Hay un virus que apareció que se propaga vía unidades de memorias USB, también por red. La mayoría de los antivirus no lo detectaban y si lo detectaban, no lo podían eliminar correctamente.
He diseñado un pequeño script en VisualBasicScript que elimina el virus de forma automática y de todas las unidades infectadas. Este script también ha sido probado en varias máquinas infectadas y ha limpiado satisfactoriamente la infección.
Y lo puedes descargar de aquí: Opción 1, u Opción 2.
Una vez descargado, solo haz doble click en el archivo descargado.
Te recomiendo que una vez que termine la ejecución del script reinicies tu PC y ejecutes el script nuevamente para asegurar la completa eliminación del virus. Si deseas saber cómo funciona el virus y cómo es que funciona el script, puedes seguir leyendo.
El comportamiento de este virus es interesante:
1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.
La estructura típica de un archivo autorun.inf es:
[Autorun]En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico
ntdeiect.com2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:
C:\WINDOWS\System32\amvo.exeRecalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.
“amva”=amvo.exe
o
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002
Puedes usar el programa abdaleon utilities, el cual es un renombrador y te permite ver esos archivos ocultos y de sistema aunque el explorador no te lo permita. No elimines nada si no sabes bien que archivo estas borrando.
Una vez que conocemos el comportamiento de este virus, podemos proceder a su eliminación de forma manual si se desea.
Esto es lo que se debe hacer en la Unidad C:
1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde la línea de comandos:
taskkill /f /im amvo.exe
taskkill /f /im avpo.exe
2. Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola:
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com
3. Proceder a la eliminación de estos archivos usando el comando delete con la opción /f para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:
del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\uxde?ect.com /f /q /a
4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:\windows\system32:
attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll
5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32:
del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll
6. Ahora borramos del registro los valores creados por el virus para evitar su ejecución autómatica al inicio del sistema, desde la línea de comandos:
reg delete
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f
reg delete
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f
7. Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de comandos:
reg add
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f
8. Repetir los pasos 1-7 en todas las unidades.
9. Reiniciar el computador.Como verás el proceso de la eliminación de este virus es posible de forma manual pero como habrás notado también es un poco tedioso y más aún si no estás familiarizado con la Línea de comandos a.k.a. CMD.EXE.
De todos modos si deseas hacerlo del modo fácil. Puedes bajar el script, y si quieres también puedes modificar el archivo puesto que el virus y los nombres que usa pueden variar, para editar y hacer modificaciones solo dale click derecho al archivo y modificar. Debes tener especial cuidado si vas a hacer modificaciones al archivo, y te recomiendo que solamente hagas modificaciones si sabes lo que estás haciendo. Fuente
Limpiar Virus del MSN Messenger que manda archivos a tus contactos.
Si estas infectado o tienes un amigo que lo está, baja esta herramienta para limpiar tu PC, inicia primero en modo seguro. En el archivo incluyo una ayuda de como hacerlo. Rapidshare (229 Kb)
---------------------------------
También puedes realizar la búsqueda directamente donde podemos encontrar dni , colocando apellidos y nombres , y hasta la fecha de nacimiento (una vez que tengas la respuesta , haga click !! para obtener más datos )
(fuente :http://dnionline.xyz/)
(Advertencia : la web no tiene ningún vínculo legal ni de trabajo, simplemente nos dedicamos a informar)
Escribe en los recuadros los apellidos y nombres y presiona el botón "Encontrar Persona"
Hemos hecho un resumen de las páginas del gobierno del Perú , donde se puede encontrar información fidedigna y de forma legal. Ponemos a su disposición esta lista :
(Advertencia : la web no tiene ningún vínculo legal ni de trabajo, simplemente nos dedicamos a informar)
Escribe en los recuadros los apellidos y nombres y presiona el botón "Encontrar Persona"
Hemos hecho un resumen de las páginas del gobierno del Perú , donde se puede encontrar información fidedigna y de forma legal. Ponemos a su disposición esta lista :
PADRON GENERAL DE HOGARES : CONSULTA DNI X NOMBRE COMPLETO
Datos que debes ingresar para la búsqueda :Numero de DNI
Datos que encontrarás : / Nombre Completo
Pro:Ideal para encotrar nombre completo que pertenezca a un numero de DNI correcto
Contra : No hay domicilio
INGRESE PARA REALIZAR LA BUSQUEDA AQUI ---------->enlace seguro 01
PORTAL DE ESSALUD : CONSULTA DE ACREDITACION
Datos que debes ingresar para la búsqueda :Numero de DNI / Nombre Completo
Datos que encontrarás : Dirección de Atención / Nombre Completo / DNI / Fecha de Nacimiento
Pro:Ideal para encotrar Fechas de nacimiento , DNI y referencia de vivienda de gente que esta en planilla o pymes que declaran impuestos y que están en el Seguro.
Contra : No hay domicilio
Tip : La fecha de nacimiento está en la descripción AUTOGENERADO Año/Mes/Día
INGRESE PARA REALIZAR LA BUSQUEDA AQUI ---------->enlace seguro 02
EN SUNAT: BUSQUEDA DE RUC
Datos que debes ingresar para la búsqueda :Numero de RUC / DNI / Nombre o Razón Social
Datos que encontrarás : Dirección / Nombre Completo / DNI / RUC / Teléfono
Pro:Encontrarás personas que trabajan por Recibo por Honorarios , o empresas que pagan impuestos.
Contra :No visualiza si esta en planilla.
Tip : (Si encuentras el resultado , envíatelo a tu correo , opción inferior derecha , y te enviarán los datos incluyendo teléfonos , lo que no aparece en la búsqueda regular)
EN SIS :CONSULTAS EN LINEA SISTEMA INTEGRADO DE SALUD
Datos que debes ingresar para la búsqueda :Numero de DNI / Nombre Completo
Datos que encontrarás : Dirección de Atención / Nombre Completo / DNI / Fecha de Nacimiento
Pro:Ideal para encotrar Fechas de nacimiento , DNI y referencia de vivienda de gente de toda condición social . Mayores y menores de Edad . Una gran base de datos con efectividad del 65%.
Contra : No hay domicilio
INGRESE PARA REALIZAR LA BUSQUEDA AQUI -------> enlace seguro 04
EN RENIEC : REGISTRO NACIONAL DE IDENTIDAD Y ESTADO CIVIL
Dos formas de búsqueda en línea :
- Ingresa el DNI el resultado es el ESTADO CIVIL --> enlace seguro 05
- Ingresa el DNI el resultado es eL NOMBRE COMPLETO -->enlace seguro 06
0 Comentarios
Escribe tu comentario