ალბათ ბევრს გსმენიათ ამ ვირუსზე ან ამ ტიპის ვირუსებზე. ალბათ კომპების 50%-ს მაინც შეყრია ეგ ან მისი ტიპის ვირუსი. ბევრს მოშლია ალბათ ნერვები იმის გამო, რო დამალულ ფაილებს ვეღარ აჩენს ვინდოუსში ამ ვირუსით დაჯილდოების შემდეგ
. მე პირადად მაგ ტიპის ვირუსებს ვეძახი ”ჩიპის ვირუსებს”, იმის გამო, რომ ისინი ძირითადად ვრცელდებიან ჩიპების(ფლეშკების) საშუალებით. აერთებ თუარა ”ინფიცირებულ” ფლეშკას კომპში და ვირუსი ეგრევე ჯდება მეხსიერებაში, ინფიცირებას უკეთებს explorer.###-ს, ჯდება აუტორანში, თავის თავს წერს system32 პაპკაში და ყველა ფიზიკურ დისკებზე(C:\, D:\ და ა.შ). მანდვე აჩენს autorun.inf ფაილებს რომლის საშუალებითაც ეშვება ისევ დისკზე შესვლისას თუ გაშვებული არაა. სწორედ მასე ჯდება ფლეშკიდანაც autorun.inf-ის საშუალებით.
პრინციპში ეგ ვირუსი რას აფუჭებს ვინდოუსში არ ვიცი(გარდა იმისა რო დამალული ფაილების გამოჩენის საშუალებას აღარ იძლევა). ალბათ ტროიანია და ინფოს იპარავს. მაგ დონეზე აღარ ჩამიძიებია.
როგორ დავიცვათ თავი ამ ნერვებისმომშლელ და ჩინელებივით გავრცელებად-გამრავლებად ვირუსისგან? პირველ რიგში კარგი ანტივირუსი(პირადი გამოცდილებიდან გამომდინარე გირჩევთ კასპერსკის. NOD-ი მაგარი ჩასვრილი იყო თავიდანვე მაგ ვირუსთან მიმართებაში. ახლა მგონი უკეთააქ საქმე. სხვა ანტივირუსებზე ვერაფერს ვერ გეტყვით), ინტერნეტი და ანტივირუსის აპდეითი (ამის გარეშე ნებისმიერი ანტივირუსი უძლურია).
თუ რომელიმეს თავი არ გაქვთ(გიყენიათ NOD-ი სლაბი კომპის გამო, ინტ და აპდეითი არ გაქვთ) არაუშავს. უბრალოდ ცოტა სიფრთხილე და ჩვევა.
თუ მოიტანეთ ფლეშკა და ეჭვი გაქვთ რო ზედ ვირუსია(ეჭვიც რო არ გქონდეთ სიფრთხილეს თავი არ სტკივა), იქცევით შემდეგნაირად.
1) ხსნით რამე არქივს, ან აკეთებთ ახალს და ხსნით მას. წარმოუდგენელია ვინმეს ვინრარ არ ეყენოს
2) ხსნით თასკ მენეჯერს (для полных ламеров называется CTRL+ALT+DELETE
) პროცესებიდან თიშავთ explorer.###-ს
3) გადავდივართ ვინრარზე (თუ ჩაკეცილი გაქვთ ALT+TAB) და ვინრარში გადავდივართ My Computer = > თავენი ფლეშკა
4) შევდივართ შიგნით და ვნახულობთ autorun.inf-ს და პირველ რიგში ვშლით მას. შემდეგ ვეძებთ იქვე გაურკვეველი წარმომავლობის EXE ფაილებს(ძირითადად ასეთი სახის: n1de?ect.com", "nide?ect.com", "nlde?ect.com", "j*.bat", "m*.com", "d*.com", "copy.###", "host.###", "a0*.com", "ntdeiect.com", "ntdelect.com", "u?de*.com", "ntde1ect.com", "x*.com", "tio*.*", "80*.com", "semo*.###", "autorun*.*", "x*.###", "yl*.###", "qd*.cmd"). რასაც ვპოულობთ ყველაფერს ვშლით.
თუ ნაგავში ყრით იქედანაც წაშალეთ.
5) შედიხართ ისევ თასკ მენეჯერში = > file => New Task (Run…)-ში და ჩაწერთ explorer-ს და მისცემთ OK-ს. შეგიძლიათ თავისუფლად გააგრძელოთ მუშაობა.
