Amvo.exe Fix - Un patch pour supprimer le virus amvo.exe

Écrit par Administrator | Vendredi, 18 Septembre 2009 08:04

There are no translations available.

InformationLe virus Amvo.exe se propage par partition y compris les disques amovibles, le virus copie périodiquement deux fichiers "autorun.inf" et un autre fichier, si vous les supprimez sur une partition, ces deux fichiers se remettent dans la partition quelques secondes après la suppression.

Les variantes de amvo.exe sont traités ici à part ceux déjà sur le site. Nous n'allons pas détailler chaque particularité de chaque virus, nous allons juste les voir en totalité.

Fichier Le virus met aussi des fichiers dans le repertoire système :

<System>\amvo.exe
<System>\amvo0.dll
<System>\amvo1.dll

Met aussi plusieurs fichiers dans le dossier temporaire, les autres sont créés aléatoirement:

fq9.dll
help.exe
2nux4.dll
5.dll
92izu.dll
dykvagp.dll
e.dll
e7sf4.dll
ezk.dll
fqlq.dll
pelqe.dll
vupin8b.dll
w4enx.dll
zmcc.dll
k2fvpt.dll
e7sf4.dll
fgshabuifhdvmis32.exe
RarSFX0\32.exe
2m9mdmy.dll
w2e.sys

Et met des fichiers dans toutes les partitions de votre système :

Autorun.inf
3o.exe
y82td3td.com
i.cmd
fppg1.exe
ekugb3.bat

Registre Crée les entrées de registre :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- amva="<System>\amvo.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32

Crée les valeurs

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32
- (Defaul) = <Windows>\HELP\F3C74E3FA248.dll
- ThreadingModel = Apartment

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}
- (Default) = SSUUDL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{1DBD6574-D6D0-4782-94C3-69619E719765} = ""

ATTENTION Ce virus se lance automatiquement à chaque fois que vous ouvrez ou explorez une partition, il est donc préférable de télécharger ce patch et de le décompresser sur le bureau, de redémarrer votre machine en mode sans échec et de lancer le patch, toujours en mode sans échec.

Ce virus tente aussi de se connecter aux adresses :

http://www.microsoftmg.com/gut/mgg.exe
http://www.om7890.com/mf2/help.rar

Ce qui entraîne le téléchargement de ces deux fichiers.

Ajouter un Commentaire