Evo sta kaze na onom linku:
Citat:
It attempts to spread to removable drives by creating an autorun.inf file, which will run the worm automatically, if a systems which use the removable drive are set to Autorun.
* This worm adds the following files and registry entries to load itself on startup.
Files:
c:\WINDOWS\system32\amvo.exe
c:\WINDOWS\system32\amvo0.dll
Registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
amva = C:\WINDOWS\System32\amvo.exe
* This worm changes the following registry values in attempt to change the windows explorer view settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
* This worm also attempts to create an autorun.inf file on the root any accessible disk volumes.
[Drive]:\autorun.inf
* The autorun.inf will reference one of the following files that will also be written to the root of the volume.
(Additional filenames may be found in other variants of this worm)
[Drive]:\xn1i9x.com
[Drive]:\2ifetri.cmd
[Drive]:\x.com
[Drive]:\3wcxx91.cmd
[Drive]:\awda2.exe
E sad, bilo bi pozeljno da probas da pokrenes
http://live.sysinternals.com/procexp.exe i ako uspes da ga otvoris idi na View > Select Columns pa stikliraj Image Path.
Onda u koloni Image Path probaj da pronadjes c:\WINDOWS\system32\amvo.exe i/ili c:\WINDOWS\system32\amvo0.dll, pa klikni desnim dugmetom na te stavke i odaberi Kill Process. Takodje, ako negde u toj koloni vidis smss.exe a da nije u c:\windows\system32 folderu, likvidiraj ga odmah, a isto vazi i za fajlove pobrojane pri kraju citata.
Ako ne uspes da pokrenes ProcessExplorer, pokusaj fizicki da obrises te fajlove (ako su zakljucani, imaju i MBAM i HiJackThis alate za brisanje takvih fajlova), ali to najverovatnije nece proci bez restarta, tako da ti jos preostaje da pokrenes regedit (C:\Windows\regedit.exe - probaj da ga preimenujes ako nece, ili skini besplatni RegAlyzer koji su razvili autori Spybota sa
http://www.spybot-updates.biz/files/regalyz.exe) pa lociraj HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run i iz njega obrisi vrednost amva (koja ukazuje do C:\WINDOWS\System32\amvo.exe), i sve ostale gorepomenute fajlove. Ne bi bilo lose da odradis search u registry-ju na sve .com, .dll i .exe fajlove koji se spominju u gornjem citatu, pa da ih pobrises. Ako neka stavka ne dozvoljava brisanje, onda klikni desnim dugmetom na ime kljuca (otvorena zuta "fascikla" u levom prozoru), odaberi Permissions, klikni na Advanced dugme, pa na jezicak Owner, selektuj Administrators i stikliraj dole kucicu "Replace owner on Subcontainer and objects", klikni na OK, pa kad se zatvori taj prozor klikni na dugme Add i dodaj svoj nalog na spisak i daj mu Full Control prava, klikni na OK i onda pokusaj brisanje one "neposlusne stavke".
Ako uspes da pokrenes i
http://live.sysinternals.com/autoruns.exe verovatno ces sve stavke iz citata pronaci i tamo, pa ih obrisi, i kao sto rekoh obavezno poseti jezicak Image Hijacks i obrisi sve osim one jedne stavke sto sam spomenuo u ranijim postovima.
Ako ne uspes da pokrenes bilo sta od pobrojanog, javi se pa da krenemo detaljnije korak po korak.