Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Virus Scriptasdsa
Virus Scriptasdsa
com
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
avpa=avpo.exe
4. Luego el virus empieza a infectar todas las unidades fsicas del computador, creando en el
directorio raz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a
los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego
abra sus unidades ya sean C, D, E, etc. Estarn repitiendo el proceso de infeccin. Osea
estarn repitiendo el paso 1.
5. El virus tambin se asegura que el usuario no pueda ver los archivos ocultos del sistema
de ningn modo. Esto lo logra escribiendo en el registro lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed]
Hidden=dword:00000002
Una vez que conocemos el comportamiento de este virus, podemos proceder a su
eliminacin de forma manual si se desea.
Esto es lo que se debe hacer en la Unidad C:
1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde
la lnea de comandos:
taskkill /f /im amvo.exe
taskkill /f /im avpo.exe
2. Quitar los atributos de sistema, de oculto y de slo lectura a los archivos mencionados,
esto se logra usando los siguientes comandos desde la consola:
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com
3. Proceder a la eliminacin de estos archivos usando el comando delete con la opcin /f
para forzar el borrado, la opcin /q para borrar sin pedir confirmacin y la opcin /a para
indicar que son archivos con atributos los que se van a eliminar, desde la lnea de comandos:
del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\uxde?ect.com /f /q /a
4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron
en la carpeta C:\windows\system32:
attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll
5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta
C:\windows\system32:
del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll
6. Ahora borramos del registro los valores creados por el virus para evitar su ejecucin
automtica al inicio del sistema, desde la lnea de comandos:
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v
amva /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v
avpo /f
7. Y restauramos la opcin de poder ver los archivos ocultos y de sistema, desde la lnea de
comandos:
reg add
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed\ /v Hidden /t REG_DWORD /d 1 /f
8. Repetir los pasos 1-7 en todas las unidades.
9. Reiniciar el computador.
Como vers el proceso de la eliminacin de este virus es posible de forma manual pero como
habrs notado tambin es un poco tedioso y ms an si no ests familiarizado con la Lnea
de comandos a.k.a. CMD.EXE.