Como les va, escribo por lo siguiente, a raiz de un falso positivo desaparecio ms-dos, es decir, no es posible realizar un proceso por ej: cmd, por lo cual lo necesitaria nuevamente, es posible que alguien me lo facilitara?, espero ser claro ya que mi conocimiento es limitado, desde ya muchas gracias.
Edit: uso Windows XP
Deberás mencionar el windows que usas...
Ahi edite...
Es raro que haya desaparecido a lo mejor solo está bloqueado o se modificaron algunos permisos...
Copia este codigo y lo pegas en un block de notas luego lo guardas como: NOMBRE.VBS y lo ejecutas.
on Error Resume Next
Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i
Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
"a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")
Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives
Wscript.Echo "Script para la eliminación del archivo malicioso amvo, avpo, n1detect y variantes"
Wscript.Echo "El proceso de búsqueda y eliminación puede tardar algunos segundos. Sea paciente por favor."
i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close
End If
Next
Set objRegex = new RegExp
objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)
i=0
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Procediendo a borrar archivo de virus :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Limpiar unidad: " & objDrive.DriveLetter
nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im kavo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
End If
Next
i = i + 1
Next
Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing
nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)
nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)
nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)
nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)
nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)
nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)
nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v kava /f",0,TRUE)
WScript.Echo "Se procederá a resturar el registro de sistema para poder ver los archivos Ocultos"
nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)
nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)
nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)
nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)
nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)
nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\kavo*.*",0,TRUE)
nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)
nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)
nret24=geekside.Run("cmd /C del /f c:\windows\system32\kavo*.*",0,TRUE)
nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
For Each objDrive in colDrives
If objDrive.IsReady = True Then
For X=0 to UBound(Lista)
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
Next
End If
Next
WScript.Echo "Felicidades! Su PC está desinfectada del virus amvo y sus variantes"
WScript. Quit(0).
1) Comprueba que el archivo CMD.exe existe en el directorio del sistema (C:\Windows\System32)
¿Que hacer si CMD.exe SÍ existe?
Posiblemente algo haya provocado una corrupción relacionada con la aseociación de archivos bat/cmd (o puede que incluso "exe"), prueba a restaurar los valores por defecto de dichas asociaciones de archivo descargando los scripts de registro indicados en esta página: http://www.techsupportall.com/file-association-fix-for-windows-xp/
También asegúrate de que en en la variable de entorno PATH esté añadida la ruta "C:\Windows\System32", si no está añadida entonces añádela manualmente.
Ya que desconoces como acceder a la consola para verificar y/o re-configurar el PATH entonces puedes comprobar las rutas del PATH desde el panel de control (sistema > opciones avanzadas > variables de sistema > PATH) o bien abriendo la aplicación Regedit.exe de Microsoft y accediendo a la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
...Para posteriormente editar el valor llamado "Path", el cual contiene las rutas.
¿Que hacer si CMD.exe NO existe?
En caso de que no estés utilizando una edición Windows XP "morralla", es decir, en caso de que estés usando una copia de Windows XP sin modificar entonces deberías tener guardada una copia del arcihvo CMD.exe en el directorio donde Windows almacena las copias de seguridad de sus archivos legítimos (WinSXS)
Puedes intentar restaurar dicha copia de forma automatizada realizando un análisis de integridad de los archivos legítimos de Windows, con el siguiente comando, en consola:
SFC /SCANNOW
Quizás sea una tontería puesto que supuestamente no existe o simplemente no encuentras el modo correcto de iniciar la consola,
entonces, puedes intentar restaurar la copia original del archivo CMD.exe copiándola directamente del directorio C:\WinSXS (ház una búsqueda recursiva para encontrar el archivo)
Si por cualquier motivo no encontrases el archivo CMD.exe, una solución efectiva sería instalar una máquina virtual (ej: Oracle VirtualBox) con Windows XP, y copiar el archivo CMD (C:\Windows\System32\Cmd.exe) desde el SO virtual al SO huesped.
