Mi lucha contra el avpo.exe y ntde1ect.com

Les voy a contar mi historia acerca de cómo pude vencer a estos virus que me tenían como loco reproduciéndose en cada pendrive que conectaba en mi PC y haciéndome tener problemas para encontrar mis archivos ocultos tan preciados.

La forma más eficiente de vencerlos es la siguiente:

Primeramente ejecutar el Símbolo del Sistema para trabajar desde ahí.

Dentro de este me ubica en la dirección C:\Windows\System32, que es donde se aloja el avpo.exe y su “amiguito” avpo0.dll.

Luego digitar el siguiente comando:

C:\Windows\System32> del /f /a:h avpo.exe

forzando así la eliminación de este archivo malicioso. A continuación dirigirse a Inicio > Ejecutar > msconfig, en esta aplicación en la pestaña Inicio buscar el Elemento de Inicio avpo, y desactivarle la selección, y aceptar los cambios. Esto nos pedirá reiniciar nuestro computador, Aceptar…

Al reiniciarse regresamos a la dirección C:\Windows\System32 desde el Símbolo del Sistema:

C:\Windows\System32> del /f /a:h avpo0.dll

eliminando así esta librería. Con esto se debería haber borrado también un Autorun existente en la unidad C, si no es así, hacer lo siguiente:

Ingresar al Símbolo del Sistema:

Ubicarse en la dirección C:\> y digitar lo siguiente:

attrib –s –r –h autorun.*, así eliminamos el autorun.

attrib –s –r –h ntde1ect.com así eliminamos el virus.

Y un consejo que les doy para evitar futuros ataques de virus como estos (que joden la PC y su molesta reproducción vía pendrive) es deshabilitar la reproducción automática de los dispositivos extraíbles:

Para deshabilitar el autorun de los extraíbles te vas a Inicio, Ejecutar y escribes gpedit.msc te abrirá una consola de administración de directivas para tu PC.

En configuración del equipo te vas a plantillas administrativas y seleccionas sistema veras que en la parte derecha aparecerán varias opciones, busca el de titulo Desactivar reproducción automática dale doble clic y habilitarla en todas las unidades.

De esa forma evitas que se autoejecuten los autorun y otros que se ocupan para instalar software espía y virus.

Finalmente repare Windows con el cd de instalación para poder ver mis archivos ocultos, aunque si no deseas reparar puedes hacer la siguiente modificación del registro para ver tus archivos ocultos:

Primero ingresa al registro de Windows: Inicio > ejecutar > regedit.

Aquí sigue la siguiente ruta:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

En esta clave existe una ficha llamada Hidden que el virus le ha asignado el valor de 0, dale doble clic y asígnale el valor de 1, así ya puedes visualizar los archivos ocultos.

“Hidden”=dword:00000001

El único problema es que cuando ingresas a Herramientas > Opciones de Carpetas y modificas la visibilidad de tus archivos y carpetas, ya sea para mostrarlos u ocultarlos, Hidden vuelve a asignarse con el valor de 0 y a esconder tus archivos ocultos.

Nota: Si la ficha Hidden no existe, crea un valor de tipo DWORD, nombralo Hidden y asignale 1.

Con lo que respecta a tu pendrive, insértalo y como desactivaste la reproducción automática no se ejecutara el virus (pero sólo insértalo, no lo vayas a Abrir), entonces abre el Bloc de Notas y guarda el archivo como Todos los Archivos y lo nombras autorun.inf (este archivo créalo en Mis Documentos u otra carpeta, no dentro de tu pendrive). Copia este archivo y pégalo en tu pendrive (sin abrirlo), acepta el reemplazo de archivos.

Luego desde el Símbolo del Sistema, Inicio > Ejecutar > cmd, ingresa a la unidad de tu pendrive y digita lo siguiente:

C:\> G:

G:\> del /f /a:h ntde1ect.com, donde G es la letra asignada a tu pendrive.

Así tu pendrive ya quedará desinfectado y no será un foco de contagio para otras PC’s.

Nota: Si la info de tu pendrive no es importante o la tienes respaldada puedes formatearlo para eliminar los virus directamente.

Este es un proceso un poco tedioso, pero que va a liberar tu computadora de este indeseable virus; espero que les sirva, cualquier pregunta no duden en hacerla aquí, que yo con todo gusto les responderé cuando tenga un tiempo libre de mi jornada académica.

Este es un proceso probado por mi, que espero que si sigues los pasos como los he descrito te sirva de ayuda, me ha servido mucho para la eliminación de este virus; que por cierto mi antivirus Avast 4.7 Profesional (VPS 8-11-2007) no lo reconoce (eso es en mi caso), pero espero que las próximas actualizaciones lo incorporen pronto en su base de datos, porque no me gustaría cambiar de antivirus.

Anuncios

47 comentarios

  1. Saludos, y que buen tutorial pera deshacerse de esa molestia de trojan horse aunque la verdad es solo una pulga muy molesta, solo que despues de eliminar el avpo.exe ya no pude ejecutar el símbolo del sistema “CMD”, pero la solución a ello fue teclearlo así: “CMD.exe” y bingo!, pues como decía gracias por la ayuda y os aconsejo NO usar norton 2007 esa carga chupadora de recursos ni siquiera pudo detectar este trojan tipo1 …¬¬

  2. Gracias por la info yo estoy infectado con ese cochino virus y el nod32 2.7 (con su ultima base de firmas 21-11-2007 no lo detecta) y necesitaba eliminarlo

  3. mm me sirvio lo qe pusiste pero
    cuando intento abrir mis discos duros me pide qe si en qe programa qiero abrirlo
    como ago qe vuelvan a la normalidad ?

  4. Interesante aporte, justo lo q necesitaba, pero en este paso:

    “Ubicarse en la dirección C:\> y digitar lo siguiente:

    attrib –s –r –h autorun.*, así eliminamos el autorun.

    attrib –s –r –h ntde1ect.com así eliminamos el virus.”

    no funciona a menos q sea:

    del /f /a:h autorun.*

    del /f /a:h ntde1ect.com

    porque asi me resulto eliminarlo …..

  5. Que bueno que les haya servido mi tutorial, ahora les aconsejo que el AVG 7.5 ya esta actualizado para eliminar totalmente este virus; pero eso si antes de que infecte la computadora, porque si ya ,lo tienen en su computador si les recomiendo seguir mis pasos para que su computador quede como nuevo.

  6. Gracias ya lo elimine pero cuando intento ejecutar gpedit.msc me aparece que windows no encuentra el archivo ¿porque sera? bueno gracias de nuevo

  7. Hola muchas gracias por la ayuda, me ha servido de mucho… lo q no me aparece es la opción para desactivar la reproducción automática de los pendrivers… logro llegar hasta plantillas administrativas, pero me aparecen 2, una para el equipo y otra para el usuario… cual debo de escoger…

  8. El gpedit.msc no me sale porque tengo xp home (lo busque en Internet) pero quisiera saber si existe otra forma de deshabilitar la reproducción automática de los usb en win xp home

  9. Gracias hackermannews! Pude eliminar el virus con un programma llamado TuneUP Utilities 2007 – es facilisimo! Tiene una opcion de borrar cualquier archivo del pc, y con ello borre el acpo.exe, avpo0.dll y el autorun. Pero mis archivos siguen ocultos! Hice lo de Hidden pero no funciono! Voy a intentar Reparar el windows! Que me aconsejas? Cualquier pregunta sobre el TuneUp envienmelas al correo y con gusto las respondere.

  10. Hola!!,, funciono,, pero tengo el mismo problema que cristian,, de casualidad alguien sabra repara eso,, cuando hago doble click en la unidad de disco duro como C:\ aparece la ventana de con que programa deseas abrir la unidad =S,

  11. Hola Cristian, la forma para hacer que tus discos duros vuelvan a la normalidad es la siguiente:
    Abre el bloc de notas y digita:

    [AUTORUN]

    Luego guardalo como autorun.inf; siempre fijandote que el tipo sea Todos los Documentos; lo puedes guardar en Mis Documentos o en Escritorio.

    Este archivo copialo y pegalo en cada uno de tus discos, te pedira reemplazar el archivo, das clic en si y listo, ingresas a tus discos y eliminas el autorun y ya se ejecutaran normalmente.

    Espero que te sirva

  12. Saludos… Hay alguna manera de solucionar el problema de mostrar los archivos ocultos, sin tener que reparar el woindows xp, usando el cd de instalacion??? Lo digo porque es tedioso tener que volver a instalar todos los programas que tengo, y al reparar el windows con el cd, se perderan dichos programas…

    Saludos…

  13. Para bloquear la ejecucion automática sin tener una aplicación como gpedit.msc, systemmechanic, tuneup,etc.
    Sobre la unidad a bloquear, buscar propiedades/reporduccion automatica ahi seleccionar “No realizar ninguna acción”.

