar üzerine kopyalasa bile illaki bu virüsün aktif edilmesi gerekir.Yani sizin anlayacağınız para kazanma güdüsü ile etrafımızda bir çok kötü niyetli insan olsa da, bunu en son düşünmek en doğrusu olurdu.
Unutmadan, bende büyük bir yerel ağ üzerindeyim ve kendi iradesi ile diğer sistemlere bulaşmadığını biliyorum.
Vermiş olduğun bilgiler ve emeğin için çok teşekkür ederim. Beni can sıkıcı bir durumdan kurtardınız. Belirtmiş olduğunuz bu amvo.exe ve diğer dosyalar, yerel ağa bağlı bilgisayarlara server yetkilisi tarafından gönderilebilir mi? gönderilebiliniyorsa bundan ne gibi beklentisi veya amacı olabilir?
27 Şubat 2008, 12:39 tarihinde yazılan mesaja cevaptır :
Bir dosyanın uzantısını değiştirmek için Explorer menüsünde ki Araçlar->Seçenekler kısmına girip, Görünüm kartında ki “Bilinen Dosya Uzantılarını Gizle” seçeneğinde ki çentiği kaldırmalı, daha sonra hazırladığın dosyanın uzantısını REG olarak değiştirmelisin.Örneğin :
kayit.txt -> kayit.reg
Gösterdiğiniz işlemleri yaptım. Artık bilgisayarı açarken uyarı vermiyor. Karantina altına alınanlarıda avast ile sildim. Ancak gizli dosyaları hala göremiyorum. Dediğiniz gibi bir metin belgesi hazırladım ancak reg uzantılı nasıl yapılıyor bilmiyorum. Biraz daha ayrıntılı anlatırsanız sevinirim.
öncelikle hepinize çok teşekkürler.
dediklerinizi yaptım amvo die deil de amva die bi klasör vardı bende onu sildim virüsten kurtuldum ama gizli dosyaları hala göstermiodu bide o combofix i indirip çalıştırdım o da halloldu.
tekrar saolun…
xxx, elle birşey silmene gerek yok yukarıdaki mesajımda verdiğim programı indir çalıştır bütün temizleme işlemini kendi yapıyor.
sistem32 ye yerleşmiş amvo.exe, amvo0.dll ve amvo1.dll dosyaların program kendisi siliyor. Elle uğraşmanıza hiç gerek yok.
amvo diye klosör yok amva diye var onu siliyim mi birde içindeki amvo yazan anahtarları sildim bir anahtar var “software\microsoft\windows\currentversion\run” bunuda siliyim mi yoksa klosörün hepsini mi siliyim yardımcı olursanız sevinirim simdiden tesekkürler
Aşağıda verdiğim combofix.exe programını indirin. Tek yapmanız gereken programı çalıştırıp amvo yu temizlemesini beklemek. Tüm işlem bu kadar. (Denenmiştir)
Bu adresten indirebilirsiniz.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
materi trabzon diyor ki:
21 Şubat 2008, 03:38 tarihinde yazılan mesaja cevaptır :
Katkın için teşekkürler, ancak bir sonra ki yorumunda “zavazingo” tabiri ile yazılanların ve çizilenlerin bir fayda sağlamadığını belirtmiş daha sonra bu sorunun çözülüp çözülmediğine dair çelişkili ifadelerde bulunmuşsun.Bu konuya açıklık getirmeni bekliyoruz.
lahalehey diyor ki:
20 Şubat 2008, 10:39 tarihinde yazılan mesaja cevaptır :
Kayıt defteri ile ilgili bahsettiğim bölümler ile ilgli de işlem yapmalısınız.Ancak sabit sürücülerinizi sağlıklı bir şekilde görebiliyorsanız sorun kalmamış demektir.
zeki diyor ki:
20 Şubat 2008, 17:15 tarihinde yazılan mesaja cevaptır :
Siz yazının tamamında belirtilen prosedürü uygulayacaksınız.
