In a few words

Posts tagged “amvo.exe

Trojan.AutoRun.A atau amvo.exe

Pesan error disebelah ini selalu muncul di komputer Windows XP SP2 milik teman saya yang “chatingcholic” 😀 …  Kerusakan sistem memang tidak begitu terasa selain pesan error yang sangat menggangu tersebut.  Hmm.. kenapa antivirus tidak bisa mendeteksinya sebagai virus… hayyaaahh… ternyata antivirus  dikomputernya sudah tidak aktif alias tidak jalan ketika starup windows.. hehehe… pantas.. jangan salahkan virusnya.

Karena sudah terlanjur kena, tidak ada gunanya menyalahkan teman saya yang alpa memeriksa antivirusnya,  lebih baik kita cari solusinya saja…

Ok, seperti biasa … pengenalan dulu.. Trojan.AutoRun.A atau amvo.exe adalah Trojan yang membuat file AUTORUN.INF secara otomatis ketika hard drive utama diakses, sehingga ketika membuka drive C, D, E di My Computer tidak terbuka normal dengan menampilkan pesan bahwa pada drive, Windows tidak dapat menemukan xn1i9x.com.  Error lain yang mungkin muncul ketika terjadi adalah :
n1deiect.com, ntde1ect.com, nudeiect.com, ntdelect.com, nideiect.com, ek.com, d.com, usdeiect.com, 80avp08.com, dosocom.com, xfoolavp.com atau uxdeiect.com

Pesan error yang mungkin ditampilkan antara lain :
Avpo.exe Application Error
Amvo.exe Application Error
Kavo.exe Application Error

Trojan ini menyembunyikan induknya dan men-disable fungsi “Show hidden files and folders”. Menghapus induk trojan ini sedikit sulit karena Trojan menambahkan registri yang berjalan otomatis load ketika booting, berikut baris perintah yang terdapat dalam AUTORUN.INF :
[AutoRun]
open=xn1i9x.com
;shell\open=Open(&O)
shell\open\Command=xn1i9x.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=xn1i9x.com

Dalam aksinya trojan ini juga membuat files.dll  dengan nama : amvo0.dll, gnsmo.dll, amvo1.dll, avp0.dll, taso0.dll, kavo0.dll, kavo1.dll. serta membuat file.exe dengan nama : amvo.exe, avpo.exe, avp0.exe, kavo.exe, semo2x.exe.

Langkah pembersihan yang dilakukan adalah mencari proses yang berjalan ketika starup dengan menggunakan tools Hijackthis (ambil disini)… singkat saja, didapatlah nama dibawah ini :
O4 – HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

Dengan petunjuk diatas maka untuk membersihkan :

  • Buka task manager (ctrl+alt+del) cari file amvo.exe pada pada process tab dan klik “end process”.
  • Buka start–> Run ketik msconfig.
  • Pada startup tab. buang centang amvo.exe -> apply -> ok — jika anda diminta restart, abaikan dengan klik “Exit Without Restart”
  • Buka start–> Run ketik regedit
  • Klik menu Edit -> find…> ketik amvo.exe -> klik find dan delete registry yang ditemukan oleh hasilpencarian. ulangi hingga tidak ditemukan lagi.
  • Untuk menampilkan file tersembunyi, buka My computer -> klik tab tools pilih folder options -> klik tab view -> pilih opsi “show hidden files and folders” dan buang centang pada:

“Hide extensions for known file types”

“Hide protected Operating system files”

  • Buka my computer\Local Disk c:\windows\system32 dan hapus file berikut:

* amvo.exe
* amvo0.dll
* amvo1.dll

  • Cari di setiap drive lalu delete file autorun.inf
  • Restart windows anda.
  • Selesai …

Jangan lupa mengembalikan setting folder option ke pengaturan semula :
buka My computer -> klik tab tools pilih folder options -> klik tab view -> pilih opsi “Do not show hidden files and folders” dan beri centang pada: “Hide extensions for known file types” dan  “Hide protected Operating system files”

Sedikit tambahan, dari googling tentang amvo.exe, ada tool gratis “Amvo Variants” yang dapat menghapus trojan ini secara otomatis, namun saya sendiri belum pernah mencobanya… jika anda berminat bisa ambil disini

Segitu saja, semoga bermanfaat …

Salam…