Temmuz 16th, 2010 | 
Yazar: Genelde günümüzde çok fazla kullanılan USB-Flash diskler aracılığıyla bulaşan amvo virüsü (”Ckvo.exe” -”Ckvo0.dll”-”Amvo.exe”-”Avpo.exe”) tam bir baş belasıdır. Bu virüs genel olarak şu şekilde çalışmaktadır;
c:\windows\system32 altına ” Ckvo.exe “- “Ckvo0.dll” dosyalar kopyalamaktadır, bu dosyaların amacı ise bilgisayarda bulunan herbir bölümde autorun.inf dosyasını oluşturmaktır, bu dosyalar silinen dosyaları yeniden oluşturma fonksiyonuna sahiptirler. Ayrıca regedit içerisinde düzenleme yaparak sistem dosyası gizli dosyaları göster özelliğini devre dışı bırakırlar. Siz her defasında gizli dosyaları ve klasörleri göster seçeneklerini işaretlesenizde hiç bir şekilde bunun düzelmediğini görürsünüz.
Bu virüsü artık bir çok virüs programının tanıdığını biliyorum, fakat bulaştıktan sonra tamamen temizleyememekteler. Özellikle bozulmuş regedit ayarlarını düzeltme işlemini virüs programları yapamaktalar.
Tavsiye Antivirüs : ANTIVIR Virus programını kullanmanızı öneririm bedava olan versiyonu mevcuttur, kendisini otomatik olarak günceller isterseniz tarama ve güncelleme işlemleri için zamanlama ayarları oluşturabilirsiniz.
Bu virüs yeni bir virüs değil fakat bildiğiniz gibi internette artık bir konuda bir çözüm aradığınızda çok fazla sonuç çıkmakta ve bunun ne kadar doğru olduğunu anlamakta artık neredeyse imkansız duruma gelmekte. Bu virüsün temizliği için bir çok program önerilmiştir google da veya başka arama motorlarında arma yaptığınızda bir çok sonuç göreceksinizdir. (Bende bunlara bir tane ekleyeyim umarım faydalı olur)
Ben özet olarak problemin çözümü anlatmaya çalışacayım.
- Öncelikle bu virüs autorun adlı dosyaları ne kadar drive varsa hepsine kopyalamaktadır bu nedenle (”c:\-d:\ gibi”) ilk önerim autorunları silmek olacak fakat bunu yaparken drive’ları çift tıklamadan açınız. Start-Başlat/Run-Çalıştır yapıp drive ismini şu şekilde yazınız (”c: “-”d:” ) gibi bu size drive’lara kopyalanmış autorun.inf dosyasının çalıştırılmamasını sağlayacaktır. Daha sonra autorun.inf dosyalarını siliniz.
- Start-Başlat/Run-Çalıştır yaparak tekrar MSCONFIG yazıp çalıştırınız. Karşınıza çıkan sistem konfigürasyonu ekranında başlangıç’a geliniz buarada göreceksiniz ki virüs kendisini bilgisayarın başlangıcına atamıştır. Başlangıça atanmış “Ckvo.exe”, “amvo.exe”,”avpo.exe” gibi belirtilmiş satırların başındaki kutucuktan işaretleri kaldırınız. (uygula veya tamam dediğinizde bilgisayrı yeniden başlat seçeneğini kabul etmeyiniz)
- C:\windows\System32 altında bulunan ” Ckvo.exe “- “Ckvo0.dll” isimli dosyaları siliniz. Bu dosyalara erişim problemi yaşabilirsiniz; Silmeye izin verilmeyen bir dosya yüksek ihtimal ile yetkiden değil arka tarafta çalıştığındandır. Bu nedenle arka tarafta çalışan programları görmek için görev yöneticisi yerine daha etkili ve detaylı bir araç olan (görev yöneticisinden gizlenebilen program ve virüslerde mevcuttur) Process Explorer(INDIR/DOWLOAD) programını öneririm, bu program sayesinde tüm çalışan serivis uygulama vb. şeyleri görebilir ve sonlandırabilirsiniz. Alternatif bir araç olarakta Pocket Killbox(INDIR/DOWNLOAD) uygulamasını öneririm buda aynı işi yapabilmektedir.
- Yukarıdaki işlemler aracılığıyla küçük bir temizlik yaptık, iligli dosyaları sildik fakat dosyalrın gizlenmesini ve başka yerlerde bir takım kalıntılar olup olmadığından emin değiliz. Bu nedenle genel düzeltme araştırma ve temizleme içinde hazırlanmış olan kill_amvo_virus_usb_en.vbs (INDIR/DOWNLOAD) scriptini öneriyorum, scripti indirip çalıştırdığınızda genel bir tarama kontrol şlemi yapacaktır, sizin manuel olaraka silmeyi atladığınız silemediğiniz dosyalar kaldı ise bunları silecektir. Ayrıca regedit ayarlarınızı düzeltip normal haline getirecektir.
Bu işlemlerin ardından bu virüsten yüksek olasılıkla kurtulacağınızı düşünüyorum.
Kolay gelsin…
Özgür GÜNDÜZ
BYMORPHEUS
http://www.ozgurgunduz.com/index.php/2010/07/amvo-virusu
Kategori 
Etiketler: