Linux (y Google) Al Rescate

written by Mario G. Contreras Arriaga on Friday, December 21 2007

El día de ayer un amigo mío (de confianza) me solicitó que le pasara unos archivos que necesitaba. Dichos archivos los tenía en un disco duro externo que conecto vía USB. La historia es algo típica y normal: llegó, tomamos el disco duro externo y lo conectamos a su laptop, copió lo que necesitaba, desmontó el disco, me lo entregó y se retiró. Lo comenzó la "aventura" fue cuando conecté el disco a mi equipo.

Primero que nada cabe mencionar que el disco duro externo lo "personalicé" cambiando su icono con el que se ve en el Explorador de Windows así como todas las carpetas que contiene. Lo que comenzó la travesía fue cuando abrí el Explorador de Windows y el disco duro no se mostró con el icono personalizado sino con el predeterminado de Windows... mmm... algo huele mal. Le di doble clic y vi sus contenidos y como siempre tengo que me muestre las carpetas y archivos ocultos y de sistema me encontré que tenía un archivo llamado Nideiect.com. Lo borré y seguí con mis actividades presumiendo que algo malo había pasado.

A los pocos minutos me apreció una ventana de Symantec Antivirus (el antivirus que usamos por política de la empresa) y me avisó que en la carpeta temporal de mi usuario había un archivo con extensión .sys infectado de un "virus" llamado Hacktool.Rootkit. No lo pudo eliminar y se quedó bloqueada la ventana. Entré al sitio de Symantec y vi la información que ellos publican diciendo que es un virus con nivel de riesgo muy bajo (¿un rootkit con nivel de riesgo muy bajo? en fin). Las recomendaciones para eliminar la amenaza no me sirvieron de mucho porque no expecificaba los archivos con el problema.

Total, afortunadamente tengo instalado Ubuntu Linux además de Windows XP en mi equipo por lo que procedí a iniciar sesión con Linux, acceder a mis particiones NTFS y borrar todo de todas las carpetas temporales así como borrar todo lo que estaba en raíz de todas las unidades que tenía que no debía de estar en dicho lugar. Reinicié con Windows casi augurando una victoria feliz.

¡Oh, sorpresa! Los archivos Nideiect.com volvieron a aparecer y además el Symantec Antivirus volvió a decirme que algo en la carpeta temporal estaba mal. WTF!? Revisé el Registro de Windows (la sección donde corre automáticamente programas al iniciar sesión) y encontré un executable que no debería de estar en dicho lugar (amvo.exe). Lo busqué y me encontré (aquí, aquí y aquí) además del executable varias DLLs con el nombre parecido (amvo0.dll, amvo1.dll). Los intenté eliminar y no todos se borraron. Curiosamente el ejecutable si pero no una de las DLL. ¿Qué proceso estaría usando dicha DLL? Usé Process Explorer de SysInternals y encontré que más de un proceso (¡y todos del SO!) estaban usando dicha DLL. Ni cómo eliminar los procesos y luego la DLL sin hacer inestable el SO.

Comencé ahora a buscar en Internet (por tercera vez) pero ahora no por el nombre que me reportaba Symantec sino por el nombre de los archivos y encontré más o menos de que se trataba y cuales eran los nombre y ubicaciones posibles donde existiría. Entré nuevamente con Linux y borré lo que encontré. Al iniciar con Windows ya todo estaba aparentemente bien. Por cierto, me di cuenta que lo que hace además de copiarse a los discos y memorias USB los configura con un archivo autorun.inf para que abra el archivo en cuando uno seleccione la unidad. Vaya forma de contagiarse.

Obviamente le avisé a mi amigo y él comenzó su búsqueda para eliminar la amenaza, pero se topó también con que no era fácil de quitarlas. Él no tenía Linux instalado y decidió entrar en modo a prueba de fallos (en consola, no con todo el UI de Windows) y con eso ya entró y borró lo que se tenía que borrar. Claro, ya le había dicho donde estaban los archivos con el problema.

El día de hoy llegué y quise revisar si no había problemas adicionales y no veía los archivos ocultos ni los de sistema. WTF!? (de nuevo). Revisé desde la consola (Símbolo de Sistema) si volvieron a aparecer los archivos del problema y no estaban. Entré en la configuración del Explorador de Windows y no pude cambiar los valores. Siempre que los guardaba y volvía a entrar estaban igual. ¡Argh!

