|
|
|
Hola!!
Aquí estoy nuevamente. Hace buen tiempo que no he posteado. He estado muy ocupado en cuestiones laborales y algunas situaciones un tanto complicadas de la vida, pero aquí estoy, y esta vez trayendo un tema muy interesante: El análisis del comportamiento de software malicioso. Con esta guía trataré de explicar cómo es que tú mismo puedes analizar el comportamiento de muchos programas de los cuales sospeches y puedas ver qué es lo que hacen exactamente en tu sistema, esto quiere decir: modificaciones que hagan del sistema, creación de archivos, etc.
En el tema anterior hemos tratado sobre la instalación, configuración y uso de máquinas virtuales (http://www.mygeekside.com/?p=21). Así que con este conocimiento vamos a experimentar con software malicioso para ver qué es lo que hace en nuestro sistema y de este modo poder buscar una solución para contrarrestar sus efectos, esto implica: detectar el software malicioso, defensa contra los efectos perniciosos, eliminación del software malicioso y en lo posible restaurar el sistema al estado previo a la infección.
Vamos a tomar como ejemplo principal al tan conocido y odiado y recordado AMVO.
Jejeje, empecemos con la acción:
PASO 1: Conseguir muestras del software malicioso
Este paso no ha sido muy dificil. Fui a una cabina pública de internet y a propósito conecté mi memoria USB a una máquina infectada. Con esto ya conseguí las muestras necesarias.
PASO 2: Preparar y/o instalar software para el análisis
En este caso 3 programas:
- 1. Wireshark. - Nos permitirá monitorear el tráfico de nuestra tarjeta de red, con esto veremos la actividad del software malicioso en la red y en el internet.
- 2. Proccess Monitor (Procmon) .- Con este programa se monitorea en tiempo real toda la actividad en el sistema, como la creación de archivos, ejecución de procesos, manipulación del registro, etc. Es muy interesante, también puedes usar filtros para mostrar sólo los procesos o accciones que decidas.
- 3. Active Registry Monitor. - Este programa también monitorea el Registro del sistema, pero con la especial característica de que puedes sacar copias de seguridad del registro en determinados momentos y luego comparar las modificaciones que han sufrido estos estados.
En la siguiente imagen se muestra la máquina virtual con Windows XP instalado. Están enmarcado en rojo las muestras del virus listas para ser ejecutadas(archivos m1t8ta.com, juok3st.bat, autorun.inf). Y en verde están enmarcados los programas que usaremos para analizar el software malicioso.
PASO 3: Tomar Snapshot o Imagen del sistema ANTES de infectar el sistema.
Lo primero que vamos a hacer en la máquina virtual- ANTES de ejecutar el software malicioso e infectar el sistema- es grabar una imagen del sistema en su estado “sano”. A este estado “sano” le llamaremos: “Antes virus amvo”. De este modo siempre podemos regresar a este estado inicial después de infectar o dañar el sistema, evitando así pérdida de tiempo reinstalado o tratando de encontrar o reparar algo que se nos haya escapado de las manos.
PASO 4: Sacar copia de seguridad del Registro ANTES de infectar el sistema.
Para esto vamos a usar el Active Registry Monitor (ARM), haciendo doble click en el ícono mostrado en la figura llamado “Active Registry Monitor”.
Una vez dentro del ARM, en el menú Registro, seleccionamos la opción “Scan Registry”.
Luego procedemos a seleccionar la llave del registro que queremos hacer una copia de seguridad o en este caso una copia de seguridad de todo el registro, seleccionando la opción “Whole Registry”, y OK.
Se empieza a hacer una copia de seguridad…
Podemos ver ahora que la copia de seguridad del registro se graba incluso con la fecha y la hora en la que se hizo la copia de seguridad. Con esto ya tenemos la copia del Registro antes de que se infecte el sistema.
Ahora minicemos la ventana de Active Registry Monitor.
Paso 5: Monitorear los cambios y procesos que se ejecutan con el software malicioso
Para esto vamos a usar el Proccess Monitor (ProcMon).
Una vez ejecutado el Procmon, de manera instantánea se empiezan a mostrar los procesos que se están ejecutando en ese preciso momento en el sistema: programas ejecutándose, archivos creados, modificaciones y accesos al registro, etc.
Como puedes ver mucha de esa información puede ser un poco irrelevante y puede tender también a confundir ya que procesos como Explorer.exe es un proceso común en todos los sistemas con Windows y acceden a muchos recursos del sistema . 
Debido a la gran cantidad de información que se obtendrá, será mejor que se filtre solamente la información relevante, osea los procesos , archivos y modificaciones que se realicen al ejecutar el software malicioso.
Para esto, vamos al menú “Filters”, opción “Filter”: 
Nos aparece una ventana, en la que seleccionaremos la INCLUSION o EXCLUSION de las condiciones que seleccionaremos. En este caso vamos a las operaciones de Creación de archivos: CreateFile.
Osea vamos a mostrar todos los procesos que tengan que ver con la creación de archivos con la condición:
“Operation is CreateFile” para incluir en el filtro. 
Una vez que hacemos click en “ADD”, el filtro es agregado.
Ahora, como en nuestro caso tenemos 3 archivos de virus: m1t8ta.com, juok3st.bat y autorun.inf. Como en este caso vamos a ejecutar el archivo juok3st.bat. Para esto debemos agregar al filtro que incluya todos las acciones relacionadas al proceso juok3st.bat.
Agregamos otro filtro :
“Process name is JUOK3ST.BAT” is INCLUDE
Una vez agregados los filtros, el monitor de procesos “Procces Monitor” , quedará esperando que las acciones se cumplan para empezar a mostrar resultados. 
Ahora minicemos la ventana del Process Monitor.
PASO 6: Monitorear acciones del virus en la red y en el internet, usando el analizador de protocolos: Wireshark
Con este programa analizaremos el tráfico entrante y saliente de nuestra tarjeta de red mientras el virus es ejecutado de modo que veamos qué es lo que intenta hacer o hace este virus en la red o el internet. Para esto inicializamos el Analizador de Protocolos Wireshark:
Una vez cargado Wireshark, debemos inicializar la captura del tráfico. Para esto, debemos hacer click en el primer ícono debajo del menú “File”.
Con esto nos mostrará una lista de interfaces de captura disponibles de las cuales podemos capturar tráfico. En nuestro caso, es la interface “VMWare Accelerated AMD PCNet Adapter” y damos click en “START”.
Y empieza la captura de tráfico: 
Minicemos ahora la ventana de Wireshark.
PASO 7: Ejecutar software malicioso
Aquí empieza la acción. Procederemos a ejecutar de manera MUY INTENCIONAL el virus de modo que empecemos a ver lo que hace. Hacemos DOBLE CLICK en el archivo JUOK3ST.BAT. Luego de hacer doble click, nos muestra un error tratando de hacernos creer que el archivo no se ha ejecutado correctamente, pero vemos que el Process Monitor detecta mucha actividad siendo realizada por este proceso, todo esto gracias a los filtros configurados.
En el siguiente cuadro, están encerrados en color rojo todos los archivos que crea el virus, entre ellos está el archivo “eaxbit.dll” que crea en la carpeta de archivos temporales: %tmp%, como librería de ayuda al proceso malicioso. También el archivo “7.sys”, que crea también en esta misma carpeta, y que servirá como driver para la ocultación de los procesos relacionados al virus para evitar su detección. Y por último en la carpeta:
C:\WINDOWS\System32\ los tan conocidos archivos: amvo.exe, amvo0.dll.
Ahora veamos las modificaciones que ha sufrido el registro luego de la ejecución del software malicioso.
Para esto, maximizamos la ventana de ARM, y vamos al menu Registry, Opción “Scan Registry”:
En la imagen siguiene: Una vez escaneado el registro se crea otro estado. Podemos ver claramente que la flecha en rojo apunta al estado del registro creado a las 20:11 h antes de la ejecución del virus.
Y la flecha en verde apunta al estado del registro creado las 20:20h luego de la ejecución del virus.
Ahora para poder COMPARAR los 2 estados, hacemos click en el botón “Compare” encerrado en AZUL.
En la siguiente imagen: Automáticamente se abre otra ventana mostrándonos los 2 estados:
- ESTADO 1 creado 16/02/2008 20:11:29 (Encerrado en rojo)
- ESTADO 2 creado 16/02/2008 20:20:42 (Encerrado en verde)
El primer recuardo azul indica que han sido agregados 89 valores nuevos al registro.
El segundo recuadro azul indica que han sido modificados 31 valores en el registro.
Ahora vamos a ver primero, qué valores han sido agregados al registro, los valores encerrados en rojo muestran los valores agregados al registro luego de la infección. Más adelante demostraremos que el valor “maver8p9″ en la clave MADOWN es en sí el identificador de la versión del virus. 
Luego vemos también que se ha creado un valor en la ruta del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, el valor creado es AMVA que contiene la ruta del archivo de virus AMVO.EXE en c:\Windows\system32 creado hace unos instantes.
Es bueno aclarar que en la ruta del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
y algunas otras más como:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
Se ponen las rutas de los programas que se desea se ejecuten de manera automática cada vez que el sistema operativo es iniciado.
De este modo, el valor AMVA, está asegurando que el virus “AMVO.EXE” se ejecute automáticamente en cada inicio de windows. :O.
Ahora procedamos a analizar las entradas del registro que han sido modificadas luego de la ejecución del virus, los valores encerrados en rojo son valores que han sido modificados.
Como habrás visto en el cuadro anterior por ejemplo en el valor “Seed” habían 2 valores, uno marcado como “1″ y otro como “2″.
Para entender mejor: Anteriormente hablamos del “estado 1″ que era el estado del registro antes de la infección y el “estado 2″ que es el estado del registro luego de la infección. Pues los valores marcados con “1″ son los valores que se tenían en el “estado 1″ y los valores con “2″ son los valores que han sido modificados luego de la infección.
Por ejemplo:
- En la ruta de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL el dato del valor “CheckedValue” ha sido modificado. En el “estado 1″ tenía valor 1(uno), y luego de la infección (“estado 2″) tiene el valor 0 (cero).Es muy útil también recalcar que ésta es la característica por la cual el virus no permite que se vean los archivos ocultos y de sistema. Pues el valor normal de HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue es 1(activado), que indica que deben mostrarse los archivos ocultos y de sistema. Pero el virus al modificar su valor a 0(desactivado) nos restringe de poder ver los archivos ocultos y de sistema. - De aquí se deduce que restaurando el valor de 0 a 1 de este valor en el registro se pueda volver nuevamente a ver los archivos ocultos y de sistema. (Acción que realiza el script de manera automática).
Bueno, ahora procedamos a analizar la acción del virus en la red y el internet.
Maximizamos la ventana de wireshark que teníamos minimizada.
Teniendo en cuenta que en la máquina virtual yo no estaba accediendo a ninguna página de internet, es interesante notar que despues de ejecutar el virus, WIRESHARK detecte y capture tráfico hacia el internet desde mi tarjeta de red.
- Para entender mejor el siguiente gráfico, es bueno que aclare cómo es que se realizan las conexiones a internet.
- Cuando tu escribes en tu navegador: www.google.com en realidad hay todo un proceso que no ves. Pues el tu equipo en realidad no sabe cómo ubicar a ese nombre de dominio www.google.com en el internet. En realidad www.google.com tiene una dirección IP que le identifica en la gran red del Internet, por ejemplo uno de los IP’s de google es: 64.233.169.104.
Otro ejemplo: la dirección IP de www.gmail.com es 64.233.185.83.
Y así sucede con todas las páginas de internet que conozcas y desconozcas, cada dominio tiene un IP y eso es lo que entienden las computadoras. Ahora, sólo imagina que tuvieras para acceder a google tuvieras que memorizarte el número IP 64.233.169.104 y así el número IP de cada página a la cual quisieras visitar, sólo imagínalo, sería un caos.
Aquí es donde nos salvan los Servidores de Nombres de Dominio (DNS). Estos DNS’s tienen una base de datos que contiene los dominios existentes con sus respectivos IP’s asignados, algo así, sólo para mostrar, pues en realidad su estructura es más compleja:
www.gmail.com 64.233.185.83
www.google.com 64.233.169.104
www.terra.com 208.70.188.151
etc etc
Entonces cuando tu escribes en tu navegador la dirección de la página a la que quieres entrar, tu equipos pregunta al DNS cual es el IP respectivo a tu petición, el DNS responde a tu equipo y recién en este punto es como puedes conectarte a la página que deseaste. Todo este proceso es tan rápido que ni cuenta nos damos de todo el proceso que se ha realizado.
Ahora, sabiendo ya lo que son las peticiones al DNS, veamos lo que sucede en el tráfico de nuestra tarjeta de red.
Lo que está encerrado en rojo es la petición de mi máquina virtual al DNS, preguntando por el nombre de dominio www.om7890.com.
Como ya dije, no estaba entrando a ninguna página web en la máquina virtual y este tráfico es muy raro, así que algo aquí se está cocinando y huele muy mal…
Sigamos analizando el tráfico… El DNS ha respondido diciendo que el IP de www.om7890.com es 60.169.1.92.
Espera, algo muy raro, mi máquina virtual que tiene el IP 192.168.116.128 está haciendo una negociación con el IP 60.169.1.92.
- Definamos algunas cosas:
Para establecer una conexión entre 2 equipos usando el Protocolo de control de transferencia (TCP), debe haber una negociación previa, que es conocida como la “negociación de 3 pasos”:- El Equipo1 abre un puerto y envía una petición SYN de sincronización al Equipo2. (SYN)
- El Equipo2 responde al Equipo1 con otro paquete de sincronización SYN y un paquete ACK (acuse de recibo) confirmando que el paquete ha sido recibido. (SYN/ACK)
- El Equipo1 responde con un paquete ACK confirmando que ha recibido la syncronización y se establece la conexión.(ACK)
Con este conocimiento ya podemos asegurar que mi máquina virtual infectada está estableciendo una conexión con el servidor mencionado.
En el primer cuadro rojo marcado como “A” podemos ver claramente la negociación de 3 pasos.
En el segundo cuadro rojo marcado como “B” , vemos que mi máquina virtual está solicitando el archivo “help.rar” a www.om7890.com !! y está siendo descargado!!
En el tercer cuadro rojo marcado como “C” ,vemos que mi máquina de nuevo está solicitando el archivo “help.exe” a www.om7890.com !!!!! y también está siendo descargado!!
No quiero quedarme con la duda así que veamos el tráfico que contiene la transferencia del archivo “help.rar”. Selecciono el cuadro enmarcado en rojo y en la parte inferior vemos el tráfico que muestra información desde dónde está siendo descargado el archivo… de www.om7890.com, para ser más exactos: de www.om7890.com/mf2/help.rar
Ahora veamos más, un poco más abajo nomás al momento de transferir el archivo “help.rar” podemos ver incluso el contenido en hexadecimal del archivo que está siendo transferido hacia nuestra máquina virtual.
Podemos ver claramente que el nombre “maver8p9″ es el mismo que habíamos visto en el registro… aaaaaaaaah. Pues SI, este virus descarga de esta página una versión actualizada del virus de modo que pase desapercibido a los antivirus. Esto también puede explicar el porqué tiene tantos diferentes nombres.
Ahora veamos el tráfico que se hace al momento de transferir el archivo “help.exe” hacia nuestra máquina. 
El cuadro azul en la siguiente imagen es una cabecera “MZ”, para los que no sepan:
- Los archivos ejecutables, osea los que siempre realizan alguna acción programada, tales como los que terminan en extensión: exe, com. Siempre inician con las cabeceras “MZ”, si quieres saber más puedes leer el link siguiente: http://es.wikipedia.org/wiki/EXE.
Osea está descargando el archivo “help.exe” y luego el ciclo de infección sigue y sigue.
Con todo esto, ya podemos explicarnos el porqué este virus es tan dificil de detectar por los antivirus hasta el día de hoy, pues siempre descarga una copia modificada del virus que evita sea detectada.
Con este conocimiento es cómo se ha desarrollado el script de eliminación del virus amvo.
http://www.mygeekside.com/?p=14
Pronto, otros temas interesantes.
Saludos,
Felipe
March 10th, 2008 at 3:38 am
uaaauu, de verdad es impresionante todo esto, gracias por la tomarte la molestia de postear esta informacion, se nota que te gusta lo que haces y que bueno que lo que te gusta es ayudar jeje. felicidades espero no sonar bobo pero estas poniendo tu granito de arena para cambiar al mundo haciendo algo bueno, muchos tomaremos tu ejemplo. gracias
March 10th, 2008 at 5:51 am
oye si funciona me parece estupendo y seria tu mas fiel cliente en lo que tengas en mente soy cliente norton y windows me gusta pagar por lo que realmente me sirva para trtabajar con seguridad me ahorra mucho tiempo gracias y que DIOS te bendiga enviame tus productos o servicios.
March 10th, 2008 at 2:08 pm
Excelente!!!!
Muy buen articulo, yo he batallado con el virus este y hacia lo basico pero nunca me imagine todo lo que hacia el desgraciado, te felicito por tu investigacion! Muy bueno y hasta ahora es el sitio que mas completa info tiene acerca de este virus, muchas gracias y sigue adelante!
March 10th, 2008 at 4:08 pm
Hermano que buena ayuda me diste, OTC México agradece tu tiempo y apoyo en cuestiones de actividades informaticas, en la empresa teniamos muchos problemas con ese virus.
Gracias
March 12th, 2008 at 2:52 am
Pues coincido con los demás. El detalle con el que abarcas el tema es impresionante y para los que nos gusta investigar por el solo placer de saber es invaluable. Gracias por todo.
March 12th, 2008 at 3:08 am
[...] http://www.mygeekside.com/?p=22 Posted in Software Malicioso | 499 Respuestas [...]
March 12th, 2008 at 3:43 pm
Exelente la informacion contenida en tu sitio web, sobre todo la referente a este virus. ojala ea posibleque sigas posteando informacion tan valiosa como esta. no solo para empresas grandes sino para los usuarios que no disponemos de efectivo y queremos aprender mas sobre la seguridad informatica.
March 12th, 2008 at 11:51 pm
Felipe, de verdad mis sinceras felicitaciones por este documento y por el documento de las máquinas virtuales, comparto el ser autodidacta y estoy seguro que el Internet ha revolucionado la forma que tenemos de aprender.
Quiero poner en consideración algo: Si la IP desde donde se descarga el virus (60.169.1.92) es conocida, ¿no hay alguna entidad como Interpol o algo por el estilo que pueda rastrear este tipo de cosas y evitar seguir infectando miles de PC’s en todo el mundo? No hay forma de denunciar estos delincuentes de red?
Realizando un tracert a la dirección IP estos son los últimos resultados, por lo que veo son los orientales los dueños del virus.
19 447 ms 459 ms 463 ms sl-china1-7-0.sprintlink.net [144.223.242.126]
20 634 ms 639 ms * 202.97.51.145
21 634 ms 630 ms 618 ms 202.97.33.65
22 649 ms 656 ms 656 ms 202.97.39.22
23 * * * Tiempo de espera agotado para esta solicitud.
24 * * * Tiempo de espera agotado para esta solicitud.
25 636 ms 634 ms 642 ms 60.169.1.92
March 14th, 2008 at 2:39 pm
Sergio:
Tienes mucha razón en lo que comentas, fíjate que en Diciembre de 2007 - cuando apareció este virus - yo pensé que no pasaría mucho tiempo para que ese sitio que contiene ese software malicioso fuera desarticulado o sacado de línea. Efectivamente también parece que el servidor estuviera alojado en China. Pienso que eso puede ser relativo también pero el propio servidor también bota errores en idioma chino.
Es extraño que NADIE haya hecho algo para evitar que esta página siga activa. Pero bueno, esto me hace recordar un artículo que leí sobre la guerra “sin contacto” del cyber espacio:
http://www.securityfocus.com/brief/696
y la traducción al español:
http://translate.google.com/translate?u=http%3A%2F%2Fwww.securityfocus.com%2Fbrief%2F696&langpair=en%7Ces&hl=es&ie=UTF-8
No puedo tampoco tener certeza de esto, solo comento que me trae a la mente cosas como ésta.
De todos modos es extraño que ni las grandes compañias fabricantes de antivirus ni los propios gobiernos tan poderosos que hay hagan algo con respecto a esto.
Tal vez no lo consideran lo suficientemente importante, no lo sé.
He hecho también escaneo de puertos a este servidor y supuestamente tiene muchos puertos abiertos y tiene como sistema operativo Windows Server 2003. Pero también esto es relativo porque se puede manipular e incluso usar “port hardening” para dificultar el rastreo de puertos.
De todos modos hay formas en las que podemos evitar que este virus descargue actualizaciones de este sitio: http://www.om7890.com .
Una de las formas es restringir en los routers de acceso bloqueando la página http://www.om7890.com y el IP: 60.169.1.92
Otra forma que encontré también es modificar el archivo “hosts” que se encuentra en C:\windows\system32\drivers\etc, agregando un IP inexistente con la direccion de dominio om7890.com, así:
89.167.189.12 om7890.com
89.167.189.12 http://www.om7890.com
Haciendo esto en cada máquina, se evita que este virus se actualice intentando conectarse al IP que no existe, jejeje. Yo lo he probado y las pruebas han sido satisfactorias.
Saludos, y gracias por el aporte.
Felipe
March 14th, 2008 at 3:25 pm
Gracias por compartir esta información.
Ya he tenido problemas con este virus por lo menos en tres ocasiones.
Si requieres cooperación en el futuro para pruebas de tus soluciones o seguimiento de casos estoy dispuesto a colaborar.
Por ahora, publicaré un link de esta solución en mi sitio de internet con el fin de que mis alumnos (fuente interminable de infecciones) puedan revisar y reparar sus USB y equipos.
Mil Gracias
March 16th, 2008 at 5:44 am
Gracias por tu ayuda, deberas me fue muy util, gracias a Dios todavia existen personas como tu, a las que les gusta ayudar a los demas sin esperar nada a cambio T_T
March 16th, 2008 at 9:54 pm
gracias, no sabescuanto me ha servido el script, de hecho lo consegui y al dia siguiente todos mis camaradas lo querian en sus USB’s enserio gracias., espero seguir encontrando aportes de este tipo
xKAREKAx
March 17th, 2008 at 2:40 pm
[...] software malicioso: AMVO Todo esto lo estoy copiando desde MyGeekSide Analizando software malicioso: AMVO [...]
March 17th, 2008 at 10:05 pm
Gracias por el Script es bueno compartir sus conocimientos con los demas y si no es mucho pedir tengo ahora mismo un problema con un troyano que aparece como systemm4 y cambia los iconos de las unidades de disco y tambien se instala y reproduce cada que accesan a las unidades y no he podido eliminarlo por favor ayudame…
gracias de antemano.
March 18th, 2008 at 2:11 am
Buenísimos artículos
son de mucha ayuda. apreció mucho todo lo escribes, un saludo
March 18th, 2008 at 4:10 am
Hola!!!
me encantó tu página, está super interesante, me ayudó muchisimo sin duda.
Por cierto que está muy bien explicado todo, pues mira que aparció en mi usb un gusano que solo detectaba el nod32 pero no podia eliminarlo así que bajé el script que hiciste y todo quedó
muy bien. Mil gracias por tu ayuda. También gracias a ti he aprendido un poc de esto porque creeme que no see nada.
Leí tu pequeñita biografía y es fascinante, así que tienes además el don de la escritura jiji…eres genial.
Por cierto viendo que tu sabes muchisimo de esto de virus, me gustaría preguntarte acerca de uno que tengo el cual está en mi PC y no me deja usar correctamente el internet explorer(el cual no me gusta pero por razones de compatibilidad con muchas páginas lo necesito) algunas cosas que me pasan por ejemplo, es que antes se abría miles de páginas, otro es que no me deja entrar a mi correo electrónico y por lo que he notado a paginas con contraseñas y cosas por el estilo…espero que sepas algo de esto y me puedas orientar…que por cierto el nod32 no lo puede eliminar.
De antemano gracias y saludos desde México.
March 18th, 2008 at 4:20 pm
[...] http://www.mygeekside.com/?p=22 [...]
March 18th, 2008 at 8:55 pm
pues hay una nueva variant q no me la detecta ni kaspersky ni nod32 peor tu script este es el nombre: e6ieg.exe por favor ayudame…
March 19th, 2008 at 10:56 pm
hola, q onda pues aqui leyendo tu post y pues es muy bueno, felicidades y respetos para ti men, estaria bueno que se pueda enviar esta informacion para que lo detecte los antivirus.
pero en fin.
saludos!
March 20th, 2008 at 3:42 pm
Muy buen trabajo!!!
Me he encontrado por desgracia con varias variantes de estos bicharracos y lo tuve que hacer manualmente, así que tu script me parece sencillamente genial.
También el análisis que realizas es fantástico.Me ayudo en gran medida tu blog.
Si puedo colaborar contigo en algo, por favor, contacta a mi correo.
Un efusivo saludo, amigo
March 23rd, 2008 at 6:52 pm
como bloqueo el ÏP??
March 25th, 2008 at 3:02 am
Increible, mejor explicación no pudistes haber dado, ahora sabemos como es que funciona todo esto y gracias por proporcionarnos tan muy valiosa aplicación que sin duda alguna nos ayuda mucho con este muy fastidioso bicho.
Gracias por tu aporte y sigue asi :]
March 25th, 2008 at 7:01 am
Mis mas sinceras felicitaciones, adjuntado un enorme agradecimiento por un articulo tan interesante, explicito y útil.
March 25th, 2008 at 9:28 pm
Hola, me parecen muy interesantes todos los artículos publicados en tu sitio. Y me pregunto si de casualidad tendrás alguna dirección de correo electrónico, a través de la cual pudiera ponerme en contacto contigo. Recibe un saludo y felicitaciones!!.
March 26th, 2008 at 5:37 am
GRACIAS POR LA AYUDA QUE ME DISTE CON EL VIRUS AMVO,VACANO GENTE COMO VOS QUE AYUDAN ALOS DEMAS SIN INTERES.
SIGUE ASI QUE ALGUN DIA LE LLEGARA TU RECOMPENSA.
March 26th, 2008 at 7:21 pm
Saludos !!!
De verdad muchisismas Gracias por tu apoyo.. acabo de correr tu scrips y al parecer ya no hay tal virus en mi PC; por otro lado, me quedé con la duda: en uno de los comentarios, dice que se descargó el script en su USB, como puedo hacerlo??? para tener la herramienta a la mano y si es posible contrarrestar cuando lo insetas en otras PC’s..
De todas formas muchas gracias por tdod..
March 27th, 2008 at 8:46 pm
Dejame felicitarte por tu gran aportación y por enseñarnos el poder del conocimiento. Hay Virus que han predenominado por años: Ping Pong, Satanas (Mexico) y cada uno ha dejado huella, cuantiosos problemas y muchas perdidas. Se que este es un post que nos ayuda a eliminar el virus “amvo” y estoy muy agradecido al igual que muchos pero recientemente aqui en Mexico se ha presentado un nuevo virus llamado “killer.666.up” y es muy peligroso y dañino ya que se propaga cuando conectas telefonos celulares, camaras y memorias USB.
