Помню была здесь тема как избавиться от этого вируса, я напишу как избавился я.
Значит качаем утилитку курейт от др.Веб и еще устанавливаем прожку тотал командер.
1. Вставляем зараженную флешку в компьютер ( как узнать заражена она или нет, если она заражена то при авто запуске будет появляться пункт открыть с помощью программы установленой на носителе ну или что то такое,в корне флешки будет файл autorun.inf) закрываем появившееся окно.
2. Запускаем курейт нажимаем пуск запускаем быстрое сканирование он найдет в файле autorun.inf зараженный и выдаст запрос жмем да (если найдет и другие вирусы тогда лучше после удаления autorunа запустить полное сканирование компьютера но это занимает много времени)
После быстрой проверки запускаем выборочную выбираем нашу флешку найдет еще пару вирусов удаляем их.
3. Безопасное извлечение флешки и снова ее вставляем закрываем появившееся окно.
4. Запускаем тотал командер переходим сначала на диск с выбираем папку документ энд сетинг/фирст/др.веб/карантин и удаляем ре файлы которые там находятся потом чистим корзину. Далее с помощью тойже утилиты открываем нашу флешку делаем в настройках чтоб тотал командер видел скрытые файлы и папки находим на флешке папку рекуклет и удаляем ее.
Все.
вот способ который мне помогал… трижды… теперь каспер все подобные шняги не пускает =)) (KIS rule)
1)Пуск->Выполнить
2)вводим msconfig, на вкладке автозапуск убираем галочку с файла amvo.exe – этот файл висит в процессах, но он не видим и его задача регенерить удаленные файлыautorun.inf, поэтому перезагружаемся
3)удаляем через тотал командер все файлы autorun.inf из корневых директорий дисков
4)идем в папку Windows\system32\ и удаляем файл amvo.exe
5)создаем текстовый файл и прописываем в нем (лучше просто скопировать smile )
(begin)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
(/end)
6)присваиваем файлу расширение reg, запускаем, на вопрос о подтверждении отвечам "Да", теперь скрытые файлы будут отображаться
Надо будет попробовать.
хотя была тема, что этот amvo.exe потом переименовали!… =(
но после KIS 8 у мну такой проблемы вообще не возникало!!!
юзайте kis и не парьтесь .
у меня проблемы с autorun.inf никогда не было. Даже при kis 6
p.s.
ради такой защиты и лицензию купить можно
Ахах)) Прежде чем лечить флешку – нужно вылечить комп, любым антивирем или вручную, причем "amvo" – достаточно старая модификация, я встречал services.exe, smss.exe, причем их просто так не вырубишь, винда принимает их за системные процессы и не даёт завершить – грузишься с любого live-cd и тупо удаляешьфайлы с этими именами (кроме тех, кто в System32 сидит
)… также достаждает некий csrcs.exe… убивается – легко, реестр от него очищается легко, но, зараза, юзеры ухитряются его подхватить на следующий же день ))
А когда вылечили комп – вставляем флешку и Тотал-коммандером (или любым другим файл-менеджером) просто удаляем оттуда autorun.inf и остальные "лишние" файлы (обычно имеют имена из случайного набора букв и арибут скрытости)…
Ещё вроде как помогает создать на флешке папку с именем autorun.inf, тогда при посещении заражённого компа вы сможете не опасаться, что случайно запустите вирус у себя, открыв её двойным щелчком в проводнике
#7 Как понять грузишься с любого лаив сиди у меня просто все эти процессы есть и я думал что они системные?
Да, системные, и должны быть запущены от имени System, вирус же запускает процессы с теми же именами, но от имени пользователя.
И расположены они обычно в разных местах, легальне – в windows\system32, вирусные же, например в windows\cursors или windows\web
Ясно.
Есть прога Unlocker… разблокируем "противный" файл (типа smss)… и удаляем без livecd
Что за процесс ctrmon.exe я его с автозагрузки убираю а он всеровно запускается.