arkadaslar combofix download diye aratın cekın herseyı denedım olmadı bununla hallettım olayı artık gızlı dosyalar görünüyor amvo.exeyisildi
sevgili admin peki bu virusu bilgisayarına bulaştırmış ve yeniden başlatmış olanlar ne yapacak bunun için var mı reçeten
dediklerini yaptım ancak hala gizli klasörleri açamıyorum,başlangıçtaki amvo.exe’nin tick’ini kaldırmayı başardım..
hiçbir sabit sürücüde u.bat ı bulamadı bu arada??autorun.inf var ve silindi..
kerim diyor ki:
16 Şubat 2008, 16:02 tarihinde yazılan mesaja cevaptır :
Mail kutunu kotrol et bakalım
olmuyor be ustam..herşeyi doğru yaptım..gizli dosyları göremiyorum hala..kaspersky canı sıkıldıkça
Worm.Win32AutoRun.clq die bişi buluo silio anlamadım gitti..ayrıca pinokyonun yazdıgı win32:onlinegames-caz win32:onlinegames-psw win32:onlinegames-puc
arasırada cıkıo silio…
kerim diyor ki:
11 Şubat 2008, 17:19 tarihinde yazılan mesaja cevaptır :
Amvo gördüğün tüm anahtarlı silebilirsin
pinkyoyo diyor ki:
11 Şubat 2008, 00:42 tarihinde yazılan mesaja cevaptır :
Farklı bir varyantı olduğu için bu prosedürü uygulamayı deneyebilirsin.
kerim diyor ki:
10 Şubat 2008, 15:18 tarihinde yazılan mesaja cevaptır :
Şayet başka bir virüsten şüphelenmiyorsanız bu durumda adımları atlamaksızın tekrar uygulayın.Ama eğer siz klasör seçeneklerini değiştirdiğiniz halde yine dosyalarınız görünmez hale geliyorsa bu durumda eksik bıraktığınız bir nokta var demektir.Buna dikkat etmelisiniz.Diğer ihtimal başka bir virüsün daha olma olasılığı.
Hakan diyor ki:
10 Şubat 2008, 11:07 tarihinde yazılan mesaja cevaptır :
Amvo ile ilgili değerleri silmeniz yeterli.Bunu özellikle söylüyorum, çünkü Windows işletim sisteminde AMVO ile ilgil bir program ya da o program ile ilgili kayıt değeri yoktur.
trojanının da..! diyor ki:
10 Şubat 2008, 02:35 tarihinde yazılan mesaja cevaptır :
Burda bakmanız gereken şey sol tarafta ki ağaçta, klasör görünümüne sahip bir “amvo” anahtarı varmı.Bunu kontrol edin.”MUICache” kökünü silmeyin.İçeriğinde “amvo” ile ilgili görebildiğiniz değerleri silin.
Fatih Çubuk diyor ki:
10 Şubat 2008, 02:17 tarihinde yazılan mesaja cevaptır :
Fatih, yazıların bir tanesinde gizli dosyaların nasıl görüntüleneceğine dair resim ile destekli bir bilgi vermiştim.Onu kontrol edersen sevinirim.
kerim diyor ki:
10 Şubat 2008, 02:01 tarihinde yazılan mesajına cevaptır :
Dos üzerinde sürücü değiştirmek için “C:” ya da sürücü harfin D ise “D:” yapmalısın.
reee diyor ki:
07 Şubat 2008, 22:20 tarihinde yazılan mesaja cevaptır :
USB diskini bir antivirüs programı ile taramalısın.Harici disk kullanan arkadaşlar, cihazınızı kendi sisteminize bağladığınızda virüs uyarısı alıyorsanız bunun anlamı cihazı kullandığınız diğer cihazların herhangi birinden bu virüsü aldığınızdır.Lütfen buna dikkat edin.
gitmedi, gitmiyor!!!
yazı yazmıştım ama onaylamamışsınız herhalde..Dediklerini yaptım fakat gizli dosyaları göstermiyor regedit den amwo.exe yi aradım farklı bi kayıdın içinde buldu onlarıda siliyimmi sizce ?
merhabalar
bende de win32:onlinegames-caz virüsü var sanırım bir siteden girdi
avast buluyor ama silemiyor
ama benim ki c nin içinde aynı işlemimi yapıcam
dos kullanmayı bilmiyorum şimdiden teşekkürler
Fakat bende gizli dosyları gösteremiyorum
AMVO.EXE aratınca amva die bi klasör buldu onu sildim..Tekrar arattıgımda ise MUIChache die bi klasörün içinde buldu..baya bi dosya var MUIChache silersem onlarda gidicek..sorun yasarmıyım…?