El problema principal que ocasiona:
1: Todos los archivos de WORD y EXCEL se ven alterados en su contenido borrando toda la información y dejandolos de un tamaño de 1KB.
2: Actualmente ningun Antivirus lo vacuna, existe en Internet una herramienta llamada COmboFIX que aparentemente lo elimina pero NO Funciona.
3: Crea 2 carpetas una con el nombre de “Fotos” pero en realidad es una aplicacion disfrazada y otra carpeta llamada “Kavsrv” ambas en su descripcion tiene el nombre del virus Killer.666.ub
3: No he encontrado en Internet nada que ayude a restauras los archivos de Word y Excel y por consecuencia la informacion esta perdida.
4: Ya corri tu Scrip el cual me permitio visualizarlas pero no deja borrar las carpetas.
De antemano Gracias y espero me puedas ayudar con algun tip, comentario, liga…te lo agradece mucho
March 30th, 2008 at 3:39 am
Tu página directo a marcadores!! Hacia rato que no me tropezaba con una página tan útil y explicado de forma tan clara y extendida. Dios bendiga este virus que me hizo encontrar mygeekside.com, Ja.
March 30th, 2008 at 5:01 pm
Queria agradecerte las molestias que te has tomado en investigar, y luego implementar, una solución a este problema del AMVO. En la empresa en la que trabajo nos ha causado serios inconvenientes, y los hemos dominado gracias a tu trabajo desinteresado.
Esta utilidad pareciera servir con otro tipo de virus cómo un “b.exe”, qué no sé si estará asociado a la familia AMVO. Es un virus de PenDrive. No he podido extraerlo porque el script lo borra.
March 30th, 2008 at 5:06 pm
Hola!
Efectivamente, el virus AMVO crea diferentes nombres del mismo virus. Pues siempre se está actualizando del internet. El script diseñado busca todos los nombres conocidos de este virus, y los elimina.
Cualquier cosa, no dudes en consultar.
Saludos,
Felipe
April 1st, 2008 at 4:46 pm
En verdad nunca dejas de impresionarme, he aprendido más contigo que estudiando ingenieria, THANKS
April 2nd, 2008 at 8:54 pm
Saludos. Me gustaría aprender de qué manera puedo actualizar el código amvo. Para añadirle variantes de tan molesto virus que han estado en los últimos días aquejando a la red de mi lugar de trabajo. Un abrazo.
April 2nd, 2008 at 8:58 pm
* (Con código amvo, me refiero al código del script (antiamvo)que publicas en el blog).
April 2nd, 2008 at 9:12 pm
Una pregunta, como hago yo si quiero bloquear el puerto de conexion que usa la maquina virtual para conecarse y hacer la negociacion con el IP 60.169.1.92, a fin de detener cualquier posibilidad de conexion y descarga de actualizacion del virus? debo bloquear los puertos, o hay una manera de bloquear la conexion contra un IP cualquiera?
April 4th, 2008 at 5:53 pm
Felicidades y muchas gracias por tomarte el tiempo de no solo hacer el script, sino explicarnos el funcionamiento de este &%$@@1/ virus. Me fue de mucha utilidad.
April 4th, 2008 at 7:57 pm
hola, espero tu me puedas ayudar, resulta que mi maquina se infectó con el virus killer 666 y perdí todos mis archivos, bueno siguen estando ahí pero modificados, que puedo hacer para recuperarlos, porque eran muy importantes, espero me puedas ayudar, gracias
atte susana alafita
April 7th, 2008 at 3:14 am
Muchas Gracias me ayudo muchisimo!!!
April 7th, 2008 at 4:51 pm
Gracias por la ayuda desinteresada, espero sigas asi e instruyendonos en las nuevas versiones de virus saludos desde Ecuador
April 7th, 2008 at 9:40 pm
gracias por el scrip para corregir los daños del AMVO, de verdad muchas gracias, a riesgo de parecer muy molestoso quisiera hacerte una peticion: hace mas de un par de meses tuve el ataque de un virus (no recuerdo el nombre) que dejo dañado el sistema, y ahora la unidad C aparenta tener mas espacio ocupado del real (apenas libre como 500 o 700 MB), desearia y te agradeceria que me indiques como puedo solucionar este problema.
April 7th, 2008 at 9:47 pm
Por cierto felicitaciones, tu site aparecio como solucion a una pregunta hecha por un lector en una columna de la revista dominical de “El Universo” uno de los mejores diarios del Ecuador. Es asi como llegue aqui.
April 11th, 2008 at 2:24 am
Que tal, gracias por la informacion y la ayuda, esta genial, lamentablemente no comprendo todo hacerca del regedit, muchas gracias por tus soluciones, sigue asi, esta web, sencillamente fabulosa, gracias.
April 11th, 2008 at 5:11 pm
Hola que tal, oye tengo las muestras de un nuevo virus que se tranfiere por usb y no he logrado averiguar como desactivarlo, te intería verlo?
incluso intente con tu script pero no funciona para este virus.
saludos
April 11th, 2008 at 11:19 pm
Oye, yo tengo una pregunta, al archivo de mata_Virus_amvo, le puedo seguir metiendo nombres de virus, para que los vaya eliminando
por deicrlo asi:
del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll
y seguirle agregando el mombre tan extraño que saca a diari el amvo, mi pregunta seria cmo hacerle para seguir metiendole nombre, no se la sintaxis o algo si
Merci por tout, au revoir
April 12th, 2008 at 10:47 pm
la info que nos da es de gran ayuda, eso tambien se aplica a los troyanos y a otros virus ???
April 16th, 2008 at 4:01 pm
EXTRAORINARIO!!!!!
Has dejado en pañales al pseudogenio creador de ésa porquería; que debió seguramente haber descansado 6 meses despues de ése gran parto cerebral …
Amigo; que descubrieras éste procedimiento es algo maravilloso; pero compartirlo; es verdad que te mereces el cielo,mi amigo,amigo,amigo…RA-RA-RA.
Una pregunta … el script que está en la página anterior está actualizado??
IS.
April 17th, 2008 at 7:51 pm
hola que tal:
e utilixado el mata usb amvo pero no me funciona ya que esta un rato bien y al bolverlo a reiniciar la pantalla se vuelve completamente negro y no se ve nada, no se si mi mp4 sigue infectado ya que lo e formateao varias veces, al conectarlo a mi cpu vuelve el mismo problema.
te agradesesia mucho si me sacas de este problema porfa
Atte DONAL OLIVERA VARGAS
April 19th, 2008 at 6:04 pm
hola todos,
en primer lugar agradezco la explicacion de estos virus, ya que muchas veces la gente que no está en este campo, piensa que con solocarle un antivirus como el nod32 o kaspersky pueden eliminar el virus, y terminan echandole la culpa a uno como tecnico o ingeniero de sistemas.. por lo tanto vale un 10 a esta explicación… sin embargo me ha servido esta utilidad para poder eliminar ciertos virus como el mencionado amvo, aunque cabe notar que el “mata virus amvo” otras veces no puede borrar ciertos archivos como los .com en algunos casos porque me ha pasado que se supone elimina esos virus que se esconden como archivos de consola y sin embargo es el antivirus el lo detecta y lo elimina despues de haberlo visto como oculto.. pero de todos modos esta utilidad ayuda a mejorar y combatir estos virus.
por otro lado yo recomiendo utilizar estas otras utilidades pero entrando al sistema en “modo seguro” o “modo a prueba de errores”, dejo los links para que los descarguen y prueben:
elitriip
http://www.zonavirus.com/datos/descargas/73/EliTriip.asp
elistara
http://www.zonavirus.com/datos/descargas/78/EliStarA.asp
nota: cada uno tiene unas funciones de rastreo y eliminación de virus diferentes. recomiendo que primero ejecuten el elitriip y luego el elistara. en verdad se los recomiendo.
April 24th, 2008 at 2:08 am
parce excelente, bil queda en bits
April 24th, 2008 at 5:37 am
eres un genio grasias atu script solucionastes los problemas de mi ciber cafe espero que sigas adelante y compartiendo tus informacion`para los cibernautas
April 24th, 2008 at 11:18 pm
Excelente articulo. Hacia mucho tiempo que habia dejado el bichito la informatica descansar (2005 +/- por cosas del trabajo, clima, etc jeje) claro esta no del todo, pero con esta lectura, uno se inspira a volver a tomar nuevamente esos temas. Mil gracias.
April 25th, 2008 at 12:51 am
Hola Administrador , Eres un genio gracias por crear esa genial herramienta para eliminar el virus amvo , no sabes como lo odiaba , te cuento que yo estudio en un instituto agronómico , el cual tiene disponible una sala de cómputo , y resulta que me encargaron que formateara las computadoras e instalar todo , como una aespecie de mantenimiento , ya que yo soy el único que sabe de computación y me apasiona , y todo comenzo cuando al querer poner la contraseña del deep freeze esta ventana se congelaba y tenia que finalizar tarea y desaparecia. depsues cuando quise oculatr archivos y los qu8ise visualizar de nuevo , estos no se visualizaban. y estube investigando en internet , que virus era el que tenia estas caracteristicas , ya que incluso le pase el ESSET antivirus que no me detectó.y cuando vi este tu maravillosos programita tan simple pero muy efectivo enpeze a usarlo y todo anda de maravillas. sabes a mi me dicen monstruo en computacion , ya que mountruo se les dice a als personas que saben bastante de computacion ,y hay una propaganda televisiva que es graciosa , pero garcias a ti si que me ayudastes de mucho , muchas graciasss! te cuento que a mi amigo cuando le expolique este virus amvo de que trataba , y hacia a las computadoras y se quedo maravillado , cuando lo elimine con tu fantastico pcript , gracias eh aprendido bastante cone esta informacion que pusistes , es muy bueno tu tutorial Dios te bendiga adelante .!!!