Total, buscando de nuevo con Google encontré que para otro virus que genera estragos parecidos a este efecto de que el Explorador de Windows no hacía lo que yo le decía existía una utilería que una persona hizo para eliminarlo y restablecer los valores de Windows. Lo descargué y obviamente no encontró (afortunadamente) el virus para el que fue diseñado, pero me dejó entrar a la opción de restablecer los valores de Windows y ya regresé a la normalidad.

 

En resumen, si bien con Linux resolví el problema con Windows también hubiera podido, pero el tenerlo a la mano me ayudó bastante. Lo que si es que hay que tener mucho cuidado ya hasta con los dispositivos USB que uno conecta. No esta de más revisar y monitorear cada detalle que uno ve extraño y consultar por todos lados ya que, en ocasiones, los fabricantes no te dan la solución sino miembros de comunidades o usuarios que se han topado con estos problemas.

posted in:

Blog and tagged as: , , , ,

4 Comments

Similar Posts

  1. Crónicas de una migración
  2. La Tecnología y Nosotros
  3. Halo 2

Comments

  • Guillermo Esteban on on 1.13.2008 at 7:49 PM

    Guillermo Esteban avatar

    ahhhh graciasss por fin alguien experimentado ayudaaaaaaaaaaaaa mira mi situacion esta asi me tope con ese mismo problema del amvo0.dll sin embargo tengo particionado mi DD de manera que en la particion C solo tengo mi SO asi que la solucion mas rapida que busque fue voy a restaurar la imagen de mi SO y vuala como nueva cero problemas con la particion C sin embargo corri el antivirus y encontre un archivo malisioso en cada una de mis particiones los elimine y reinicie esperando que el problema estuviera resuelto pro nooo el problema persiste no puedo abrir mis discos duros con doble clic (claro esta) y no encuentro esos mentados archivos "autorun.inf"

    por favor ayudaaaaaa porfaaaaa te agradeceria si me contestaras a mi msn que es " duende231@hotmail.com "

    =)

  • marioc on on 1.14.2008 at 4:49 AM

    marioc avatar

    Guillermo,

    Ya te agregué a mi lista de contactos.

    Referente al uso de Linux. Puedes usar un Live CD (como lo es el instalador de Ubuntu Linux) para iniciar sin tener que instalarlo en tu disco duro.

    Ahora, puedes iniciar en modo de consola en Windows y borrar los archivos. Para ver los archivos autorun.inf tienes que ver los archivos ocultos ya que tienen dicho atributo.

    Espero estos comentarios te sirvan.

  • Huremix on on 1.18.2008 at 4:22 PM

    Huremix avatar

    Yo tuve el mismo problema la forma de solucionarlo fue un verdadero martirio, en primera porque no quería formatear mi DD y en segunda porque lo tome como un reto personal, el día que me contagie con este virus fue muy similar al lo que relata marioc, con una USB y aunque el Avast! me informo de él cuando lo quise borrar ya era muy tarde pues mi sistema se había infectado ya lo note porque casi de inmediato deje de ver los archivos ocultos y no pude cambiar las propiedades para poder verlos.

    LA SOLUCIÓN que tome fue la siguiente; aunque tengo distros de linux no los quise utilizar porque tengo problemas al montar las unidades NTFS el el modo Live, así que recordé que un programita  que bootea desde el floopy llamado CIA comader aparte de borrar la claves de administrador tambien puede borrar cualquier archivo sin mas complicaciones, entonces cree un diskete booteable con este programa y en File Manager en cuentro la carpeta donde se copio el susodicho archivo(s) (%systemroot%\system32\) y lo(s) elimino y al reiniciar para que el windows me habra las carpetas con doble clic elimino de cada unidad de DD unos archivos con *.inf , *.bat y *.com que en mi caso se llamaban autorun.inf, m1t8ta.com, otro con b.com y otro con juok3st.bat, espero que les sea de utilidad y puedan solucionar sus problemas.

    ---------------cortar---------------------

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

    "Text"="@shell32.dll,-30500"

    "Type"="radio"

    "ValueName"="Hidden"

    "DefaultValue"=dword:00000002

    "HKeyRoot"=dword:80000001

    "HelpID"="shell.hlp#51105"

    "CheckedValue"=dword:00000001

    -----------------------cortar----------------------------------

    para poder ver archivos ocultos y de sistema

  • marioc on on 1.18.2008 at 8:05 PM

    marioc avatar

    Huremix,

    Muchas gracias por tu aportación.

Comments are closed

Options:

Size

Colors