Windowsun oldugu yeri temizlemiştim..Çalıştır CMD yazıp diğer lokal disklere baglanamıyordum dün gece..Kalkıtıgımda lokal diskerin harfini yazıp E: ve C: enter dediğimde diğer bağlandım..Aynı dediklerini uyguladım ve hard diskimden sorun kalktı..TŞKLER..
Dostum söylediğin şeyleri tek tek yaptım..
Yalnız Kayıt Defterinde Amvo.exe yi arattırdığımda bir çok kayıt anahtarı çıkıyor..
Söylediğin gibi sol tarafta AMVO isimli klasörü arıyorum bulamıyorum..
Yardım lütfen..
kusura bakmayın, kayıt defterinden koca bir klasörü sileceğim için biraz tırsık yaklaşıyorum mevzuya. bende F3 yardımıyla amvo.exe için arama yaptığımda bir tane sonuç buldu. ancak bulunduğu klasörün(MUICache) içinde eşşek yüküyle başka anahtar(sanırım adları bu) var. yine de silecek miyiz o klasörü?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Expl orer\\Advanced”
“Text”=”@shell32.dll,-30500″
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105″
bu registry kayıtlarını not defterine yapıştırıp uzantısını reg yap, ardından çalıştır.. büyük ihtimalle gizli dosyalar gorunecek.
aksi taktirde manual yoldan çalıştır’a regedit yaz
ardından HKCU\software\microsoft\windows\currentversion\exp lorer\advanced’e git
hidden dword degerini 1 olarak kaydet. tum gizli dosyalar gorunuyor artik..
ama bu yolla yaptiginizda klasor secenekleri / gizli dosyalari gosterme dedikten sonra tekrar gizli klasorleri goster derseniz gorunmez… gecici bir cozum yani bu.
Peki bu sorunu tamamen gecici olarak degil de tamamen cözmek icin ne yapmalıyız…
Ayrıva verdiginiz yönergeler dogrultusunda bu malware den tamamen kurtulmus oluyor muyuz…
Şimdiden teşekkürler…
admin kardeşim..aynı sorun bende de oldu..hard diskim 3 e bölünmüş durumda Windowsun oldugu yer D: diğer yerler C: ve E: olarak gözüküyor..Yazdıklarının hepsini yaptım Windowsun oldugu yer yani bendeki D: yi temizledim halloldu.. fakat diğer C: ve E: yi yapamıyorum CMD ye girdikten sonra “E:\>” veya “C:\>” olarak yapamıyorum
yardım edersen sevinirim..Bilgilerin için tşkler
Bizim işimi sürücülerle olduğu için “CD\” yazmalısınız demişsin bunu “ED\” sürücüsüne bağlayamıyorum
prevx csı dıye bı program var bunu buluyor ama sılmıyor program lısans ıstıyor deneme surumu yok.
