ติดไวรัส Amvo ครับ เมื่อวานเปิดคอมฯ พบกล่องข้อความ "amvo.exe Application Error The instruction at 0x1001206a referenced memory at "0x0014f763" The memory could not be read" ดูเหมือนอาการติดเชื้อไวรัส ผมเลยได้งานเลย

ไวรัส amvo ทำให้ ใช้ USB ช้ากว่าปกติ แสดงไฟล์ที่ซ่อนไม่ได้ และเป็นแหล่งแพร่ไวรัสให้กับอุปกรณ์ที่มาต่อเชื่อมที่ USB
ไวรัสนี้อาจพบในชื่อพ้องอื่นๆคือ ckvo.exe,semo2x,d.com,amvo,semo2x.exe (1)

ซึ่งวิธีแก้ไขคล้ายกันกันกับ avpo.exe และ ntde1ect.com (2) ตรงนี้ให้สังเกตดีๆสำหรับไวรัส ntde1ect.com ชื่อจะมีเลข 1 ระหว่างอักษร e ส่วนไฟล์ปกติ(ห้ามลบ)ที่อาจพบในคอมพิวเตอร์ชื่อ Ntdetect.com จะเป็นอักษร "t" ระหว่างตัว "e" (Ntdetect.com เป็นองค์ประกอบของระบบปฏิบัติการ Windows NT จะใช้ในการตรวจหาฮาร์ดแวร์พื้นฐานที่ต้องการระหว่างการเปิดระบบ, จากวิกิพีเดีย(3 )

การแก้ไข ผมได้ลองปฏิบัติจากที่เขียนแนะนำในเว็บนี้ (1, 4) ขั้นตอนโดยย่อที่ต้องทำคือ
1. หยุดคำสั่งการทำงานก่อน

  • เปิด "msconfig" โดยพิมพ์ชื่อนี้ในกล่อง "Run"
  • เมื่อหน้าต่างขึ้นมา เปิดแถบ "Startup"
  • มองหา amvo (และไฟล์แปลกๆ) แล้วเอาเครื่องหมายถูกในกล่องออกไป
  • รีสตาร์ทเครื่อง

2. ค้นหาและลบไฟล์

  • เปิด "regedit" โดยพิมพ์ชื่อนี้ในกล่อง "Run"
  • เมื่อหน้าต่างขึ้นมา กดปุ่ม Ctrl พร้อมกับปุ่ม F 
  • ใส่ชื่อไวรัสต่างๆที่จะค้นลงไป เช่น amvo.exe หรือ amv*.*
  • โปรแกรมจะค้นหา เมื่อพบจะหยุด เมื่อเห็นแล้วให้ลบไฟล์นั้นทิ้งไป (คลิกขวาแล้วเลือกลบ) ผมลบ amvo ซึ่งเป็น data file ด้วย
  • กดปุ่ม F3 เพื่อค้นต่อแล้ว ถ้าพบก็ลบทิ้ง จนไม่พบอีกเลย
  • รีสตาร์ทเครื่อง

3. แก้คืนค่า

  • เปิด "regedit" โดยพิมพ์ชื่อนี้ในกล่อง "Run"
  • แก้ไขไฟล์ตามที่บอกในเว็บอ้างอิงที่ 1 โดยเมื่อดับเบิ้ลคลิกเปิดไฟล์ดังกล่าว ให้เปลี่ยนค่า "Value data" ให้เป็น "1"

• เช่นในกรณีของผม ใน HKEY-CURRENT-USERS ค่าของไฟล์ Hidden, Showsuperhidden, Superhidden ก่อนแก้จะเป็น 2, 0, 0 ตามลำดับ ก็แก้เป็น 1 ทั้งสามไฟล์
• ส่วนใน HKEY-LOCAL-MACHINE ค่าของไฟล์ CheckedValue, DefaultValue ใน NOHIDDEN ก่อนแก้จะเป็น 2, 2 ตามลำดับ และค่าของไฟล์ CheckedValue, DefaultValue ใน SHOWALL ก่อนแก้จะเป็น 0, 2 ตามลำดับ ก็แก้เป็น 1 ทุกไฟล์

  • เสร็จแล้ว รีสตาร์ทเครื่อง

4. ค้นหาแล้วลบไฟล์ทุกไดรฟ

  • คลิกขวาแต่ละไดรฟ แล้วเลือกค้นหา (Search) ใส่ชื่อไวรัสลงไป ถ้าพบลบทิ้ง

นั่นคือขั้นตอนที่ผมใช้

อ่ะ นี่ไฟล์อะไร เจอไฟล์ชื่อแปลก xlu8a8sy.exe ลองค้นดูพบว่า เป็นไฟล์ที่ผมเคยพบและเขียนในอนุทินพันคำ เมื่อเดือนพฤษภาคม ในนั้นเขียนว่าวันนี้ผมพบ spyware ชื่อ xlu8a8sy.exe (แต่ไม่ได้กล่าวถึงว่าทำอย่างไร) สิ่งที่รู้สึกไม่ดีเวลาค้นกูลเกิลด้วยคำนี้คือว่า เวลาอ่านข้อความสั้นๆโดยไม่ได้คลิกเข้าไป มันจะเหมือนว่าผมเป็นจุดเริ่มหรือสร้างไฟล์นี้!

แต่จริงๆไฟล์นี้ดูออกซับซ้อน ในเทร็นไมโคร (5) บอกว่าเวิร์มชื่อ WORM_ONLINEG.QBI จะเพิ่มจำนวนตัวเองในทุกไดรฟโดยใช้ไฟล์ XLU8A8SY.EXE นี้ พร้อมกับใส่ไฟล์ AUTORUN.INF ไว้ด้วยเพื่อสั่งไฟล์โดยอัตโนมัติเมื่อมีการใช้งานไดรฟนั้น (5)

ผมเลยลบไฟล์นี้ทิ้งไปด้วย
ตรวจดูการทำงานของคอมพิวเตอร์ ตอนนี้ดีขึ้น

เว็บอ้างอิง
1. Kamthorn 6 Nov 08 แก้ไวรัส amvo.exe from http://ncs.msu.ac.th/blog/?p=86
2. http://community.thaiware.com/thai/lofiversion/index.php/t325795.html
3. Wikipedia http://en.wikipedia.org/wiki/Ntdetect.com
4. http://digitalpbk.blogspot.com/2008/02/amvoexe-virus-usb-memory-stick.html
5. TrendMicro Virus Encyclopedia: WORM_ONLINEG.QBI http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ONLINEG.QBI&VSect=T