Eliminar virus de memorias USB: Amvo, Avpo, Kavo, Ckvo

Nuevamente con la ayuda de mi gran amigo Felipe de Perú publicaremos esta vez la solución definitiva para desinfectar nuestra Pc de estos endebles pero escurridizos bichos.

Pues no hay mejor palabra que Comenzar. Así que manos a la obra.

Este virus se propaga vía unidades de memorias USB y aquí te dejamos un script desarrollado en VisualBasicScript para los impacientes que desean purgar su Pc de una vez por todas. Para otros que deseen ver como es la eliminiación de la forma manual, puedes seguir leyendo el artículo completo y conocer un poco más sobre el funcionamiento de este tipo de virus.

Para los que no tienen las ganas de aprender, aquí tienen el Script.

Una vez descargado, solo haz doble click en el archivo descargado.
Te recomiendo que una vez que termine la ejecución del script reinicies tu PC y ejecutes el script nuevamente para asegurar la completa eliminación del virus.Si deseas saber cómo funciona el virus y cómo es que funciona el script, puedes seguir leyendo.El comportamiento de este virus es interesante:1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.La estructura típica de un archivo autorun.inf es:

[Autorun]Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico

En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:

ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com

2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.

Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:

C:WINDOWSSystem32amvo.exe
C:WINDOWSSystem32avpo.exe
C:WINDOWSSystem32amvo0.dll
C:WINDOWSSystem32amvo1.dll
C:WINDOWSSystem32avpo0.dll
C:WINDOWSSystem32avpo1.dll

Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.

3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]“amva”=amvo.exe

o

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]“avpa”=avpo.exe

4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.

5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]“Hidden”=dword:00000002

Una vez que conocemos el comportamiento de este virus, podemos proceder a su eliminación de forma manual si se desea.

Esto es lo que se debe hacer en la Unidad C:

1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde la línea de comandos(Inicio-Ejecutar-escribir CMD y luego aceptar):

taskkill /f /im amvo.exe
taskkill /f /im avpo.exe

2. Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola:

attrib -s -h -r C:autorun.inf
attrib -s -h -r C:ntdeiect.com
attrib -s -h -r C:n1detect.com
attrib -s -h -r C:n?deiect.com
attrib -s -h -r C:nideiect.com
attrib -s -h -r C:nide?ect.com
attrib -s -h -r C:uxde?ect.com

3. Proceder a la eliminación de estos archivos usando el comando delete con la opción /f para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:

del C:autorun.inf /f /q /a
del C:ntdeiect.com /f /q /a
del C:n1detect.com /f /q /a
del C:n1deiect.com /f /q /a
del C:nide?ect.com /f /q /a
del C:uxde?ect.com /f /q /a

4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:windowssystem32:

attrib -s -h -r c:windowssystem32amvo.exe
attrib -s -h -r c:windowssystem32avpo.exe
attrib -s -h -r c:windowssystem32amvo0.dll
attrib -s -h -r c:windowssystem32amvo1.dll
attrib -s -h -r c:windowssystem32avpo0.dll
attrib -s -h -r c:windowssystem32avpo1.dll

5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:windowssystem32:

del /f c:windowssystem32amvo.exe
del /f c:windowssystem32avpo.exe
del /f c:windowssystem32amvo0.dll
del /f c:windowssystem32amvo1.dll
del /f c:windowssystem32avpo0.dll
del /f c:windowssystem32avpo1.dll

6. Ahora borramos del registro los valores creados por el virus para evitar su ejecución autómatica al inicio del sistema, desde la línea de comandos:

reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v amva /f
reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun /v avpo /f

7. Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de comandos:

reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /v Hidden /t REG_DWORD /d 1 /f

8. Repetir los pasos 1-7 en todas las unidades.

9. Reiniciar el computador.

10. Volver a ejecutar el Script para asegurar que el virus haya desaparacido del Sistema Opertavio.

Como verás el proceso de la eliminación de este virus es posible de forma manual pero como habrás notado también es un poco tedioso y más aún si no estás familiarizado con la Línea de comandos CMD.EXE.

De todos modos si deseas hacerlo del modo fácil. Aquí te dejamos otra vez el Script.



Artículos relacionados

22 Comentarios

  • Publicado: 25 March, 2009

    Manuel Rey

    HOLA. SALUDOS.
    ME GUSTARIA SABER COMO PUEDO ELIMINAR ESTE VIRUS QUE HA APARECIDO.

    AL ENCENDER MI PC ME SALE UN MENSAJE DE ALERTA DE VIRUS: C:\WINDOWS\SYSTEM32\AMVO0.DLL

    COMO LO PUEDO ELIMINAR?

