Skip to content

Cómo eliminar virus ckvo0.dll (y otros virus DLL’s)

noviembre 12, 2008

windowsSobre este procedimiento

Esta guía es complementaria a otra publicada anteriormente bajo el título “Cómo eliminar virus troyanos provenientes de memorias USB”, ya que el procedimiento ahí descrito no borra los virus que corren como DLL’s.

Esta guía, al igual que la anterior, no es 100% exacta y requiere de un cierto grado de experiencia y, si se puede, una pizca de sentido común. Y con ese toque de sentido común es que se puede adaptar el procedimiento a otros virus DLL’s.

Aplica para Windows 2000 en adelante.

Qué hace este bicho

  • Para empezar, está encriptado. Además, es polimórfico y puede alterar su estructura.
  • Se crea y se borra del disco como si se tratara de un proceso.
  • Está registrado como una Librería de Ligas Dinámicas (DLL).
  • El proceso se cuelga de otros procesos en ejecución, de forma tal que puede tomar control del equipo, o bien almacenar las teclas presionadas, los movimientos del mouse y las pantallas abiertas.

Qué otros nombres puede tomar

  • CKVO1.DLL
  • 77691617.DLL
  • 11632453.DLL
  • 13819925.SVD
  • E016A47A3ECD6D990AC223F006F87A30.DLL
  • CKVO2.DLL
  • 94416381.SVD

Bueno, y cómo eliminarlo de mi equipo

1. Desactive temporalmente la función de Restaurar Sistema de Windows.

Propiedades del sistema

Propiedades del sistema

Desactivar Restaurar sistema

Desactivar Restaurar sistema

2. Actualice su antivirus. Reinicie el equipo en Modo Seguro (a Prueba de Fallos) presionando la tecla F8 al arrancar Windows. Entre con la cuenta de Administrador.

3. Detenga los procesos de los archivos del virus ckvo0.dll si puede encontrarlos en el Administrador de Tareas.

Administrador de tareas

Administrador de tareas

Lo más probable es que no los encuentre ahí, así que entre a la Consola… perdón, a MS-DOS, y escriba el siguiente comando para ‘matar’ los procesos abiertos que empiecen con ‘ckvo’:

taskkill /f /fi "MODULES eq ckvo*"

4. Elimine los archivos de su disco duro. Cada archivo se borra en dos pasos. Primero le quitamos los atributos de protección (-s = no de sistema, -r = no de solo-lectura, -h = no oculto) y le damos el atributo de archivo (+a). Segundo, lo borramos como un archivo normal:

attrib -s -r -h +a c:\windows\system32\ckvo*.*
del c:\windows\system32\ckvo*.*

Por cierto, estos archivos suelen ocultarse cambiando sus atributos a SHR para no ser vistos en el Explorador ni con un comando dir. Para localizarlos utilice el comando attrib *.*. Los que tengan atributo SHR son candidatos a virus.

5. Borre del Registro cualquier referencia al archivo ckvo*.*. Para esto le recomiendo utilizar un programa limpiador de Registro: Eusing Free Registry Cleaner (o el que quiera, pero no CCleaner ya que su limpiador de Registro solo limpia ‘por encimita’, no limpia: sacude).

6. Borre todos los archivos temporales de Internet Explorer. Aquí sí puede usar CCleaner.

7. Use el antivirus de su preferencia para revisar su equipo. Elimine los virus encontrados.

8. Reinicie su equipo.

9. Vuelva a activar la función de Restaurar Sistema de Windows.

Tomado (vagamente) de:

10 comentarios leave one →
  1. Antonio permalink
    diciembre 9, 2008 12:15 pm

    Por que no simplemente pasar un antivirus efectivo como el nod32 o el karpesky en vez de hacer todo eso .
    ¿O es que dichos antivirus no pueden eliminar los virus provenientes de memorias usb?

  2. proteo2000 permalink*
    diciembre 9, 2008 1:36 pm

    Hasta donde he podido comprobar, los antivirus resultan efectivos para eliminar los archivos ejecutables infectados. Sin embargo muchos fallan en otras tareas adicionales y vitales para remover efectivamente los virus:

    1. deshabilitar la función de Restaurar Sistema
    2. eliminar procesos víricos en ejecución (o sea, en memoria),
    3. detectar archivos autorun.inf víricos,
    4. limpiar el Registro.