April 25th, 2008 at 2:14 am
felipe , eres de peru que maravillosa alegria , y que orgullo siento . yo tambien soy de pero , soy de la heroica ciudad de tacna , e leido to biografia , es alucinante , ami tambien me da curiosidad , como funcionan los programas y todo ello. bye
April 25th, 2008 at 4:19 pm
Amigo…sólo agradecer tu disposicion….has solucionado un monton de mis problemas…
April 26th, 2008 at 1:28 am
Felipe te pasastes. Gracias por tu colaboracion con el script. Es fabuloso. Te invito un cebiche mixto con su inka kola
April 27th, 2008 at 8:40 am
Muy interesante todo.. muy agradecido.. es informacion muy valiosa. Ahora, tengo una pequeña consulta, resulta que alguien en mi casa se metio en mi pc no estando yo.. y creo que buscaron un serial o un crack en esas tipicas paginas.. bueno el tema es que me contagie con un virus.. que el antivirus por cierto no encuentra, el problema es que aca para que yo no me de cuenta (en sueños) borraron el historial y borraron los archivos. El tema es que este virus me afecta a la maquina en que esta notablemente mas lenta que cuando estaba sana, mi consulta es: Que clase de virus es? donde puedo conseguir la cura?
Gracias de antemano
April 27th, 2008 at 2:43 pm
Gracias por tu extraordinario trabajo. ¿Qué hago para ocultar de nuevo estos archivos: MSDOS, hiberfil, boot, bootfont, IO, NTDETECT, ntldr, pagefile, y estas carpetas: Sistem Volume Information, MSOCache, etc? Hay problema si las borro?
April 27th, 2008 at 4:28 pm
Amigo Felipe un gusto contar con personas expertas en este mundo de la Informatica, asi como existen personas que pretenden dañar la Red con todo tipo de virus. Pero gracias tu ayuda se puede contrarestar, sigue adelante amigo y estaremos en contacto, saludos a toda La Selva Amazonica de Nuestro Querido PERU.
April 29th, 2008 at 4:03 am
Te felicito por explicar tan claramente lo que hace este virus, en verdad es impresionante la profundidad de tus conocimientos, use el script y funciono perfectamente. Muchisimas Gracias. Ahora tengo una duda y si puedes porfavor te agradeceria si me la respondes. Al utilizar el script se limpia el disco duro pero que ocurreo con los USB, si los conecto a mi PC volvera a infectarse, debo pasar este script por los USB, si puedes explicame con detalle porfavor y muchas gracias de antemano.
Elias Jaimes
Caracas, Venezuela.
May 5th, 2008 at 11:48 pm
Estimado Felipe, muchas gracias por el trabajo que desarrollas, mi equipo se infecto de una variante del RECYCLER, aun cuando realizo los cambios que recomiendas desde la consola de comandos, al borrar el contenido de la nueva carpeta que se crea, vuelve a aparecer el mismo archivo malicioso. identificado como S-1-5-21-1482476501-651377827-68003330-1003 gracias por tus colaboraciones, espero que puedas ayudarme en esta situación. Saludos desde México. Gabriel Rivera
May 6th, 2008 at 7:20 pm
hola felipe .tu eres un genio moderno y lo mejor es que cvompartes tus conocimientos .DIOS te bendiga por eso .te mis agradecimientos por tu colaboracion enorme ypor lo que haces por el mundo informatico .sigue adelante y que DIOS te ayude.gracias
May 6th, 2008 at 11:50 pm
ke vacan bro ke el talento peruano este presente… os cuento tambien soy de peru.. estudio administracion de empresas y me interesa mucho lo de computacion… en tu biografia dice ke no vas a enseñar lo ke sabes ke penita al menos si pones los enlaces seria formidable no crees.. ahi tanta informacion basura en linea ke ahi ke tener suerte para aprender algo bueno siempre .. saludos bro
May 9th, 2008 at 3:24 am
Muy interesante tu blog =D
creo que te asegurastes unas cuantas visitas diarias jeje
La herramienta me funciono bien, creo, ya que el fin de semana mis queridos primitos estuvieron “jugando” en el PC. Jeje
May 9th, 2008 at 7:11 am
Hola, me descargue de esta página un programilla par a eliminar amvo.exe, concretamente mata_virus:amvo_usb.ubs creo que eliminé todo pero me vuelve a salircuando abro el ordenador en la pantalla de inicio, vuelvo a pasar el archivo y me dice que está eliminado pero vuelve a salir ¿qué puedo hacer?
Gracias.
lolumen
lolumen12@hotmail.com
May 9th, 2008 at 7:49 pm
Hola Felipe gracias por tu aporte y tu tiempo me sirvio mucho tu programita y nuevamente gracias recibe un cordial saludo desde Mexico D.F.
May 9th, 2008 at 8:50 pm
De veras que está genial lo de la explicación. Realmente gracias por compartir tu conocimiento en beneficio de todos.
Me gustaría q me dijeras como puedo solucionar un problema q tengo con un virus llamado “Start.exe” el cual es eliminado con tu script de mi usb pero cada q lo vuelvo a conectar es regenerado por mi Pc. No sé si es algún registro del S.O. q lo estáhaciendo. Te mando el código del autorun.inf q genera este virus “Start.exe”. Si necesitas muestra dime a q dirección enviártela y cómo lo hago.
Nuevamente gracias.
[autorun]
OPEN=Start.exe
shellexecute=Start.exe
shell=Auto
shell\Auto=&Autoplay
shell\Auto\command=Start.exe
May 9th, 2008 at 8:54 pm
al igual q lolumen me pasa igual pues vuelve a salir el virus aún después de haberlo eliminado y vuelto a conectar
May 9th, 2008 at 11:02 pm
Existe otro metodo para borrar el kavo.exe? es un nuevo, y lo intente limpiar ademas que con tu script con el USBcleaner.exe, pero me salen errores, por que sera?
May 12th, 2008 at 1:53 am
Hola, gracias a un amigo que conoci donde trabajo en un cyber medio tu programa de elminar virus, tenia un problemita en el servidor que no podia entrar a la unidad D pero cunado lo lipie con tu programa esta de maravilla, esta excelente.
gracias.
May 12th, 2008 at 5:04 pm
Muchas gracias por la solucion, recibe un saludo desde Cozumel Mexico
May 12th, 2008 at 6:44 pm
Gracias por la nobleza de tu parte por proporcionar esta información.
Podrias confirmarme en la medida de tu tiempo los daños que causa este virus.
Saludos.
May 12th, 2008 at 8:24 pm
Saludos,
Es grato saber que tenemos un aliado tan fuerte como tu en la deteccion de estos virus que amenazan cada dia con destruir nuestras maquinas.
Gracias desde Republica Dominicana por brindarnos tus conocimientos.
May 13th, 2008 at 9:00 pm
Hola amigo Felipe: La verdad fue una casualidad entrar a tu sitio web, debido a que hace unos días al intentar abrir Disco D:,salio ese horrible mensaje error hace referencia a la memoria …, luego mi NOD32 se desactivó, mas tarde el problema se complicó, pues mi PC empezó a colgarse y ponerse muy lenta.
Formatee rápidamente mi PC, todo estaba bien, NOD32 corrió bien, seguí instalando programas y de pronto NOD32 me notifica que existe un archivo malicioso y se enviará para su análisis, y PLOP, se desactivó mi antivirus así que volví a formatear mi disco, hasta tres veces, pero esta vez instalé HACHER 6.2, caray!!!, este si que detectó y mostró tal virus AMVO… y sus rabitos, que se ejecutaban automáticamente por segundos, felizmente se pudo eliminar y listo. Pero no estuve conforme con esto, queria saber más sobre este virus, es así como ingresé a su Web don Felipe, probé tu script y fue eficiente, terminó de eliminar sus variantes de AMVO.
Felipe, muy buena el trabajo que realizas; y buenaza tu perfil.
May 16th, 2008 at 2:56 am
Cuando trato de descargar el link para la aplicacion que elimina el AMVO y el AMPO mi antivirus pide abortar la conexion porque este link tiene un gusano, como consigo la aplicacion libre de gusanos?
May 17th, 2008 at 11:03 pm
Muy bueno tu trabajo y gracias por abrirlo a todos los interesados, llegué a el por una infección que tuvo mi hijo en su notebook, aunque ya lo corregimos se lo voy hacer pasar para confirmar nuestro limpieza. Lo pasé en la mia y me dice felicidades tu pc esta desinfectada de amwo y sus variantes. Eso quiere decir que lo tenía y se desinfectó o que estaba libre. Gracias por tu tiempo.
