sep 22 2008

Hola de nuevo a todos , pues bien iba navegabdo en la web hasta ke encontre esto, es un truco para kitar el virus amvo.exe y variantes ke se propaga a traves de memorias Usb pss bien lean con detalles:

Hay un virus que apareció estos días en la red de la empresa en la que trabajo, que se propaga vía unidades de memorias USB. La mayoría de los antivirus no lo detectaban y si lo detectaban, no lo podían eliminar correctamente.

He diseñado un pequeño script en VisualBasicScript que elimina el virus de forma automática y de todas las unidades infectadas. Este script también ha sido probado en varias máquinas infectadas y ha limpiado satisfactoriamente la infección.

http://rapidshare.com/files/147446592/quitar.amvo.Victorxxx.rar

Una vez descargado, solo haz doble click en el archivo descargado.
Te recomiendo que una vez que termine la ejecución del script reinicies tu PC y ejecutes el script nuevamente para asegurar la completa eliminación del virus.Si deseas saber cómo funciona el virus y cómo es que funciona el script, puedes seguir leyendo.El comportamiento de este virus es interesante:1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.La estructura típica de un archivo autorun.inf es:

[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico

En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:

ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com

2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.

Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:

C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll

Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.

3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe

o

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe

4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.

5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002

Una vez que conocemos el comportamiento de este virus, podemos proceder a su eliminación de forma manual si se desea.

Esto es lo que se debe hacer en la Unidad C:

1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde la línea de comandos:

taskkill /f /im amvo.exe
taskkill /f /im avpo.exe

2. Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola:

attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com

3. Proceder a la eliminación de estos archivos usando el comando delete con la opción /f para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:

del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\uxde?ect.com /f /q /a

4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:\windows\system32:

attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll

5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32:

del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll

6. Ahora borramos del registro los valores creados por el virus para evitar su ejecución autómatica al inicio del sistema, desde la línea de comandos:

reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f

7. Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de comandos:

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f

8. Repetir los pasos 1-7 en todas las unidades.

9. Reiniciar el computador.

Como verás el proceso de la eliminación de este virus es posible de forma manual pero como habrás notado también es un poco tedioso y más aún si no estás familiarizado con la Línea de comandos a.k.a. CMD.EXE.

De todos modos si deseas hacerlo del modo fácil. Puedes bajar el script desde aqui:

http://rapidshare.com/files/147446592/quitar.amvo.Victorxxx.rar

Fuente: Mygeekside.com (los creditos para ellos)

*NO TIENE PASS

*AGRADECER NO CUESTA, SALUDOS A TODA LA COMUNIDAD :)


Mensaje Privado
46190 Visitas


FavoriteLoadingAñadir a favoritos


Categoria: Seguridad

RSS Seguir Feed RSS Comentarios | Temas de victorxxx

Comentarios

  • gracias por el aporte pero nome funciona!! alguien sabe que puedo hacer?? mi pc no me muestra los datos de mi usb dice que la carpeta esta vacia pero me indica que solo tiene 38 mb libres que puedo hacer???

  • hey el link manda error ayuda y doy verde

  • No he llegado aún a ejecutar nada, pero es la explicación mas clara y mas completa que he encontrado. Voy a realizar el proceso de la forma menos facil que indicas para eliminar el maldito “amvo”.
    Estás haciendo algo muy bueno: “Enseñar al que no sabe”. Muchas gracias.

  • te super mega rifaste
    exelente gracias

  • oye no se si me puedas ayudar...
    me sale ke no encuentra el motor de secuencias de comandos vbscript

  • pasen el kasersky 2009, ahora si los detecta.

  • Funciona de maravilla

  • Gracias de antemano p[or la informacion, te comento que yo tengo ese virus y no me lo uedo quitar. E pasado el scrip dos veces.
    aun no se si lo tengo pero lo creo porque aun se me abren ventanas publicitarias hasta el mause se me friza que hago por favor

  • Victorxxx, solo eh dicho q no seas conchudo q si quieres q alguien te agradezca agradece tu a la fuente, de donde lo has sacado, eh visto esto posteado por muchos lados, ya que el problema es comun, pero todos ponian la fuente conociendo que felipe solo quiere ayudar a los q entran a su blog.

  • henrymoreno2004

    quita las variantes del amvo.exe incluyendo las ke mencionaste

    saludos

  • no saves si me puede quitar el ckvo y el kavo? no se como quitarmelos de encima los borro y vuelven a aparecer primero boy a ver si me lo quita tu programa de antemano te doy las gracias por este aportazo :)

  • victorxxxx

    sinceramente creo que es mejor que en tus aportes no votes por ti mismo

    se supone que los que ven deben de votar no los que hacen el post

    por lo menos yo no voto por mis aportes

    el que sean buenos o no prefiero que lo decidan los demas no yo

  • se me olvidaba mi propio voto jejeje

  • Shakazz:

    Este script sirve para quitar un virus, que hace poco se propago, por medio de memorias usb u otro dispositivo de almacenamiento. aveses resultaba dificil kitarlo, ya que el sistema se alentaba muchi¡o, generaba muchos procesos y todo eso eran los efectos del virus

    Sch3moS:

    si si, ya se que se le debe agradecer a geekside, no stoy pidiendo nada a cambio, esto es solo una informacion que nos puede ser util a todos, y si a ti te afecta pues no revises mis post

    SAludos a todos :)

  • Tuve este virus en la PC hace meses y no supe como quitarlo(dejo de aparecer de pronto, parece que el antivirus al final lo elimino).

    Gracias por el aporte, con esto me asegurare que ya no vuelva a infectar el pc.

    shakazzz: nunca me quedo claro que hace este virus, pero es un VIRUS, y si te das cuenta se mete es System32 que es la carpeta de sistema, esto solo es para eliminar ese virus.

    Sch3moS: el que sepa de esto lo va a entender, solo es de saber en que parte de windows buscar los archivos que el menciona.

  • buena explicacion

  • atorrante, agradecer no cuesta nada, pues agradece a geekside que es el que invento esto!!!

  • En términos simples, para que sirve.
    ??
    ? ?
    ?
    ?

Deja tu comentario

Debes iniciar sesion para poder enviar un comentario.

Terminos y Condiciones - Politica de Privacidad - Report Abuse - DMCA