Cómo eliminar virus troyanos provenientes

de memorias USB
AGOSTO 28, 2008
tags: avast!, avg, cómos, malware, nod32, seguridad, software,soport
e técnico, spyware, trendmicro, virus, windows, windows
2000, windows 7, windows vista, windows xp

Logotipo de Microsoft Windows

Recientemente han aparecido en internet varios virus de tipo
troyano que se especializan en propagarse a través de
dispositivos removibles de almacenamiento tales como las
memorias USB, también conocidas como pendrives. De este tipo
de virus hay varias familias, pero su comportamiento en general
es el mismo:
1. Se replica utilizando el archivoautorun.inf de las memorias
USB.
2. Una vez que insertamos una memoria USB infectada en
nuestro equipo, el progama autorun.infcopia los archivos del
virus en nuestro sistema operativo Windows, concretamente en
la carpeta C:\Windows\System32.
3. A continuación, el virus agrega entradas en el Registro para
asegurarse de que el programa virus se ejecute cada vez que se
arranque el equipo. Ejemplo:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe

4. Después, el virus repite el paso 1 en cada unidad de disco de la

computadora.
5. Y para asegurar su “invisibilidad”, configura Windows para
que no podamos ver los archivos ocultos, lo que se hace
modificando la siguiente entrada del Registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed] “Hidden”=dword:00000002

Cómo eliminar el virus del disco duro y de

la memoria USB
Advertencia
El siguiente procedimiento funciona para Windows 2000 en adelante. Las instrucciones no
deben tomarse al pie de la letra, se requiere de algo de criterio, experiencia y sentido común.
Tenga mucho cuidado. Se trata de un procedimiento general y perfectamente perfectible.

1. Localice el nombre (o más bien los nombres) del archivo virus

en el disco duro. Esto puede hacerse utlizando programas
antivirus tales como Nod32, Avast!, Free AVG e incluso con
programas antispyware como Trend Micro HijackThis!. El
uso de estas herramientas está fuera del ámbito de este tutorial.
Para efectos de ejemplo, identificaremos 3
archivos: ckvo.exe,ckvo0.exe y ckvo1.exe.
2. Desde la línea de comandos de Windows matamos los
procesos víricos:
taskkill /f /im ckvo.exe

taskkill /f /im ckvo0.exe

taskkill /f /im ckvo1.exe

Actualización: Para el caso de matar procesos tipo ckvo0.dll,

tendría que usar una instrucción como ésta:
taskkill /f /fi "MODULES eq ckvo*"
Para más detalles vea el procedimiento complementario “Cómo
eliminar virus ckv0.dll (y otros virus DLL’s)”.
3. En el directorio raíz (C:\) el virus crea varios archivos
ejecutables. Para ellos quite los atributos de Sistema, Oculto
(Hidden) y de Sólo-Lectura (Read-Only), y añada el atributo de
Archivo. No olvide aplicar este proceso al archivo autorun.inf.
Ejemplo:
attrib -s -h -r +a C:\autorun.inf

attrib -s -h -r +a C:\ntdetect.com

attrib -s -h -r +a C:\hp.com

attrib -s -h -r +a C:\9.com

4. En el directorio raíz (C:\) borre los archivos víricos

identificados en el paso 3. Pero para borrarlos bien, usaremos el
comando del con las opciones /f (para forzar el borrado)
y /q (para que borre sin hacer preguntas):
del C:\autorun.inf /f /q

del C:\ntdetect.com /f /q

del C:\hp.com /f /q

del C:\9.com /f /q

5. Ahora en el directorio C:\Windows\System32 borraremos los

archivos identificados en el paso 1, y lo haremos de la misma
manera como lo hicimos en los pasos 3 y 4:
attrib -s -h -r +a c:\windows\system32\ckvo.exe

attrib -s -h -r +a c:\windows\system32\ckvo0.exe

attrib -s -h -r +a c:\windows\system32\ckvo1.exe

del c:\windows\system32\ckvo.exe /f /q

del c:\windows\system32\ckvo0.exe /f /q

del c:\windows\system32\ckvo1.exe /f /q

6. Borre las entradas víricas en la sección

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr
entVersion\Run] del Registro. De hecho, lo recomendable sería
que repitiera este paso para cada perfil de usuario definido en su
computadora.
7. (Opcional) Restablecemos nuestra capacidad de ver archivos
ocultos y de sistema, mediante el siguiente comando:
reg add
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
d\ /v Hidden /t REG_DWORD /d 1 /f

8. Repita los pasos 1-6 para cada unidad de disco del equipo.
9. Reinicie la computadora para liberar la memoria de cualquier
rastro o proceso vírico. O, si lo prefiere, reinicie únicamente el
proceso Explorer.exe de Windows:
taskkill /f /im explorer.exe

start explorer.exe

10. Repita el paso 5.

11. Lo siguiente es proteger la computadora de un troyano de
estos. Desde la línea de comandos ejecute el siguiente programa:
gpedit.msc

Siga la siguente ruta: Configuraciones de usuario / Plantillas

administrativas / Sistema
Directiva de grupo. Imagen 1
Actualización: Si la carpeta Sistema no aparece en el panel
izquierdo, seleccione en el menú la opción Acción / Agregar o
quitar plantillas, y luego en la ventana presione el botón
Agregar… y seleccione el archivo system.adm.
En Sistema aparecen varias opciones abajo de las carpetas,
busque la que diga “Desactivar reproduccion automatica” y
habilítela para todas las unidades.
Directiva de grupo. Imagen 2
12. Inserte su memoria USB en el equipo. Si tiene virus, el
programa autorun.inf ya no se ejecutará gracias al paso 11.
13. Repita los pasos 3 y 4 para la unidad removible de su
memoria USB.