ამ ხერხის მინუსი ისაა რო საწვალებელია ცოტა, ზატო უსაფრთხოა
ახლა რაც შეეხება იმ შემთხვევას თუ უკვე აიკიდეთ ეს საზიზღარი ვირუსი. პირველ რიგში სცადეთ ეს:
http://iakoo.caucasus.net/1/amvo_killer.rarგადაწერეთ,და გაუშვით. თავისით ამოშლის ვირუსებს, დამალული ფაილების გამოჩენის ფუნქციასაც გაასწორებს.
ხოლო თუ ვერ გიშცველათ (ეს იმ შემთხვევაში მოხდება თუ ამ სკრიპტისთვის უცნობი ვირუსია კომპში), მაშინ ისევ ხელით მოგიწევთ წვალება
1) ხსნით რამე არქივს, ან აკეთებთ ახალს და ხსნით მას.
2) ხსნით თასკ მენეჯერს და პროცესებიდან თიშავთ explorer.###-ს
3) გადავდივართ ვინრარზე
4) ვინრარში შევდივართ ყველა მყარ დისკზე (C:\, D:\ და ა. შ.)
5) ვშლით autorun.inf-ებს და ყველა საეჭვო exe ფაილს(ძირითადად ასეთი სახის: n1de?ect.com", "nide?ect.com", "nlde?ect.com", "j*.bat", "m*.com", "d*.com", "copy.###", "host.###", "a0*.com", "ntdeiect.com", "ntdelect.com", "u?de*.com", "ntde1ect.com", "x*.com", "tio*.*", "80*.com", "semo*.###", "autorun*.*", "x*.###", "yl*.###", "qd*.cmd").
6) შედიხართ ისევ თასკ მენეჯერში = > file => New Task (Run…)-ში და ჩაწერთ regedit. მერე გადადიხართ შემდეგ განყოფილებებში:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
და
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
და ნახულობთ ყველა საეჭვო მიმართვას ყველა საეჭვო ფაილზე. აქ ცოტა გამოცდილება და ცოდნაა საჭირო, შეიძლება რომელიმე პროგრამა გათიშოთ ვინდოუსთან ერთად გაშვებაზე(მაგალითად ანტივირუსი). მაგრამ მაგით არაფერი არ შავდება. მე პირადად არაფერს არ ვახარებ მანდ გარდა ანტივირუსისა
თანაც სახელწოდებებით შეიძლება მიხვედრა რა რისია. ვირუსზე მიმართვები კი ძირითადად ასეთებია:
C:\WINDOWS\system32\amvo.###
C:\WINDOWS\system32\avpo.###
C:\WINDOWS\system32\semo.###
ყველა ეგეთი ჩანაწერი ამოშალეთ.
7) შედიხართ C:\WINDOWS\system32-ში ვინრარით და შლით ყველა იმ ფაილს რაზეც იყო მიმართვა რეგისტრის run-იდან(ამ შემთხვევაში: amvo.###, avpo.###, semo.###)
8) საერთოდ ამ ტიპის ვირუსები სტარტის სტარტაპში არ ჯდებიან მარა მაინც გადაამოწმეთ მაგ პაპკებიც:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
C:\Documents and Settings\თქვენი უზერი ვინდოუსში\Start Menu\Programs\Startup
აქაც წაშალეთ ყველა საეჭვო ფაილი
9) შედიხართ ისევ თასკ მენეჯერში = > file => New Task (Run…)-ში და ჩაწერთ explorer-ს და მისცემთ OK-ს. შეგიძლიათ თავისუფლად გააგრძელოთ მუშაობა. ისე კი აჯობებს ეგრევე დაარესტარტოთ თასკ მენეჯერის მენიუდან
ისღა დამრჩა სათქმელი თუ როგორ ვუშველოთ იმას რომ დამალულ ფაილებს ვერ ვაჩენთ ვინდოუსში. შეგიძლიათ ამ ყველაფერის მერე ისევ amvo_killer იხმაროთ ან რეგედიტში შლით შემდეგ განყოფილებას:
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2
ან აკეთებთ შემდეგს:
შევდივართ
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
და ვშლით პარამეტრს CheckedValue (REG_SZ ტიპისაა). შემდეგ კი მარჯვენა ღილაკით ვქმნით DWORD ტიპის პარამეტრს, ვარქმევთ სახელს CheckedValue-ს და მნიშვნელობაში ვუთითებთ 1-ს (0x00000001)
ვაკეთებთ რესტარტს ყოველი შემთხვევისთვის
==========================================
იმედია ტყუილად არ ვიწვალე ამდენი და ბევრს გამოგადგებათ
PS: ###-ში E X E იგულისხმება
================
©
zvezdoi================
This post has been edited by zvezdoi on 12 Oct 2008, 18:46 
როგორ მოვიშოროთ AMVO ვირუსი