avast pro var silmedi gormuyor bıle caspersky 7 sılıyor dedıler guvenlı modda oda gormuyor normal calısırkende goruyor ama sılemıyor
formattan sonra duzeldı ama yenıden usb dısk taktım yıne aynı sey
burada tarıf edıldıgı uzere gızlı dosyaları aktıf yaptım prevx csı ıle tarama yaptım oradakı lıstedekı 6 tane vırusun adresını yazdım sonra gızlı dosyalar gorunur oldugu ıcın adrese gıderek sıldım sımdı sorun yok ama yenıden usb dısk taılınca aynı sey olucak buna antivirusler cozum bulması gerekır
Tolga için :
Adını söylediği dosya farklı bir varyant.Onu da silmen gerekiyor.Yukarda bahsi geçen parametreleri onun içinde uygularsan sorunun çözülmüş olacak
aline sağlık güzel bi açıklama ben dediklerini yaptım kurtuldum trojandan fakat artık C: veya D: ye tıkladığımda birlikte aç çıkmakta. Ondna nasıl kurtulucaz bu autorunlarla oynadığı içiin oldu herhalde bendeki problem
bir de
“2ifetri.cmd” adlı dosya nedir?
Enis için :
Burda bir yanlış anlaşılma var.Benim kayıt defterinde bahsettiğim şey, AMVO.EXE anahtarını silmek yerine onun kendi kayıt girdilerinin tümünün ağaçta asılı bulunduğu klasörü silmek.Eğer aramada bulduğunuz değer RUN kısmında ise o değeri de silin lütfen.Ama kayıt defteri içinde aramaya devam etmelisiniz.Eğer bir tane daha bulursa o bulduğu solucanın kendi kayıt girdileridir ve yukarda da söylediğim gibi asılı olduğu klasörü silmelisiniz.
Dediğiniz gibi tekrar uyguladım bu seferde msdosda bu dosyaların hiçbirini bulunamadı. Dediğim gibi kayıt düzenleyicide amvo klasörü yok bulduğu değerlerde amvo.exe var ordan birşey silmeyin demiştiniz. Ayrıca ben amvo1.dll diye bir dosya daha buldum system32 de onu da sildim ama çözüm olmadı hala gizli dosyalarımı aktif hale getiremiyorum.
aTa diyor ki:
13 Ocak 2008, 12:35 tarihli yazısına cevap olarak :
Eğer registry üzerinde yaptığın bu işlemden sonra yine gizli dosyalarını göremiyorsan bunun anlamı trojanın aktif olduğu ve normalde olduğu gibi trojanın inatla dosya gizleme seçeneğini aktif etmesi demektir.Lütfen yazıda ki adımları tekrarlayın
Adem için :
Eğer Klasör Seçeklerine girip gizli dosyaları gösterme seçeneğini aktif edebiliyorsan -yani gizli dosyalarını görebiliyorsan- sorunun çözülmüş demektir.
Enes için :
Gizli dosyaları göster seçeneğini işaretlediğin halde bu durumu explorer üzerinde uygulayamıyorsan o zaman bunun anlamı hala aktif olduğudur.Adımları tekrarlamayı denermisin ?
Ben yaptım artık artık lokal disklerim autorun ile çalışmıyor ama hala gizli dosyalarımı göster dediğimde olmuyor. Adımları uygularken u.bat dosyasını bulamadı acaba ondan mı? ve regedit de amvo klasörünü çıkarmadı.
slm benim pc ye dediğiniz gibi oldu yeniden başlatım ve orda yazdıklarınızı yaptım ama del değim zaman dosaylar bulunamadı diyor..
başka bi yöntemi varmı 2 gündür uğraşıyorum lutfen acil yardımlarınız bekliyorum
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Expl orer\\Advanced”
“Text”=”@shell32.dll,-30500″
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105″
bu registry kayıtlarını not defterine yapıştırıp uzantısını reg yap, ardından çalıştır.. büyük ihtimalle gizli dosyalar gorunecek.
aksi taktirde manual yoldan çalıştır’a regedit yaz
ardından HKCU\software\microsoft\windows\currentversion\exp lorer\advanced’e git
hidden dword degerini 1 olarak kaydet. tum gizli dosyalar gorunuyor artik..
ama bu yolla yaptiginizda klasor secenekleri / gizli dosyalari gosterme dedikten sonra tekrar gizli klasorleri goster derseniz gorunmez… gecici bir cozum yani bu.
abi cok saolasin trojani temizledim… ancak hala gizli klasorleri gosteri aktif edemiyorum…
bilgi için teşekkürler işime yaradı