Virus:amvo.exe avpo.exe amvo0.dll amvo1.dll avpo0.dll avpo1.dll
Es muy común que la infección por virus se de por medio de dispositivos portables como memorias usb, tarjetas SD, micro SD, Mp3 y otros, quienes son los encargados de propagar esta molestia, infectando a cada computador donde es instalado. En el otro post que hice sobre autorun.inf dejé muy claro el concepto que tiene este archivo que no es un virus, pero que sin este archivo, no hay un solo virus que pueda ejecutarse por si solo.
Ahora es el turno de este grupo de virus como son: amvo.exe avpo.exe amvo0.dll amvo1.dll avpo0.dll avpo1.dll
Bien este grupo de virus tiene dos maneras de ser eliminados sin ningún inconveniente.
La manera compleja es haciendolo por comando cmd y luego desarrollando todo el procedimiento que a continuación se describe.
La segunda forma, práctica y sencilla es utilizando un scrib llamado: "mata_virus_amvo_usb" con el cual tan solo se lo descarga de la dirección de enlace y ejecuta, quedando libre de virus.
Comportamiento del virus:
1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB. En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB. La estructura típica de un archivo autorun.inf es:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico
En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:
ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com
2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres dearchivo
C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
“amva”=amvo.exe
o
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
“avpa”=avpo.exe
4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.
5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002
“Hidden”=dword:00000002
Eliminación de forma manual:
Esto es lo que se debe hacer en la Unidad C:
taskkill /f /im amvo.exe
taskkill /f /im avpo.exe
2.- Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola:
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com
3.- Proceder a la eliminación de estos archivos usando el comando delete con la opción /f para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:
del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\uxde?ect.com /f /q /a
4.- Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:\windows\system32:
attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll
5.- Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32:
del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll
6.- Ahora borramos del registro los valores creados por el virus para evitar su ejecución automática al inicio del sistema, desde la línea de comandos:
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f
7.- Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de comandos:
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f
Repetir los pasos 1-7 en todas las unidades.
Reiniciar el computador.
Como verás el proceso de la eliminación de este virus es posible de forma manual pero como notarás es complicado y más aún si no dominas la línea de comandos CMD.EXE.
Te recomiendo que descargues el scrib y lo ejecutes, lo cual te aliviara la vida y te dejará la computadora y las unidades de memoria usb y externas libres de virus.
Al ejecutarse el scrib, notarás que podrás visualizar carpetas y archivos que estaban con atributos de "oculto". Con esto al descubierto, solo te queda seleccionar los virus y darles "eliminar"
Ten cuidado de no eliminar algún archivo que es del S.O.Con este scrib, no más usb infectado.
Muchísimas Gracias!!! por el matavirus!!! :D me sirvió de muchísimo, ya me habpia espantado y pensé que mis archivos iban a valer grasa!! muchas Gracias!!
ResponderEliminar;)
ok muchas gracias por la informacion
ResponderEliminar