Saludos
Gracias por contestar Mr. B14cK, pero exactamente que resultado tendra eso?, y Elektro si tengo el archivo cmd.exe, agrege la variable que mencionaste pero sigue sin aparecer la ventana :-\
Cita de: You-and- en 28 Octubre 2014, 03:11 AM
Gracias por contestar Mr. B14cK, pero exactamente que resultado tendra eso?, y Elektro si tengo el archivo cmd.exe, agrege la variable que mencionaste pero sigue sin aparecer la ventana :-\
No soy Mr. B14cK pero te comento que ese script es para quitar el virus "amvo"
(excelente que hayas preguntado antes de ejecutarlo)
Porfavor es posible que alguien con windows xp me pase su msdos?, lo necesito urgentemente.
Cita de: You-and- en 29 Octubre 2014, 19:51 PMPorfavor es posible que alguien con windows xp me pase su msdos?, lo necesito urgentemente.
Porfavor, utilicemos la teminología correcta, la CMD no es MSDOS.No estoy en contra de la petición que haces, pero ¿que problema encuentras para instalar Oracle VirtualBox y luego instalar Windows XP para hacerlo tú?, si no entiendes cómo hacerlo pregunta.
Saludos
Creo que fui claro al comentar que el problema no es el cmd, si no la consola msdos, en fin gracias por las respuestas.
Cita de: You-and- en 31 Octubre 2014, 00:42 AM
Creo que fui claro al comentar que el problema no es el cmd, si no la consola msdos, en fin gracias por las respuestas.
Desde yá hace varias versiones de Windows, el "MS-DOS" no se encuentra "suelto" como antaño, en XP tienes una especie de interface parecida en funciones llamada CMD, no hay más. (Consola de comandos)
Si te has cargado algo habra sido en el Sistem32, por lo que deberias restaurar el sistema desde el disco original de Windows.
NO hay MS-DOS suelto para añadir al XP. :P
CitarMS-DOS 6.22 - Última versión distribuida por separado.
MS-DOS 7.1 - Integrado en Windows 95 OSR2 y posteriormente en Windows 98 y 98 SE. Soporta sistemas de archivos FAT32.
A partir de W98 SE, nos pasamos a NTSF, y yá no era operativo el MS-DOS, por lo que se usa la interface CMD.
Saludetes.
No tenia oportunidad de contestar espero te pueda ayudar en algo
¿Ya verificaste que efectivamente en C:\Windows\System32 se encuentre o no el archivo cmd.exe?
¿No se encuentra?
Pide a alguien con la misma versión de windows xp te lo pase
Descarga el disco de windows xp de tu versión y encontraras un archivo que se llama cmd.ex_ lo que tienes que hacer es expanderlo en la carpeta C:\Windows\System32:
expand D:\cmd.ex_ C:\Windows\System32\cmd.exe
¿Si se encuentra?
Entonces ayudaria mucho que nos indicaras qué mensaje te aparece, porque pudiera aparecerte un mensaje que dice que fue deshabilitado por el administrador.
O tambien al ser un falso positivo el antivirus lo puso en cuarentena o evite su ejecución, por lo que ahí seria otra solución.
Gracias a todos por responder, ya esta solucionado, al parecer el avast envio el archivo al baul, lo exclui y anda todo perfecto, ya pueden cerrar.
Cita de: You-and- en 31 Octubre 2014, 19:50 PMGracias a todos por responder, ya esta solucionado, al parecer el avast envio el archivo al baul, lo exclui y anda todo perfecto, ya pueden cerrar.
Si un AV te ha detectado como posible virus un archivo que se supone es legítimo de Windows (CMD.exe) entonces lo que has hecho no es una solución, añadir una regla de exclusión es empeorar las cosas.
Copia los archivos infectados desde una máquina virtual o desde el directorio WinSXS al directorio correspondiente (...\System32); ya se te ha dicho varias veces, no hay más que hablar.
Saludos