    El punto 1 es tarea del administrador, los restantes podría hacerlos un buen antivirus de paga. Pero aún si ese antivirus realiza esas tareas, de todas formas es conveniente saber hacerlas a mano para comprobar la efectividad del proceso de remoción de virus. Es decir, no puedo decir “usa el Karspersky” sin decir cómo comprobar si el antivirus hace bien su trabajo.

  3. sandro permalink
    enero 30, 2009 9:41 am

    hola en mi maquina tengo un troyano me a bloqueado el restaurar sistema y no me deja entrar a modo seguro que debo hacer debo formatear la maquina por que mi antivirus no lo detecta pero en otra maquina si como puedo hacerlo para pode elimar este virus por que es untroyano

  4. proteo2000 permalink*
    enero 30, 2009 6:42 pm

    Si no quiere formatear su equipo tendrá que arrancar con su equipo con algún LiveCD con software para hacer respaldos de su información y para buscar virus en tu sistema, probablemente un rootkit.

    Le sugiero descargue el SystemRescueCD de su sitio oficial: http://www.sysresccd.org. Descargue el disco en formato ISO, quémelo y úselo para arrancar el sistema en lugar de hacerlo con el sistema operativo de su equipo. Siga las instrucciones y busque el software antivirus (ClamAV) para revisar su disco duro. Si persisten las molestias consulte a su gurú de cabecera.

  5. troyano permalink
    marzo 26, 2009 2:05 pm

    manga de re culiados no dan una puta soluciion!!

  6. miki permalink
    julio 12, 2009 7:58 pm

    tengo un troyano que cuando que se llama por NMDFGDSO.DLL y esta en windows/temp/NMDFGDSO.DLL y cuando abro mi messenger se cierra automaticamente, cuando abro cualquier messenger se cierra solo, hago todo eso? pero como hago para encontrar ese virus o archivo en ese precedimiento? porque cuando buscp en la carpeta de windows/temp no consigo el archivo que tiene el virus

  7. proteo2000 permalink*
    julio 13, 2009 7:29 pm

    Miki:

    El virus que menciona es un troyano conocido como W32/Magania. Para eliminarlo existe una herramienta gratuita que puedes descargar desde http://www.softpedia.com/get/Antivirus/W32-Magania-Trojan-Cleaner.shtml. También le invito a consultar el artículo https://infoaleph.wordpress.com/2009/03/19/drweb-livecd-cazar-virus-de-windows-desde-linux/ de este mismo blog.

    Suerte.

  8. ana cañete corrales permalink
    noviembre 21, 2009 7:08 am

    Mi pc se mueve solo de arriba abajo,los anti virus avant yspiwarefighter dicen que no hay virus.gracias

  9. proteo2000 permalink*
    noviembre 22, 2009 6:52 am

    Ana:

    ¿A qué se refiere cuando dice que su PC “se mueve sólo de arriba abajo”? Supongo que quiere decir que su PC funciona de manera limitada pero no estoy seguro. Lo que sí entiendo es que sospechó que el problema fue de virus y aplicó dos “antivirus” (ahora explico el por qué de las comillas).

    No encontré en Google nada sobre un “Avant Antivirus” pero sí sobre un “Avast! Antivirus” así que supondré que se refiere a éste. Sucede que los programas antivirus sirven para detectar y -muchas veces- eliminar virus en nuestras computadoras. Sin embargo, los antivirus generalmente fallan a la hora de buscar “spyware”; para eso utilice programas especializados como “Spybot Search&Destroy”, “Lavasoft Ad-Aware” y “Malwarebytes’ Anti-Malware”. Puede descargar estos programas desde un sitio seguro como Filehippo.com ó bien Download.com.

    Con respecto al “Spyware Fighter”, al parecer el programa es un tipo de “Rogue Software”: un programa espía (spyware) disfrazado de anti-spyware, siguiendo una vieja tradición troyana (en realidad sería una tradición aquea… pero estoy divagando). En fin, el “Spyware Fighter” aparece en la posición 650 del “Listado de Falsos Antivirus / Falsos Antispywares / Rogues” actualizado al 1/Sep/09 por el foro de InfoSpyware.com y que puede consultar en http://www.forospyware.com/t5.html

    Saludos

Trackbacks

  1. Cómo eliminar virus troyanos provenientes de memorias USB « infoALEPH

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: