Otro Virus!!!

Este articulo, lo lei y lo copie de AQUI para difundirlo, tuve hace unas semanas problemas con un virus, wow que novedad, como siempre no me doy por vencido, el antivirus que usaba la computadora no hacia nada, probe con otro antivirus y tambien murio, luego tuve que ponerme a pensar y comenze a analizar de donde provenia y que nombre tenia el virus…
Luego de muchas vueltas, logre deshacerme del problema, manualmente se puede hacer muchas cosas, y como vengo (de otro planeta, ajajajaj nooo), como vengo del tiempo del D.O.S. pues estoy familiarizado con comando de dos, y programacion, y diseñe un bach para borrar automaticamente el virus, pero leyendo encontre algo muy interesante….

Hay un virus que apareció estos días en la red de la empresa en la que trabajo, que se propaga vía unidades de memorias USB, tambien por red. La mayoría de los antivirus no lo detectaban y si lo detectaban, no lo podían eliminar correctamente.

He diseñado un pequeño script en VisualBasicScript que elimina el virus de forma automática y de todas las unidades infectadas. Este script también ha sido probado en varias máquinas infectadas y ha limpiado satisfactoriamente la infección.

Y lo puedes descargar de aquí:

Una vez descargado, solo haz doble click en el archivo descargado.
Te recomiendo que una vez que termine la ejecución del script reinicies tu PC y ejecutes el script nuevamente para asegurar la completa eliminación del virus.Si deseas saber cómo funciona el virus y cómo es que funciona el script, puedes seguir leyendo.

El comportamiento de este virus es interesante:

1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.

La estructura típica de un archivo autorun.inf es:

[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico

En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:

ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com

2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.

Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:

C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll

Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.

3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe

o

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe

4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.

5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002

Una vez que conocemos el comportamiento de este virus, podemos proceder a su eliminación de forma manual si se desea.

Esto es lo que se debe hacer en la Unidad C:

1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde la línea de comandos:

taskkill /f /im amvo.exe
taskkill /f /im avpo.exe

2. Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola:

attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com

3. Proceder a la eliminación de estos archivos usando el comando delete con la opción /f para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:

del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\uxde?ect.com /f /q /a

4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:\windows\system32:

attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll

5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32:

del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll

6. Ahora borramos del registro los valores creados por el virus para evitar su ejecución autómatica al inicio del sistema, desde la línea de comandos:

reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f

7. Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de comandos:

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f

8. Repetir los pasos 1-7 en todas las unidades.

9. Reiniciar el computador.

Como verás el proceso de la eliminación de este virus es posible de forma manual pero como habrás notado también es un poco tedioso y más aún si no estás familiarizado con la Línea de comandos a.k.a. CMD.EXE.

De todos modos si deseas hacerlo del modo fácil. Puedes bajar el script que hice:

Si quieres también puedes modificar el archivo puesto que el virus y los nombres que usa pueden variar, para editar y hacer modificaciones solo dale click derecho al archivo y modificar. Debes tener especial cuidado si vas a hacer modificaciones al archivo, y te recomiendo que solamente hagas modificaciones si sabes lo que estás haciendo.

Anuncios

61 comentarios en “Otro Virus!!!

  1. Excelente, funcionó de maravilla. MuchasGracias

  2. amigo… felicidades y gracias… pero seria posible que modifiques el codigo para q no salga ningun cuadro de pregunta y tantos aceptar… es para hacer un script cosa que al iniciar el windows corra automaticamente y el usuario no se de cuenta….??
    Gratz

  3. Maestro, muchísimas gracias por tu script, me ha caido de maravilla, y gracias a él la infección solo ha durado el tiempo que tardé en encontrar tu post. Gracias nuevamente.

  4. Gracias compadre, al parecer tu script funcionó a la perfección, se visualizan normalmente los archivos ocultos, se abre la información en la misma ventana, pero un problem si mandas un dir /a kav*.* puedes apreciar que siguen residentes en c:\windows\system32 confirme

  5. gracias mil, por ilustrarnos la forma de funcionar de este bichito, la verdad, si no sabes como se replica y donde se aloja, es bastante tedioso andar siguiendole la pista, y tu script, pues lo busca hasta el ultimo rincon de la pc, y gracias de nuevo, un agradecimiento sincero de un internauta con los ojos papujados de tanto seguir a este bichto y no haber dado con él pronto……

  6. muchas gracias, me sirvio mucho tu explicacion, gracias nuevamente!!!!

  7. Que impresionante, estoy muy agradecido que exista gente de tu especie, trata de preservar tus genes compa :D, todo0 super bien. gracias desde Chile.

  8. LO MAXIMO GRACIAS!!! muchas graciaaaaaaaaaaas 😀

  9. Muchísimas gracias, de verdad me estaba volviendo loco este pedazo de virus! No importa la cantidad de mensajes que este envíe, lo importante es la efectividad con la cual trabaja!!! Exitos!!!

  10. Mil gracias, de verdad. Estaba al borde de la desesperación xD Sencillo y efectivo. Perfecto ^^

  11. amigo eres un genio mil gracias…. me funciono de maravilla excelente programa….

  12. amigo eres un genio mil gracias…. me funciono de maravilla excelente programa….

  13. amigo eres un genio mil gracias…. me funciono de maravilla excelente programa…

  14. Desde Peru, Muchas gracias amigo, me ayudo tu script 🙂

  15. Hola:

    Saludos desde colombia, la herramienta que hiciste para la eliminacion de ese tipo de virus es una maravilla, TE FELICITO, MAESTRO y me fue de mucha ayada

    muchas gracias

    ah y me gustaria tenerte en mi lista de contactos

  16. Estoy plenamente agradecido porque este virus me hizo la vida de cuadritos. ¡Felicidades por compartir tu trabajo con todos!

  17. Excelente puede resolver mi problema, me pregunto como se introdijo este bichiño si tengo avast antivirus. Solo recuerdo que instale un tema para window XP y a los 4 dias tenia esta cosa trabada en mi disco duro. Pero resolvimos con el programita.
    saludos

  18. muchas gracias ya no tendré que formatear de nuevo a las máquinas que les agarre el méndigo virus, funciona también, pero era mas tardado, bueno, me gustó la aplicación y gracias por la explicación también, no sabía cómo funcionaba este virus malandroso…..

  19. WOW! MUCHIMAS gracias, ya me estaba volviendo loko! tu script fue de mucha ayuda!

  20. Muchas gracias ya tenia muchos problemas con esa basura

  21. Solucionaste mi problema!!!!!Estoy tan agradecida…Sos un 10 !!
    Que Dios te bendiga 😀

  22. Eres un chingon ka
    bien hecho
    ¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡}

    gracias sensei

  23. Excelente amigo ya me tenia como loco pero gracias ati y tu inteligencia sali del problema bye

  24. brother eres un genio estuve por muchos foros buscando una solucion pero nada hasta que me tope con tu blog la neta fuiste quien realmente me soluciono mi problema
    muchisimas gracias

    eres grande

  25. Muchíiiiiiiisimasssssssssssssss Graciassssssssssssssssssss!!!!!!!!!!!!!!!!!!!!!!1

  26. gracias men, funciono al 100% ese virus me tenia cojudo ahora ya se pueden ver los archivos ocultos y puedo acceder a las carpetas sIn problemas… GRACIAS MAESTRASOOO!!!!

  27. si este script es maravilloso yo tengo un ciber y me a ayudado a desinfectar todas mis maquinas y ademas se los recomiendo a todos mis clientes… muchas felicidades

  28. Eres un Dios, he formateado mas de 1 vez por culpa de un POSSIBLE_OTORUN1

  29. lo encontre por casualidad pero fue lo mejor que me pudo haber pasado ya hbaia pasado muchos dolores de cabeza por ese virus erslo maximo muchisimas gracias

  30. Me fascinais la gente como tú , muchisimas gracias ,me has salvado la vida , gracias

  31. Esto parece que sigue estando en mi ordenador, no se nada de informatica, pero han cambiado de nombre.
    A0127865.exe
    A0127924.exe, estos los tengo en el baúl del antivirus pero no se que hacer con ellos.
    Necesito ayuda . GRACIAS

  32. gracias hermano
    te lo agradezco desde bolivia
    sigue trabajando sin egoismos y compartiendo
    tu conocimiento
    chau