  14. Saludos y muchas gracias por tus indicaciones, me han resultado de bastante utilidad para eliminar el autorun y el avpo… Qué bueno que hay personas inteligentes y que brindan este tipo de apoyos como tú. Saludos y gracias de nuevo. 😉

  15. Excelente ayuda, muchas gracias.
    En mi caso reemplazar los autorun no fue suficiente, recién pude habilitar el acceso normal a los discos duros siguiendo los pasos que indican aquí:
    http://www.forospyware.com/archive/t-84453.html
    “”
    Ve a la siguiente dirección:
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/advanced/Folder/Hidden/SHOWALL
    – Borra el campo CheckedValue
    – Crea un nuevo campo de tipo valor DWORD
    – Ponle el nombre CheckedValue
    – Asígnale en valor 1
    “”

  16. … Hola…
    .. pues yo tengo el AVG y se supone que ya lo elimino… porque no estan todos esos archivos..
    ..pero en el msconfig esta en inicio y ya lo desactive.. pero cada que prendo la pc me aparece la ventanita que se desactivo uno de los componestes y bla bla bla…
    y las carpetas ocultas no se ven… y creo que la ruta del regedit que aparece ahi le falta otra subcarpeta o no se porque no tengo esa opcion de hiden..
    ..
    .. bueno gracias por la ayuda que me brinden..
    .. JAC (º_º) ® Jhony Alex Celso …
    … JhonyAlex
    ..jhonyalexcelso
    ..www.comerut.galeon.com
    … ” Arriba “…. ” LOS CHERRIS “

  17. Muchisimas gracias por tu ayuda la verdad ya me traia loco este trojano porque ningun antivirus me lo detectaba. A decir verdad si me lo detecto el AVAST pero no lo pudo quitar.
    Solamente me salia la ventanita de eliminar o mover al menu cada X segundos, muy molesto.

    En fin, muchas gracias y saludos.

  18. Gracias por esa estupenda contribución, logré eliminar el virus. Aca en mi ciudad casi todas las máquinas estaban infectadas por ese virus, pero gracias a tu aporte les ayudaré a reparar las demás máquinas

  19. hola, apenas iva en el paso de eliminar avpo.exe y despues desactivar la casilla de avpo.exe en la pestaña inicio de msconfig. despues de reiniciar ya no pude arrancar windows, como lo puedo solucionar?

  20. Hola, tengo un gran problema, despues de los pasos de eliminar avpo.exe y desactivar la casilla de avpo.exe en el msconfig. me pidio reiniciar y al hacerlo, ya no pudo arrancar windows, como puedo solucionarlo, help…….

  21. Hola a todos.

    Con respecto a las instrucciones que Hackermannews le dio a Cristian acerca de que los discos duros volvieran a la normalidad, quiero comentar que seguí esos pasos, pero me sigue pasando lo mismo que comentaba Cristian ¿a qué se debe?

    Gracias

  22. saludos interesante bien explicado y funcional sin tanto rollo gracias

  23. Yo pude eliminarlo de otra forma, consegui el antivirus trent micro pc cillin lo actualice, desactive system restore, corri windows en prueba de fallos, y use el antivirus y el detecto ese trojan en mis discos duros y elimino los archivos en donde se encontraba y quedo muy bien mi maquina no me marca ningun error ni problema todo trabaja a la perfeccion, PERO ejecute msconfig desde start/run y en start up me aparece un archivo llama avpo.exe y otro que se llama amvo.exe lo cual me preocupa si es que son archivos normales o si es el trojan espero y les haya servido mi solucion y si me pueden quitar la duda. gracias

  24. mil gracias, porque no sabia como rayos quitar esta mad…..MILMILMILMIL GRACIAS!!

  25. hey hackermannews, gracias x el consejo a mi m sirvió

  26. usa win rar en todo virus y veras como lo borra

  27. hola, creo ke logre borrar el virus, el problema ke tengo ahora eske cuando kiero ejecutar ctrl+alt+supr me dice ke el administrador de tareas ha sido deshabilitado por un administrador, como hago ke eso vuelva a la normalidad???

  28. Quisiera saber que pasa despues de eliminar el archivo “AUTORUN.INF” que se encuentra en el C:

    NOTA: eliminó este archivo porque yo le di la orden ya que decía estar infectado.

    Gracias.

    Hola Juan, cuando eliminas el autorun.inf de tus unidades de disco, el virus pierde toda capacidad de autoejecutarse en tu maquina, pero falta cosas importnates de hacer, haz lo siguiente:
    1. Ingresa al cmd, Ejecutar –> cmd.exe
    2. Ubicate en la Unidad C, cd.., cd..
    3. Ingresa lo siguiente: attrib -s -h -r
    del
    (segun la variante del virus que tengas, ubicas el nombre en )
    OJO: En la unidad C existe un file llamado NTDETECT.COM, este no es virus es un archivo del sistema, no borrar

  29. Gracias a todos por sus comentarios, he pasado muy ocupado desarrollando unos softwares que nos enviaron como deber en la universidad.

    Queria decirles que he publicado un nuevo post donde hablo sobre las variantes de este virus, para que esten pendientes de que procesos son maliciosos en sus computadores, espero que los lean

  30. […] que la solución que encontre a este caso es seguir los consejos que doy en Mi lucha contra el avpo.exe, osea borrarlos de forma manual, xq de otra manera el antivirus debe ser muy potente y super […]

  31. A continuacion les envio el código para que puedan volver a ver sus archivo ocultos:

    En el bloc de notas digiten lo siguiente:

    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    “Hidden”=dword:00000001

    luego guarden el archivo con el nombre que ustedes deseen siempre tomando en cuenta que la extensión sea .reg; por ejemplo: desocultar.reg
    Fijense que el tipo de archivo debe decir Todos los archivos

    Y listo….

    Cada vez que quieran ver sus archivos ocultos dan clic en este archivo y luego aceptan….

    Actualizan sus ventanas dando F5 y veran sus archivos y carpetas ocultas.

    Espero que les sirva

  32. Viejo, podrías explicarme como el pude ver el ntde1ect.com al querer copiar un CD de archivos desde la unidad C: en el nero.
    si me das la respuesta te lo voy a agradecer mucho

  33. EN los cd’s el virus no se copia, asi que tranquilo qeuma tus cd’s cin ningun problema, el virus no te infectara

  34. Saludos, habiendo tenido el mismo problema y buscando, me encontre con un script que elimina el avpo.exe y otras varaintes como el n1detect, ademas de arreglar la cuestion de no poder entrar a los discos duros dando doble clic, y lo relacionado a carpetas y archivos ocultos. Lo probe y soluciono todos los problemas dados por este gusano. Solo tienes que descargar el archivo, extraer el contenido y ejecutar el script…

    Este es el archivo: Killer_amvo_USB__Richmon_Cracker_Inc[1]._.rar
    se descarga de rapidshare.

    Una excelente opcion, y gracias al creador del script.

  35. Ahí otra manera más senilla y menos complicada: 1. Abra inicio>ejecutar>teclee: regedit.exe, se abrira un programa llamado editor de registro o regedit, ahora en la pestaña e la ventana dirigite al boton de edición>buscar>teclea: avpo.exe o apoc.exe y cuando encuntres estos archivos eliminalos con cuidado de no suprimir cualquier otro archivo. 2. En el mismo programa de editor de registro ve a una carpeta y busca hk . 3. Busca en este foro como cambiar los valores de la carpeta en el regedit, cuando ahyas cambiado estos valores continua 4.Reinicia el ordenador y presiona la tecla f8 cuando apenas arranque y aparecer un menú que dira la opción que deberas elegir bien, selecciona modo a prueba de fallos, ve a la cuenta de administrador, abgre la carpeta de windows/system32/ y busca los archivos avpo.dll y avpo.exe (es importantisimo que no mates otro proceso. Con esto dale rteiniciar a tu ordenador y listo.
    Si no entiendes alguno de los procedimientos baja el programa antivirus (Lee los post) o descarga el programa spybot search & destroy en donde encontraras una opción escrita: protección del sistema tea timer, activala y cada que inicie un programa se pondra un mensaje que si deseas aceptar un valor agragado o borrarlo en un momento te podria aparecer avpo.exe si esto sucede, ponle negar la opción y así avpo.exe no iniciara.

  36. hola a todos el virus amvo estuvo en mi computadora pero lo logre eliminar!…. aora mi pc esta infectada con otro virus yamado mae11c lo tengo en todos mis discos duros! es una variacion del amvo… por que tiene autorun, archivolog, y mae11c…..creo q el proceso es mplayer2 siempre my spybot s&d lo detecta lo borra pero se vuelve a crear…el archivolog va memorizxando todo tu registro de tecleo…. es un keylogger o algo parecido!….. porfavor ayuda!!!!!!!!

  37. Muy bueno tu tutorial, me sirvio de mucho.

  38. hola para los que les desahilito el msdos
    por favor vayan al registro y despues escriben en buscar dentro del mismo cmddisable y hasta que les aparezca esa linea por favor eliminenla y de inmediato les leera el cmd por que independietenmenrte de que le den cmd. exe si tieenen aplicaciones en msdos no las abre debido a que primero busca la ruta cmd sin el exe si tienen algunacomentario por favor hacermelo llegar muchisimas gracias
    a todos

  39. Que bueno que les haya servido de ayuda este tutorial, y todavia sigue en auge, debido a que 100pre me topo con este virus en todas las maquinas que me toca dar mantenimiento; y cada vez con un nombre diferente del original.
    Asi que siempre dehabiliten sus reproducciones automaticas de dispositivos de almacenamientos y con el cmd hagan un dir /a /p para encontrar cualquier archivo que ustedes no hayan grabado y eliminenlo (pero esten seguros que es virus) para evitar contagios……

  40. Hola una pregunta cual de todas las opciones que dan es la mas segura para elliminar al avpo y al amvo sin complicaciones ni con reacciones secundarias

  41. AUXILIO!!!!!!
    Estoy como loco buscando a alguien que me ayude tengo un virus se llama Win32/agent. NNM troyan
    Audenme por favor no se qe hacer y me vuelve loco, no me deja chatear por msn cada ves que inicio secion manda el virus y le pone por ejemplo:
    No mames wey ve como quedaron las fotos de estadio,velas estan padrisimas.
    Y aparte manda el virus y no me deja chatear en paz.
    AYUDA!!! plz
    Les dejare mi msn para que me ayuden,no soporto el virus por favor AYUDENME!!!
    torre_de_acero@hotmail.es

  42. Hola amigos, yo también he estado en una lucha constante contra estos virus molestos, pero he encontrado una gran solución, como se comenta arriba desactivar la reproducción automática es una buena opción pero en mi caso yo prefiero usarla; así que encotré una forma sencilla de evitar que el autorun del virus se inserte en tu pendrive, y esta es: Creas un block de notas, escribes dentro de el:
    Ghost 9′
    [autorun]
    label=”Un nombre que elijas para tu pendrive”
    icon=”Esto coloca un ícono diferente al que aparece regularmente (muy bueno porke cuando desaparece el icon sabes que te has infectado”

    lo guardas como autorun.inf dentro de tu pendrive y listo no te vuelven a molestar los virus.

  43. Si quieres matar all insufrible akaro.exe debes de poner tu maquina en modo seguro a prueba de fallos con F8 y tener instalado el “Troyan Remover 6.8.1” y ejecutarlo ahi, veras que al encontrar los bichos (no solo es ese) deberas poner la opcion delete o la que tu creas conveniente, al final te pidira reiniciar, ya sabes que hacer…

    De Ticks1993

  44. hola me entro algun tipo de virus a mi usb que me borro mis archivos y me deja un archivo de texto con el nombre firma, tambien me aparece un icono con el nombre soawija, alguien podria ayudarme porfa

    • Si no me equivoco tus archivos han de estar ocultados por el virus… Lo que puedes hacer es ingresar en una máquina sin virus y desactivarle la reproduccion automatica de medios extraibles (para evitar que se infecte); luego conectar el USB y pasarle el antivirus actualizado… Para recuperar tus carpetas en Opciones de Carpetas poner que muestre los Archivos Ocultos del Sistema y ahi te encontraras con tus archivos… Espero haberte ayudado…

      • El SOAWIJA me encapsulo mis archivos o comprimió, no los deja ver ni de forma oculta, probé casi todos los antivirus y spyware actualizados y no lo detectan el único fue el Online de panda que me detecto virus SOAWIJA pero no me lo desinfecto, mis documentos Word fueron cambiados todos con la palabra BABOSO, si alguien sabe como deshacerse de este virus q tiene atrapado todos mis archivos seria de mucha ayuda Gracias.

  45. Hola yo tambien tengo el problema con este virus, soawija, al parecer oculta todos los archivos y solo deja un txt con el nombre de firma, lo abres y dice soawija, y en todas las carpetas que habia solo esta ese txt, pero cuando pones propiedades del disco duro te aparece que esta usado mas del 60%, por favor si alguien me puede ayudar, ya probe con mostrar los archivos ocultos y de sistema, tambien ejecutando cmd, con el nod32 en linea y nada

    Gracias


Comments RSS TrackBack Identifier URI

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s