Jedną z popularniejszych w ostatnich tygodniach infekcji jest trojan Amvo. Jest to infekcja z pendrive`a lub czytników kart. Infekcja następuje natychmiastowo po podpięciu do łącza usb. Bardzo duża liczba wariantów.
Lokalizacja:
klucz rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Symptomy:
-wyłączenie funkcji Pokaż ukryte pliki i foldery,
-przy próbie eksploracji dysku występuje bład Access is denied / Odmowa dostępu,
-błędy, o usunięciu plików z dysków,
-moyfikacja menu kontekstowego z prawokliku(pojawia się opcja Open(0)),
-rózne inne błędy np. atkowanie okienkami dosa;
-blokowanie łącza internetowego.
1.Należy wykonać log programem
Combofix.
2.Dodatkowy krok to usunięcie mapowania z klucza MountPoints2. Czyściciele nie likwidują tych zapisów.
Start >>> Uruchom >>>
regedit i w kluczu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
MountPoints2skasować z prawo kliku odpowiedni podlkucz. Są różne warianty, często losowe litery.
Można skasować cały klucz MountPoints2, choć nie wszystkie klucze są złe.
Usunie to mapowanie wszystkiego, jednak po resecie komputer sam zregeneruje ten klucz, więc bez obaw można ciachnąć cały.