  33. maestro incrieble tu solucion, me quite ese bicho de encima y de mi un gran peso con este problema, que dios te bendiga y que nos sigas ayudando

  34. En verdad: Gracias …….desde Colombia

  35. Maestro!!!!! tenga mis bendiciones y le deseo una larga vida para todas las eternidades!!, funciono de maravilla su archivo, pase antivirus luego limpie con ad aware y luego organize con tune up utilities y kedo excelente, mil gracias y nunca nos desampare 🙂

  36. De pura casualidad encontre este blog, puesto que andaba buscando la forma de utilizar el comando attrib del DOS, (ya que que aprendi un poquito hace churrocientos años) para quitar un molesto archivo llamado cayqf2.cmd que estaba en todas las unidades de la compu de mi trabajo, y pense en borrarlo manualmente ya que ni kaspersky ni nod32 ni otros 100 antivirus y antispyware detectan este molesto… no se ni como llamarlo, estaba a punto de formatear las 20 computadoras de la ONG en que trabajo , de veras que me salvaste la vida hermano, ese bicho es justamente el que infecto nuestra intranet y ha causado grandisimos dolores de cabeza. Saludos desde Guatemala ING. ERAClio RODRiguez

  37. Jaiomee…. excelente mi amigo… la verdad leí para aprender algo… auque entendi poko… solo me resta darte las gracias y bendecirte por compartir tu conocimiento…

  38. Eres lo màximo, se borro el amvo.exe. Ayudame, en mi pc se abren paginas de internet sin requerirlas asi no este navegando
    Gracias

  39. Muchisimas gracias en verdad funciono mejor que los 4 antiviruz que probe, cuando vengas a cancun, yo t invito unas cervesas, una chicas y hospedaje va por mi cuenta… funciono de maravilla tu mata bichos….. mil gracias…..

  40. Graciasssss,, gaste todo el día tratando de quitar este virus con cuanto antivirus encontrara., solo lo detectaba, pero no lo eliminaba. Hasta que Dios puso este blogs en mi camino. Gracias por tu ayuda.

  41. Ya lo habai autilizado antes y hoy lo volvi a necesitar y funciona todo bien, gracias a vos.

  42. mil gracias hombre funciona de maravilla

  43. Amigos tengo un problema.. Tengo windows vista, y no me sale la opción para Mostrar los archivos y carpetas ocultas…Este script me ayuda a recuperar la opción para poder activar??????

  44. este scrip, busca el virus, luego habilita en el registro archivos y carpetas ocultas del sistema, seguro que te ayudara…

  45. uff que buenio que hya gente que se dedica a soluvionar los problemas de los demas, ke buena onda.

  46. amigo buenas tardes tengo un virus o mas bien varios troyanos los nombres de ellos son: cdjjb8.dll, 488k.dll, dtwg.dll la gran mayoria son *.dll ni el mcafee los ah borrado o bueno al menos los detecta vanti nombre del virus espero respuesta pronto a mi solicitud de antemanos te doy las gracias por ayudarme! espero respuesta pronto!

  47. huaaaa excelente yo ya estab pensando en formatear el compu por q como no me dejaba ver archivos ocultos pense q era de problemas de instalacion, nunca me imagine q era por causa de las usb, graciasss por este script q funciono de maravilla y puede eliminar otros virus manualmente gracias a esto..

    graciasss

  48. bueno, como siempre se impone el conocimiento, seria ideal que buscaras esos archivos en el regedit, y borras sus enlaces para que no se activen en la siguiente inicio del sistema, y puedas borrarlo normalmente. eso seria ideal, suerte.

  49. exelente viejo!! esa wea casi me la gana…. muy bueno y se le agradece

  50. Mil gracias por este Scrip, por tu tiempo y por compartirlo. Genial,desùes de formatear -antes se resistia-
    Un saludo y Mil gracias.

  51. nombre compa, pos gracias, parece qe si funciona, lo acabo de correr y me dijo qe ya estaba limpio de virus, bamos a ber qe onda, pero muchas pracias por este aporte…

  52. gracias muchas gracias todo mi ciber ya estaba infectado

  53. despues de tanto tiempo como lleva publcada tu solucion y todavia funciona, muchisimasssssssssssssssss gracias por tu aporte, va de maravilla

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s