May 18th, 2008 at 6:45 am
expléndida exposición, tu nivel pedagójico hace “seguible” estas soluciones informáticas. Por supuesto que ya he utilizado su archivo … ¡¡¡ y es todo tan fácil !!! … gracias por tu generosidad
May 21st, 2008 at 5:56 am
Eres un maestro con modestia te digo que aspiro a ser algun dia como tu, eres una persona excelente muchas gracias
May 22nd, 2008 at 2:42 pm
hola felipe
yo tenia el virus Ndejet y el autorun.inf descargue el script q publicastes y santo remedio.
pero ahora tengo otro problema y es q ahora me sale otro virus llamado NTrun.exe el cual hace lo mismo que el anterior, utilizo nuevamente el script, lo elimina y nuevamnete sale el mismo virus.
necesito q me ayudes a solucionar ese problema yo creo q es el mismo virus pero evolucionado.
espero tu respuesta en mi correo.
gracias por tu atencion.
May 22nd, 2008 at 8:43 pm
Use el sript para eliminar el virus con la variante amvo, kavo pero se lo di a un amigo y el usoa karperky como su antivirus y en el usb detecto un viru autorun.inf dui lo elimino y reviso el zip mata virus…. y dijo que era un virus tambien y elimino el zip… deseo saber si ese archivo zip se contamino con un virus o que… te agradesco tu ayuda…
Tambien estoy leyendo tu escrito y lo estoy viendo muy interesante voy a estudiarlo y practicarlo puedo yo pedirle ayuda con tenga alguna inquietud… gracias…
May 25th, 2008 at 7:57 pm
Hola!
Muy buena toda la infromacion , gracias por haberte tomado tanto tiempo, espero q no te moleste que propague esta informacion mediante mi blog XD claro, dandote siempre el cretido.
http://miblog.tk
May 28th, 2008 at 9:09 pm
Tengo ganas de llorar…
muchas gracias por la info.. esta excelente, muy detallada y bien explicada y me doy cuenta de que eres de las personas que buscan buscan y encuentran lo que se propones.. muy bien hecho.. de hecho…. llegue aki buscakando y me lleve un mejor aporte, mas que el scrip que creaste, y SON TUS CONOCIMIENTOS..
saludos y mil gracias
May 31st, 2008 at 4:47 am
Otra vez… MAGNIFICO. Es un aporte increible… Estas haciendo una gran aporte a la humanidad… NO DEJES DE BUSCAR LA VERDAD.
June 6th, 2008 at 8:14 am
Hola, gracias por tu valiosa herramienta me ha sido de gran utilidad, pero me gustaria preguntarte, en base a las conexiones que se hacen con la pagina http://www.om7890.com crees que si tubiera un Isa server bloqueando esa pagina se evitarian nuevos contagios??
June 6th, 2008 at 10:03 pm
en serio estoy de acuerdo con los demas que leyeron este post, eres lo maximo, me infecto este virus 3 veces y probe varios antivirus que lo eiminaban a medias, pero con la medicina, ahora mi maquina corre mas correctamente, gracias
June 8th, 2008 at 7:14 pm
me has dejado con la boca abierta, no se como agradecerte he eliminado todos los virus de mis 3 maquinas y de todas las memorias usb, eres grande, Dios te bendiga y sigue con este grandioso trabajo.
June 9th, 2008 at 7:56 pm
Muchas gracias por tu ayuda de verdad que de no ser por ti no se q habria hecho, tu aporte es invalorable, realmente estoy muy agredecido si hay algo en lo que te podamos ayudar avisanos
atte
|@guirre.Net|
June 11th, 2008 at 4:19 am
Muchas gracias por tu dedicacion con este problema que nos ha perjudicado a todos, pero tengo una gran duda, lo he usado en mas de 10 pcs obteniendo resultados satisfactorios en 4 pero las otras 6, en cuanto reinicio la pc ya no encuentra el Sector de arranque, nose que pasa y he tenido que reinstalar el sistema
y quisiera saber si pudieras ayudarme en ese aspecto porque me he quedado con dudas al respecto, yase que estaras pensando !!quieren todo¡¡ ojala pudieras tomarte la molestia y responder te lo agradeceria muchisimo
de antemano gracias y te admiro mucho por tu dedicacion
June 11th, 2008 at 4:26 am
disculpa ya lei completo tu post y lo que me paso es que borre el archivo NTdetect.com pensado que era el virus y por eso el sistema ya no arrancaba, gracias por tu excelente aporte
June 11th, 2008 at 4:06 pm
Hola que tal administrador es la primera vez que posteo acabo de toparme con tu sitio web y antes que nada permiteme agradecerte y felicitarte por ayudar a quienes no tenemos tanto conocimiento de verdad ojala puedas seguir ayudandonos.
Necesito ayuda hace una semna en mi trabajo me tope con que 3 maquinas estaban infectadas por un virus que modifico archivos de office de suma importancia para la empresa y ninguno de los antivirus que tenia instalado lo detecto scane las maquinas con otros antivirus y parece ser que lo elimine pero los archivos quedaron dañados y me urge recuperarlos como encargado del area de sistemas practicamente me estoy jugando la chamba ojala me puedas ayudar. El mensaje que remplazo la informacion de los archivos fue la siguiente:
killer-666-ub
Asdakdjksassssaaaususqwsd
Asdakdjksassssaaaususqwsd
Asdakdjksassssaaaususqwsd
Asdakdjksassssaaaususqwsd
Asdakdjksassssaaaususqwsd
Claudia TQM
De verdad necesito ayuda ojala me puedas ayudar saludos.
June 19th, 2008 at 7:58 pm
He provado tu removedor de amvo pero tengo una cosa mas, las carpetas no se permite modificar el atributo oculto por ello cuando un ocupa los archivos que estan dentro de la carpeta se desaparecen ya sea por el error que no se encuentra la carpeta, en dado caso agradeceria tu ayuda como reparar eso, ya que a cada rato esta formateando la maquina..
June 24th, 2008 at 8:34 am
hola felipe lo que me pasa es lo siguiente, acabo de meter mi usb en mi computadora y desde el momento en que lo meti senti que habia algo raro xq aparecieron unos iconos dentro que no estaban y no se de donde se pudo haber infectado, en fin, le di formato al usb y luego volvi a copiar mis archivos dentro pero ya estaba algo mal en mi computadora ya que cada vez que me metia a una carpeta no me dejaba regresar con la flecha es decir todo me lo abre en una ventana aparte si doy click en videos por ejemplo todo lo abre como una ventana aparte y bueno ese no es el mayor problema, lo que realmente me preocupa es que cada vez que abro una carpeta aparecen mensajes rarosen la àrte de abajo que dice “http://offic3control.blogspot.com” con mensajes abajo de esa direccón como estas “prefiero quedarme aui que en otras páginas esto es increible” y pues no si puedas hacer algo por mi, ya he ejecutado todos los matavirus que tienes en tu página pero ese no desaparece gracias por tu atencion
June 28th, 2008 at 2:14 am
Una pregunta, tengo un problema cuando intento ejecutar una instalaciòn desde mi usb, cd/dvd el problema es que me saca que es un controlador no valido pero si intento instalar el mismo programa desde una ubicaciòn en la red, si me deja, tengo el script para eliminar amvo al parecer me encuentra un archivo de tipo SETUP.exe pero al buscarlo de nuevo en el regedit me lo encuentra en las distintas unidades donde tengo el instalador, reinicio mi ordenador y sigue el mismo problema, te dejo mi correo para saber si me tenes una respuesta pronta, todyos@gmail.com, jcarlos.ore@gmail.com
Gracias de antemano.-
July 1st, 2008 at 12:22 am
hola, disculpa la molestia lo que pasa es que desde hace un tiempo que tengo un problema en la barra de herramientas me sale un mensaje “officecontrol.blogspot.com” que obtuve en un cafe me molesta cada vez que abro una carpeta y algunas no las puedo abrir y tambien si mem podrías ayudar ya que mis archivos de office y en pdf se convirtieron a un 1 kb y sobre todos tiene un mensaje, y tengo la duda si podria recuperarlos de antemamo gracías
July 1st, 2008 at 12:42 pm
AMIGO DE VERDAD MUCHAS GRACIAS…. DESDE QUE ENCONTRE ESTE SCRIPT NO SABES EL TRABAJO QUE ME HAS AHORRADO SEGUN LO QUE LEI ME ENCONTRE QUE ELIMINA TODO LOS VIRUS DE AMVO Y SUS VARIANTES COMO AUTORUN.INF PERO YO HE ENCONTRADO MUCHAS MAS EN EN EL REGISTRO EN (Mi PC\HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\MOUNTPOINTS2) QUE SE CREAN ASI DESACTIVES LAS REPRODUCCION AUTOMATICA QUE POR SU PUESTO YA DESACTIVE POR GPEDIT.MSC, AHORA MI DUDO O PROBLEMA ES QUE YO TRABAJO REPARANDO PC’S Y A CADA RATO ME LLEGAN EQUIPOS CON OTROS VIRUS ACTIVADOS AQUI QUE SE LLAMAN FOOOL.EXE, FUN.XLS.EXE, ADOBER.EXE, Y OTROS MAS QUE AHORA NO RECUERDO, TAMBIEN SE APLICAN EN EL REGISTRO EN (PC\HKCU\SOFTWARE\MICROSOFT\WINDOWS\SHELLNOROAM\MUICACHE) NO HE PROBADO SI ESTE SCRIP LO ELIMINA DE AHI TAMBIEN PERO ME PARECE PROBLEMATICO PORQUE TODAS LAS PC’S QUE LLEGAN QUE TENGO QUE REPARAR TIENEN ESE PROBLEMA NO PODRAS HACER UN SCRIPT CON ESAS VARIANTES Y QUE LAS ELIMINE DE UNA….. SI NECESITAS MAS INFORMACION NOS PODEMOS CONTACTAR POR EL CORREO VIPEDWIN@GMAIL.COM
July 2nd, 2008 at 3:17 am
Buenas noches.
Tengo problemas en mi computador, ya que cada vez que abro una carpeta de mis documentos por el explorador de windows me aparece un mensaje de IE AntiVirus y no sé como eliminarlo. He corrido su script, pero continúa apareciendo.
Mil gracias.
July 2nd, 2008 at 2:47 pm
amigo acaba de aparecer un virus o troyano que cada vez que usas el navegador de internet y quieres entrar a cualquier pagina siempre se conecta a esta direccion mx.content-type.cn por qué ocurre esto y no se como eliminar esto que hace el internet recontra lento tengo el ad aware , el kaspersky y tuve el nod pero nada solo me avisa que un troyano quiere infectar pero no se puede eliminar :S.
necesito tu ayuda please.
July 11th, 2008 at 9:41 pm
Realmente bueno el artículo, se merece el premio nobel de todo. Esta infección la tenía en mi pc (y al parecer también en mi pendrive). No podía ver los archivos ocultos aunque tratara haciéndolo desde la herramienta “propiedades de carpeta” del explorador de windows. Ejecuté el script que creaste y funcionó a la perfección.
¡ Gracias totales !
July 14th, 2008 at 12:34 am
::: Te felicito, dominas bien el lenguaje, me ha servido de mucho tus scrips, espero que al igual que yo te estes interesando en como funciona el sality, el molesto software malicioso que se une al macros de MS Word. saludos desde La Peninsula de Sta Elena - Ecuador
July 17th, 2008 at 2:10 am
conocimientos como los tuyos,me sorprenden ,esta por demas decir que eres experto
no te molesto mas y si puedes ayudane con un virus(Trojan-PSW.OnliGames.zll)disculpa que te moleste ya que debes tener muchas personas que te piden ayuda
July 23rd, 2008 at 1:06 am
[...] http://www.mygeekside.com/?p=22 [...]
July 24th, 2008 at 4:28 pm
buenos dias amigo, admiro tus conocimientos, y por lo tanto no esta de mas pedirte ayuda. Me gustaria saber como eliminar la carpeta recycler, si es algun virus o de que manera afecta al sistema windows xp.
Muchas gracias y agradeceria tu ayuda
August 3rd, 2008 at 5:11 am
Hola amigo, mira se me a metido este virus, que al parecer es variante de este amvo, pero este se llama kxvo, hace lo mismo que el amvo, es decir, no me deja ver los archivos ocultos, y crea autorun, por eso te quisiera pedir, que me dijeras como eliminarlo, o si podrias actualizar tu script sobre esta variante al parecer de este virus :s
Saludos y que buen trabajo el que realizas.
August 11th, 2008 at 2:49 pm
QUE TAL ENCONTRE TU PAGINA, YA QUE ANTERIORMENTE UN AMIGO ME PASO UN ARCHIVO PARA ELIMINAR EL VIRUS AMVO, CON EL NOMBRE DE MATAVIRUS, EL CUAL EN SU MOMENTO ME FUE DE GRAN UTILIDAD, PERO EN ESTE MOMENTO TENGO UN PROBLEMA CON OTRO VIRUS EL CUAL CREA LA CARPETA RECICLER, YA BAJE LA VERCION QUE TIENES PARA LA ELIMINACION DE ESTE VIRUS, Y EFECTIVAMENTE AL PARECER LO DETECTA EN LA UNIDAD C: Y LO ELIMINA PERO CUANDO QUIERO BORRA MANUALMENTE LA CARPETA ME APARECE UN MENSAJE DE ERROR EL CUAL DICE NO SE PUEDE ELIMINAR AVI32.EXE: ESTA SIENDO UTILIZADO POR OTRA PERSONA O PROGRAMA CIERRE TODOS LOS PROGRAMAS QUE PUEDAN ESTAR UTILIZANDO ESTE ARCHIVO E INTENTLO DE NUEVO. Y NO SE QUE AHCER YA QUE MI COMPU SE HA PUESTO MUY LENTA. ESPERO QUE ME PUEDAS AYUDAR PARA PODER ELIMINAR ESTE VIRUS.
POR TU ATENCION Y APOYO GRACIAS Y ESTAMOS EN CONTACTO.
August 13th, 2008 at 11:57 pm
QUE ONDA AMIGO OYE TE QUERIA HACER UNA PREGUNTA Y ESPERO QUE ME LA PUEDAS CONTESTAR CON ESTOS PASOS CREES QUE PUEDA CREAR UN SCRIPT PARA ELIMINAR EL VIRUS RUNMGR.EXE? YA QUE LO ELIMINO PERO VUELVE A APARECER POR LO QUE VEO ES UN VIRUS NUEVO ESPERO Y ME PUEDAS AYUDAR SALUDOS Y EXCELENTE TU PUBLICACION
August 19th, 2008 at 2:42 pm
olas gracias por el aporte gracais atu ayuda pude eliminar este virus.tengo una duda como puedo enviarten muestras de virus…??
August 26th, 2008 at 8:14 am
Wow… eres muy bueno! Gracias por aportar toda esta riqueza en conocimiento de manera gratuita, te aseguro que no solo yo sino que muchos te estan agradecidos por tu gran trabajo. Si tienes más que enseñar hazlo que habemos muchos habidos de conocimiento pero no tenemos los recursos… ¡BRINDO POR FELIPE, Y POR SU DEDICACIÓN AL ENSEÑAR! Mil Gracias!
August 31st, 2008 at 3:45 am
De verdad mi Felipe me quito el sombrero, eres un verdadero “geek”, y me siento profundamente identificado con tigo…lei tu reseña por cierto (que parecia la mia,jejeje), y creo que tambien tengo mi lado “geek”.
Gracias por tus aportes a la comunidad “geek” y a los usuarios en general.
Saludos a los cybernautas, desde México…
…Hasta pronto.
September 6th, 2008 at 10:08 pm
gracias por ayudar a todos..
September 8th, 2008 at 2:54 pm
Hola, me encontre con tu pagina hace unos dias, estaba en la busqueda de un archivo medio extraño en mi PC, un tal CKVO.EXE,,, lo raro es q al parecer el NOD32 lo detuvo pero creo q este virus esta evolucionando hasta tal punto q al ser eliminado no te deja conectar a internet, instalando unos driver de red (minipuerto wan (ip), (pptp) etc. Mi unica solucion fue formatear todo de nuevo y asunto arreglado.
PD: tu biografia se parece mucho a la mia, aunque no me fui tanto a la programacion, sio domino DOS y extraño a mi 386sx
…..
Graciassssssss y continua ayudando a la gente…
September 8th, 2008 at 9:20 pm
Yo creo q como todos de los que posteamos aki fue xq nos infectamos de este virus, y quisi indagar sobre quien fue el creador de esta solucion!! que ningun antivirus me dio, y me da gusto que aparte de ayudar con soluciones, compartas tus conocimientos para que uno mismo pueda solucionar su problemas. Thx
September 22nd, 2008 at 12:59 pm
Hola tengo desde hace casi un mes el virus, con el scrip que tenia desde hace rato logre matar el virus , pero me paso igual que a PeteK PreSCoTT, me instalo un driver que no puedo desintalar y que me bloquea la navegacion. si puedieran ayudarme a reparar ese daño se los agradeceria he buscado por la red y la unica solucion que encuentro es formatear. gracias
September 22nd, 2008 at 11:24 pm
hoila he visto tu pagina buscando solucion a mis bichos.y pienso q es buena pero asta este momento no he probado nada. aunque en unas horas lo are. bueno quisiera saber si tienes alguna informacion sobre el archivo (q creo q es un virus) rdsfk.com con su respectivo autorun y taqhptr.bat lo q pasa es q no encuentro nada en internet los dos estaban en mi usb
September 23rd, 2008 at 5:24 pm
Excelente, que man tan teso.
Muchas gracias por todo lo que haces en esta web, todo está genial.
September 26th, 2008 at 8:12 pm
bueno yo queria hacer mi aporte tambien no he tenido de leer todo los posts para ver si ya alguien hizo esto, pero estos son archivos que publico para restaurar la opcion de reproduccion automatica que el virus KAV0 inhabilita, algo que la mayoria de las victimas no sabe. Son 2 entradas de registro, funcionan en cualquier version de Windows y restauran el AUTORUN con USB’s, CDROM, DVDROM, etc. Este es link, esta comprimido en .RAR sin clave:
http://www.infobae.com/contenidos/405196-100918-0-El-nuevo-Messenger
September 26th, 2008 at 8:13 pm
perdonen me apresure y puse el link equivocado, este es, todos los que han sido infectador por KAV0 deberian instalar estas entradas de registro que publico para restaurar la reproduccion automatica de Windows ESTE ES EL VERDADERO LINK:
http://www.mediafire.com/?mjmwymmvwmm
September 30th, 2008 at 9:59 pm
pucha inprecionate mi estimado sos genial de verdad que todo lo que haces es chido mis felicitaciones gracias por todo felicidades una ves mas
October 3rd, 2008 at 4:41 am
EN REALIDAD ME DEJASTE ASOMBRADO POR PRIMERA VES EN MI VIDA SE COMO FUNCIONA UN VIRUS Y EN REALIDAD TE FELICITO.CREO QUE AUN NO ME CONOCES MUY BIEN PERO EN REALIDAD DESDE QUE TENGO INTERNET EN MI CASA ME E VUELTO UN FIEL ADMIRADOR TUYO. GRASIAS POR TODA ESTA INFORMASION QUE HAS PROPORCIONADO ESTA INFORMASION ES DE MUY BUENA AYUDA PARA EL MUNDO PUES ESTOS VIRUS NOS TIENEN AZOTADOS.
GRASIAS Y QUE DIOS TE VENDIGA
October 6th, 2008 at 9:09 pm
AMIGO DE VERDAD MUCHAS GRACIAS…. DESDE QUE ENCONTRE ESTE SCRIPT NO SABES EL TRABAJO QUE ME HAS AHORRADO SEGUN LO QUE LEI ME ENCONTRE QUE ELIMINA TODO LOS VIRUS DE AMVO Y SUS VARIANTES COMO AUTORUN.INF PERO YO HE ENCONTRADO MUCHAS MAS EN EN EL REGISTRO EN (Mi PC\HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\MOUNTPOINTS2) QUE SE CREAN ASI DESACTIVES LAS REPRODUCCION AUTOMATICA QUE POR SU PUESTO YA DESACTIVE POR GPEDIT.MSC, AHORA MI DUDO O PROBLEMA ES QUE YO TRABAJO REPARANDO PC’S Y A CADA RATO ME LLEGAN EQUIPOS CON OTROS VIRUS ACTIVADOS AQUI QUE SE LLAMAN FOOOL.EXE, FUN.XLS.EXE, ADOBER.EXE, Y OTROS MAS QUE AHORA NO RECUERDO, TAMBIEN SE APLICAN EN EL REGISTRO EN (PC\HKCU\SOFTWARE\MICROSOFT\WINDOWS\SHELLNOROAM\MUICACHE) NO HE PROBADO SI ESTE SCRIP LO
HOLA AMIGO.
TE ESCRIBO DE NUEVO PARA VER QUE ME PUEDES AYUDAR CON LO QUE TE ESCRIBI HACE UNOS MESES QUE TODAVIA ME MOLESTA YA QUE YO REPARO EQUIPOS Y EL 100% DE ELLOS LLEGA CON ESTOS PROBLEMAS… DISCULPA LO INSISTENTE QUE SOY PERO DE VERDAD NECESITO AYUDA…..
re: ELIMINA DE AHI TAMBIEN PERO ME PARECE PROBLEMATICO PORQUE TODAS LAS PC’S QUE LLEGAN QUE TENGO QUE REPARAR TIENEN ESE PROBLEMA NO PODRAS HACER UN SCRIPT CON ESAS VARIANTES Y QUE LAS ELIMINE DE UNA….. SI NECESITAS MAS INFORMACION NOS PODEMOS CONTACTAR POR EL CORREO VIPEDWIN@GMAIL.COM
P.D. ERES DE VERDAD UN BUEN AMIGO POR LA AYUDA QUE DAS POR ESTE MEDIO
October 18th, 2008 at 3:45 pm
FELICITACIONES HERMANO ESPERO CONTINUES APORTANDO A LOS QUE NOS GUSTA SENTIRNOS SEGUROS EN LA WEB..
October 26th, 2008 at 6:32 pm
simplemente un maestro.
gracias por tu valioso aporte…
excelente ayuda. te felicito
October 27th, 2008 at 7:21 am
Una pregunta, como puedo eiminar el virus “symlsrvn.exe” ya que apenas por medio del messenger me llego un archivo en forma de imagen. tratando de elimira el virus amvo descubri q tambien tengo este, lo detecto el spyware terminator pero solo pudo marcarlo como bloqueado en la accion de proteccion en tiempo real, bueno no entiendo mucho de esto pero me gustaria aseguarme q no afecte mis computadoras ojala puedas asesorame saludos y por cierto tu pagina esta genial porq yo pude comprender muchos detalles de los virus y lo q hacen gracias
October 29th, 2008 at 5:44 am
Bueno brother yo acabo de llegar a tu web por un amigo que me pidio ayuda con ese virus
Pues la verdad son geniales tus aportes que bueno que te tomas el tiempito de enseñarnos a los que no sabemos sigue asi brother
ERES UN MASTER saludos !!!
October 31st, 2008 at 6:29 pm
te califico con un 100 eres lo maximo t felicito eres muy bueno gracias por compartir tus conocimientos ahora ya tengo mas informacion sobre este virus
November 2nd, 2008 at 12:27 am
Excelente tus aporte. Espero que muchos sigan tu ejemplo en favor de todos nosotros. Sin lugar a dudas tienes un talento impresionante. He aprendido bastante con todos tus aportes.
Gracisa por todos esos aportes.
Att. Dany Amaro
December 2nd, 2008 at 5:02 pm
Muchas gracias hombre, te felicito por tu cualidad de enseñar esta parte sensible del software que son los odiodos virus, sin esperar nada a cambio. Sigue asi y MUCHÍSIMAS GRACIAS
December 9th, 2008 at 6:41 pm
Hola. Hace días comencé a notar cosas raras en el PC. La máquina arrancaba bien, pero casi al estar lista reiniciaba. No lo hacía siempre, pero luego comencé a notarla más lenta cada vez. Corrí el antivirus norton, el ccleaner, el Tune up y no se arreglaba.
Luego encontré el amvo.exe en los programas de inicio con el Tune Up, lo desconecté, pero no podía ver archivos ocultos. Le dí buscar “ambo.exe” y llegué a tu sitio.
Mis hijos usan usb en la escuela y en el colegio y regresean siempre cargados de bichos nuevos.
Cuando vi tu análisis de inmediato descargué los scripts para limpiar mi equipo.
Agradezco tu generosidad para contribuir a limpiar el PC de bichos.
January 14th, 2009 at 10:18 am
Realmente sos admirable por tus conocimientos y por tu aporte a la comunidad. Gente como vos necesita el mundo para ser mejor..
February 10th, 2009 at 7:18 pm
hola brother kreo haberte conocido solo de vizta por aka en la upeu, en la klaze 2003 de ingenieria de sistemaz.
tienes una excelente pagina.
March 6th, 2009 at 8:06 pm
ya he formateado 2 veces el equipo por culpa del VIRUSREMOVER2009, tengo un antivirus actualizado al igual que un antispyware pero nunca lo eliminan y me toca formatear, agradezco por favor su colaboracion con este spyware.
March 27th, 2009 at 4:31 am
eres bueno en esto de la eliminacion de los virus yo qui siera ser asi = que ty pero nesesito tu ayuda espero y me eceñes algo de lo que saves mi corre es edwinelmejor35@hotmail.com
que sigas asi te felisito y espero que me agregues a tu msn y me en ceñes algo. gracias por poner como quitar el autorun.inf
October 15th, 2009 at 3:12 pm
Gracias por el script en verdad mil gracias en el link de descarga esplicas como funciona y das la opcion de modificarlo lo cual e hecho hasta ahora no se bien como funcionan las claves o strings pero me a quitado virus que los Antivirus no pueden en sus logs veo sus nombres (de los virus )modifico el script lo corro 2 veces y adios virus incluso vacia las archivos del recycler y deja verlas en todas las unidades.
No tengo virus gracias a tu aplicacion,procedimiento .
Gracias,Gracias,Gracias……………
October 22nd, 2009 at 1:36 am
Lo tuyo es impresionante !!! Yo también hago ingenieria inversa para descifrar protocolos de comunicación de dispositivos de control de accesos y de control de personal. Se perfectamente el laburo que implica analizar el contenido de paquetes de información (en mi caso no sólo tengo que analizar el contenido de los paquetes sino también descifrarlo para interpretar la información que contienen), pero lo tuyo es admirable ya que ademas te tomas el laburo de analizar procesos y cambios en el registro y encima después te quedan ganas de compartirlo con el mundo haciendo un documento como este !!! Realmente te felicito !!!
November 18th, 2009 at 11:25 pm
Hola! muchisimas gracias por compartir tus conocimientos con los que somos simples mortales, eso se oye un poco…. pero en verdad gracias, a mi me gusta navegar (naufragar) por aqui y por alla y pues llegue aqui por un bicho win32/statik, gracias por la herramienta proporcionada.
May 28th, 2010 at 5:33 pm
Pues voy comensando con la lectura de este blog, y me parece genial tus articulos son muy atinados y constructivos ademas de utiles.
gracias por compartir esta informacion.
hebeko say: el cielo es el limite!!