    GRACIAS POR LAS RESPUESTAS.

  • Publicado: 25 March, 2009

    maximo

    hola……………..

  • Publicado: 25 March, 2009

    Gustavo

    Saludos.
    Los pasos para la eliminación de tu virus esta dicho en el artículo, Vamos hazlo concienzudamente, yo también tuve el mismo problema y así lo solucioné.
    Y ya te lo puse nuevamente el Script, ahora descargatelo y ejecuta el script que esta dentro del archivo.zip, luego reinicia tu Pc y de nuevo ejecutalo. Y listo.

    Y porfavor revisen sus UNIDADES DE USB porque tal vez el problema reside ahí ya que los USB por su naturaleza son peligrosos (en pocas palabras formateen su UNIDAD EN OTRA PC SI ES POSIBLE) o tengan limpio su ORDENADOR e instalar un buen antivirus y colocar luego el USB para eliminar el virus que está antes de su ejecución.
    El que hace bien el trabajo es el NOD32(eligel ESET NOD32 y si quieres que dure por siempre mandame un mensaje para hacerlo) pero si quieres uno bien potente para muchos tipos de virus te recomiendo EL KASPERSKY, pero tendrías que tener una BUENA PC Y CON BASTANTE RAM SI QUIERES APROVECHARLO AL MAXIMO.

    Saludos.

  • Publicado: 4 April, 2009

    Jose-JL_V.1.1

    Hola… a todos….
    No acostumbro escribir en foros, pero lo hago en este para decir……. Es increible que un virus tan molesto como este sea tan facil de eliminar y lo que hace el scrip que se descargamos de esta pagina es basicamente lo mismo que el autor(GUSTAVO) describe en su explicación de lo que debemos hacer en caso de que aparazca este virus….

    Yo, por mi parte estoy trabajando en un pequeño pero eficaz programa (o por lo menos eso espero), escrito en lenguaje BASIC que es capaz de eliminar el virus y no dejarlo entrar nuevamente a la unidad donde este instalado el programa……. Claro que, el programa debe detectar automaticamente la unidad que se conecte a la computadora que contenga este virus o cualquiera de sus variantes y debe desinfectarlo y colocar archivos que contraresten una nueva infección de este virus…… Por otro lado por mi trabajo no he tenido tiempo de completar algunos detalles de este programa para su funcionamiento correcto, pero cuando este listo lo voy a publicar en foros como este para que todo el que quiera lo prube y me diga si debo dedicarme a la programación o simplemente debo dejar de utilizar las computadoras.

    Saludos y hasta otra oportunidad….

  • Publicado: 5 April, 2009

    Gustavo

    hola jose-JL , tienes razón toda la razón, solo se necesita saber cómo es su funcionamiento por lo que conceptualmente es simple. Y por lo de tu programa, realmente eres muy altruista, jej a ver si nos compartes en nuestro foro. Desde ya muchas gracias y espero de todo corazón que cumplas tus objetivos en pro de los usuarios inocentones que ejecutan a diestra y siniestra too lo que descargan. Saludoss.

  • Publicado: 8 July, 2009

    RAFAEL VARGAS

    NO SIRVE PARA NADA, SIGUEN LOS VIRUS EN MIS USB Y PC

  • Publicado: 8 July, 2009

    Gustavo Laime

    Hola Rafael,

    Me parece que algo estás haciendo mal. Ahí dice que tipo de virus puede matar. O sino prueba con el Script.

    Cuando logres eliminarlos ya sea con este script o con un programa antivirus, sería bueno que leas este artículo y así nunca más te infectarás.

    Saludosss.

  • Publicado: 21 July, 2009

    Mercy

    <em></em>Oye esta genial no tuve q hacer nada solo darle click al circulo azul y ya…me kito los gusanos

    Byeee

    Muchisimas gracias x la aportación…XD

  • Publicado: 30 September, 2009

    gam

    excelente solucion,

    actualmente ya hay mas variantes, ke no puede kitar pero si kita todos los ke indcan

  • Publicado: 14 December, 2009

    cuacs

    gracias esta bueno el script :)

  • Publicado: 18 December, 2009

    bitjam

    Como eliminar el virus lcw.exe que se amarra a un archivo autorun.inf intente darle un attrib -S -H – R autorun.inf y attrib -S -H – R lcw.exe y luego DEL autorun.inf y DEL lcw.exe. Pero nada que lo elimina. Lo q hace este virus es que no puedo ver los archivos ocultos.

  • Publicado: 2 March, 2010

    rogelio

    yeah man, muchas gracias, muy util la info. en ocasiones anteriores me habia visto obligado a vivir con esa porqueria hasta que formateara la compu.

