Autor Tema: necesito el script matar amvo ampo (Leído 3054 veces)

jovev · « : marzo 23, 2012, 01:14:52 pm »

Hola estoy en un lugar recondito del pais y no tengo mucho tiempo para bajar o buscar dicho script o programita sera que alguien me lo pasa es qeu ando la memoria pero no veo los archivos pero le doy propiedades y esta a la mitad de capacidad alguien hecheme la mano salu2

Jaru · « **Respuesta #1 :** marzo 23, 2012, 01:32:48 pm »

parece espia este chavo

TK! · « **Respuesta #2 :** marzo 23, 2012, 01:33:11 pm »

Citar

on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
     "a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")

Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives

Wscript.Echo "Software provisto por MyGeekSide.com para la eliminación del software malicioso amvo, avpo, n1detect y variantes"
Wscript.Echo "El proceso de búsqueda y eliminación puede tardar algunos segundos. Sea paciente por favor."

i=0
For Each objDrive in colDrives
   If objDrive.IsReady = True Then
      nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
      Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
      strIpFileText = objTextStream.ReadAll
      objTextStream.Close
   End If
Next

Set objRegex = new RegExp

objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)

i=0
For Each element In colRegexMatches1
   element = Replace(element,"=","")
   WScript.Echo "Procediendo a borrar archivo de virus :" & element
   For Each objDrive in colDrives
      If objDrive.IsReady = True Then
         Wscript.Echo "Limpiar unidad: " & objDrive.DriveLetter

         nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
         nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

         nret=geekside.Run("cmd /C taskkill /f /im kavo.exe",0,TRUE)

         nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
         nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
         nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)

         nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
         nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
         nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

      End If
   Next
   i = i + 1
Next


Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing

   nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
   nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
   nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

   nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)


   nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
   nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)

nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
   nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

   nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)

   nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
   nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)

   nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
   nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

   nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)

   nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v kava /f",0,TRUE)

WScript.Echo "Se procederá a resturar el registro de sistema para poder ver los archivos Ocultos"

   nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
   nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
   nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

   nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
   nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
   nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

   nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
   nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

   nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
   nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
   nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

   nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
   nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

   nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)

   nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
   nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
   nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)

nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)

   nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
   nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
   nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

   nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)


   nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
   nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)

nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
   nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

   nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)

   nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
   nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)

For Each objDrive in colDrives
   If objDrive.IsReady = True Then
      For X=0 to UBound(Lista)
         nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
         nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
      Next
   End If
Next

WScript.Echo "Felicidades! Su PC está desinfectada del virus amvo y sus variantes"
WScript.Echo "www.mygeekside.com"

WScript. Quit(0)

jovev · « **Respuesta #3 :** marzo 23, 2012, 01:44:34 pm »

senkiu por sus respuestas voy a ver que ondas..... si mato a esa basura...

Charlie · « **Respuesta #4 :** marzo 23, 2012, 01:45:40 pm »

Código: [Seleccionar]

format C:

Insanity.RONIN · « **Respuesta #5 :** marzo 23, 2012, 02:07:51 pm »

Ahi esta ve!!!!

jovev · « **Respuesta #6 :** marzo 23, 2012, 09:51:51 pm »

senkiu lo solvente.... gracias andaba alla por un canton de santiago de maria saludos

hepl2000 · « **Respuesta #7 :** marzo 23, 2012, 10:00:44 pm »

mira viejo yo siempre uso el COMBOFIX Nunca me ha fallado, te busca un monton de infecciones incluidas esas que esconden las carpetas y ponen archivos exe contaminados simulando las carpetas desaparecidas de la USB
GUIA DE USO COMBOFIX
DESCARGAR COMBOFIX

NoeL · « **Respuesta #8 :** marzo 24, 2012, 11:27:48 am »

Como tip adicional si en determinado momento se les ocultan las carpetas y aun después de eliminar el virus siguen ocultas abran una terminal (Inicio->Ejecutar->cmd) luego ubíquense en la unidad que presenta el problema (Ejemplo F:/) ahí digiten attrib -s -h -r /s /d (Enter) y esperen un momento luego de esto podrán ver nuevamente sus carpetas. :P

hepl2000 · « **Respuesta #9 :** marzo 25, 2012, 12:15:05 am »

Cita de: NoeL en marzo 24, 2012, 11:27:48 am

Como tip adicional si en determinado momento se les ocultan las carpetas y aun después de eliminar el virus siguen ocultas abran una terminal (Inicio->Ejecutar->cmd) luego ubíquense en la unidad que presenta el problema (Ejemplo F:/) ahí digiten attrib -s -h -r /s /d (Enter) y esperen un momento luego de esto podrán ver nuevamente sus carpetas. :P

Es cierto, tenes que darle a opciones de carpeta y marcar la opcion "mostrar archivos y carpetas ocultas" y mas abajo desmarcar "ocultar archivos de sistema" para poder ver las carpetas que ocultan, pero aunque les des click derecho opciones, no podes quitarle el atributo de "oculto" (aparece en gris). yo para no complicarme la vida uso attribute changer una aplicacion muy buena que ademas te permite editar un monton de atributos de archivos, como fecha de creacion, modificacion y ultimo uso, para alterarlos.
Aqui el enlace de descarga ATTRIBUTE CHANGER

Sv Community El Salvador

Noticias:

Autor Tema: necesito el script matar amvo ampo (Leído 3054 veces)

jovev

necesito el script matar amvo ampo

Jaru

Re: necesito el script matar amvo ampo

TK!

Re: necesito el script matar amvo ampo

jovev

Re: necesito el script matar amvo ampo

Charlie

Re: necesito el script matar amvo ampo

Insanity.RONIN

Re: necesito el script matar amvo ampo

jovev

Re: necesito el script matar amvo ampo

hepl2000

Re: necesito el script matar amvo ampo

NoeL

Re: necesito el script matar amvo ampo

hepl2000

Re: necesito el script matar amvo ampo