  • Publicado: 12 February, 2011

    Estefania

    Hola, les recomiendo este ANTIVIRUS MEXICANO llamado KIYOSCANNER, este antivirus elimina esos virus de las memorias USB como autorun, recycler, Amvo, Avpo, Kavo y Ckvo, es tanto para sus equipos como para USB´s. Adquirí este antivirus por MercadoLibre, a un precio mui bueno tan sólo $99.00. Se los recomiendo mucho. Adquieranlo en la siguiente dirección.

    http://www.kiyoscanner.com/demo

    =)

  • Publicado: 26 March, 2011

    msjreaper

    hey gran post me elimino el virus autorun que no pude eliminar te doy +10

  • Publicado: 20 July, 2011

    Elizabeth

    Muchas gracias¡¡

  • Publicado: 18 August, 2011

    Noe

    Lo siguiente fue sacado de la pagina: http://informaticaxp.net/truco-como-ver-carpetas-y-archivos-ocultos-por-un-virus-en-una-usb

    Este es un pequeño truco para poder ver de nuevo esas carpetas y archivos ocultos:

    El primer paso es conectar nuestra memoria USB y observar que letra se le asigna a dicha unidad, en este caso será la letra F:

    Inicio > Ejecutar (también podemos presionar las teclas Windows + R)
    Escribimos cmd y pulsamos Enter
    Ahora escribiremos lo siguiente :
    attrib -s -h -r f:/*.* /s /d
    La letra f: habrá que cambiarla por la letra de la unidad que ha sido asignada a tu memoria (Puedes verlo desde Mi PC o Mi Equipo)
    Pulsamos Enter
    Listo!

  • Publicado: 14 September, 2011

    JORGE

    Estimados amigos de esta web, gracias por haberse tomado el tiempo para explicar esta fabulosa solucion ya me tenia vuelto loco esto, pero gracias a dios encontre su pagina y la solucion definitiva, pues ningun antivirus lo detectaba y menos lo eliminaba, excelente aporte, y nuevamente muchas gracias me salvaron del suicidio jeje, casi, casi.

    ALGO QUE NO ENTIENDO ES PORQUE LAS EMPRESAS DE ANTI VIRUS NO SE HAN TOMADO LA MOLESTIA DE ALIMINAR ESTE TIPO DE SCRIPS CON SUS PROGRAMAS ATAN CAROS?

    ustedes se merecen todo el credito por difundir esta solucion. MIS MEJORES DESEOS AMIGOS

  • Publicado: 14 September, 2011

    JORGE

    SORRY, SE ME OLVIDO PREGUNTAR ALGO, PUES QUEDO SOLUCIONADO EL PROBLEMA EN MI PC, Y AHORA COMO ELIMINO EL VIRUS DE MI USB ?

    RECIBAN UN ABRAZO, ESTARE AL PENDIENTE DE LA RESPUESTA

  • Publicado: 10 December, 2011

    dae sync

    QUISIERA SABER TU Q ERES UN EXPERTO COMO ELIMINE UN VIRUS EN MI PEN DRIVE QUE ELIMINO TODO HASTA EL NOMBRE DE MI USB LE QUITO Y SUS NOMBRES SON RAROS TE LOS COPIO

    USBC]é. ES EL 1RO

    USBS¶é. ES EL 2DO

    USBC]é. ES EL 3RO

    USBS¶é. ES EL 4TO

    elimino todo y ni el nombre de mi pen drive esta no se si oculto las carpetas pero no aparece ni mendiante win rar

  • Publicado: 23 February, 2012

    ELMALAMEN

    Es compatible con cualquier sistema operativo?

  • Publicado: 6 May, 2012

    luz

    muchas gracias, le preste el pen a una tia con las fotos de mis vacaciones cuando lo devolvio estaba infectado con esto, pense que habia perdido todo, me salvastE!

  • Publicado: 20 March, 2013

    Alejo

    Saludos les cuento que descargue el programa pero ya teniendolo en mi computador no hace nada, no corre, sera por que tengo la version SP2 del XP Profesional y no la ultima, y lo siguiente el que no puedo eliminar el virus RECYCLER y AUTURNS de mi pendrive por medio de simbolo del sistema siempre hago: del RECYCLER, luego S, y al verificar me sigue apareciendo, y lo mas importante que antivirus me recomiendan para eliminar estos virus por que me he descargado la version de prueva de Avira, Avg, Avanst, bit Defender y nada siempre tengo estos virus y lo se por que meto mi pendrive en otro computados y hay si se ven los archivos ocultos, que antivirus realmente los elimina por que yo tengo que andar cada 30 dias con uno nuevo y asi sucesivamente hasta que termina la version de prueba.

Deja un comentario