Eliminando cvasds1.dll – no abre windows live messenger

malwareglobHoy recibi un usb, por respetar la amistad le digo que use la pc.
Observo mientras tanto… reconoce el USB y con un doble click su USB y boom se abre una ventana, dije VIRUS!!! y resulto ser muy grave, los antivirus no lo detectaban ni lo tomaban en cuenta. Ahora iba usar messenger y boom error saliendo un mensaje clasico de error con algun modulo de memoria asi que era grave este tipo de errores son explotados para muchas veces romper la seguridad de nuestro sistema operativo, tipico de un troyano :)

crash1

Bien manos a la obra, en esta ocacion el proceso no lo sabemos ya que el error esta asociado a un .dll que no tiene nada que ver con el messenger. observamos la unidad usb y veamos que tipo de espcimen han instalado a nuestra PC :)

h:\>attrib
SHR C:\mb9x.exe
SHR C:\autorun.inf

bingo el clasico autorun, parece curioso que un autorun no sea detectado por el AV. y esto se debe a que hay tecnicas de ocultar o hacer indetectable a un virus por ejemplo cambiando sus flags. Asi que a veces uno se rompe la cabeza preguntandose por que no detecto un clasico autorun argg!!!

bien veamos que tiene este inofensivo archivo

h:\>edit autorun.inf

open=mb9bx.exe

Ahora si tenemos un poco de info, asi que tratamos de quitar atributos

h:\>attrib -r -s -h mb9bx.exe

bien todo funciono y despues de 5 segundos vuelve a recuperar sus atributos. Asi que no trabaja solo veamos entonces los temporales

De seguro en ejecutar no observaremos nada malaiciso asi que vayamos a ver desde una terminal:

c:\>cd DOCUME~1\ADMINI~1\CONFIG~1\Temp
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp>attrib
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds0.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds1.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\herss.exe

wow 3 virus mas asi que quitar attributos y a borrarlos :)

attrib -r -s -h cvasds0.dll
attrib -r -s -h cvasds1.dll
attrib -r -s -h herss.exe
del /f /q /s /a cvasds0.dll
del /f /q /s /a cvasds1.dll
del /f /q /s /a herss.exe

Bien en el caso de cvasds0.dll no se va a eliminar ya que es el file principal para su funcionamiento asi que con las demas este ya no tiene efecto en nuestro sistema (despues eliminaremos). Ahora eliminaremos autorun.inf y mb9bx.exe

En mi caso al hacer attrib ya no figuraba mb9bx.exe asi que me da a entender que debia estar asociad a una de las dll’s. Pero el autorun.inf si que no se borrara facilmente ello se debe que este usando el registro para autoregenerarse asi que veamos el registro

windows + r –> regedit

buscamos y borramos las siguiente cadena:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
cdoosoft = “%Temp%\herss.exe”

Borramos todos los temporales (windows + r –> %temp%) posibles y reniciamos la PC, y si preguntan que pasa con el autorun.inf y cvasds0.dll eso viene despues.

Bien una vez dentro del sistema borramos el cvasds0.dll ya sea desde ejecutar o terminal Ahora borraremos autorun.inf de todos las unidades que tengamos en mi caso lo hago de esta manera:

@echo off
cd \
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
d:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
e:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
pause>null
exit

este script la edito en notepad y luego la guardo como file.bat

y por ultimo esta infeccion a cambiado algunas propieades de nuestra pc, si se an dado cuenta no pueden ver archivos ocultos desde opciones de carpeta :)

Modifiquemos lo modificado :) en regedit:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0×00000000

entonces el valor dword la cambiaremos a 1:

CheckedValue = 0×00000001

Para ello una vez ubicado en la cadena anteriormente comentada damos un enter en checkedvalue y el 0 modificaremos por 1

Bueno con esto ya estamos un 80 % sin este molesto virus :)

Luego ire agregando informacion adicional ya que esta infeccion tiene muchas cadenas modificadas, esperemos que no sean graves :)

Ah por ultimo ya estamos en windows live messenger charlando con unos amigos ;)

40 Comentarios

  1. hola amigo tengo problemas con ese spyware y la verdad que nesecito que me ayudes con el por que no entiendo mucho lo que posteaste :(

    aca esta mi mail anotalo y ayudame Estebanmendoza92@hotmail.com

  2. muy xuxon muxas gracias me sirvio de mucho ahora si

  3. hola! muchas gracias amigo! muchas miesmo! spy brasileño y estaba con problemas con este spy. ahora estas todo bien! gracia, gracias…

  4. ops… un desacierto “soy brasileño” al enves de “spy brasileño” xoxoxo

  5. si pusieras eso paso por paso te lo agradeseria sabes no se que demonios es lo que dices

  6. hola amigo. no se mucho de informatica, pero tengo este virus en mi pc: c:\mb9x.exe. no se como eliminarlo; tengo el kaspersky internet security (kis), lo detecta, lo elimina, pero sigue apareciendo para ser nuevamente detectado por el kis. agradeceria que me puedas ayudar. mucha suerte.

  7. muchas gracias esto me ayudo a quitar varios virus pense que era el messenger

  8. Gracias!!! No sabia como recuperar la cadena de las carpetas ocultas. Espero la inf adicional.

  9. Perdon por no responder rapido, tuve problemas con la señal inalambrica :)

    Bueno Ender Gonzalez ahi te agrego :)

    erick esta paso a paso. lo mas importante es borrar los temporales seguidamente eliminar rastros en el registro.

    Kintin mm tienes que eliminar primero los temporales y en el registro trata de eliminar a herss. y al final podras eliminar a csvc0.dll que es el mas molesto de eliminar.

    Vyktor recien me ponmgo a ver ya que hay modificaciones en el cdaudio.sys poniendo en riensgo de quedar sin audio, o pienso que este tratndo de dar un volcado de memoria para que nos apareca una pantalla azul, por el momento sigo viendo si estoy en lo correcto.

    Saludos a todos los lectores, muy pronto mas ayuda y pensando sacar un manual basico de deteccion de virus sin necesidad de antivirus ya que algunos pasan por alto :)

  10. Problema resuelto!

    use el far manager y entre en windows a prueba de errores y borre absolutamente todo sin dejar rastro y la pc se curo ;)

  11. Muuchas gracias!!! pude eliminar el c:\mb9x.exe. pero fijate que no pude con los autorum porque me pide permisos. ¿qué puedo hacer? Ah! algo más, al borrar la cvasds0.dll despues me dice que el sistema tiene errores, ¿qué puedo hacer?
    ndiaz_flores@yahoo.es es mi e-mail te agradeceria si me ayudas con lo de la .dll y los autorum

  12. Como secuela del quedú en c;/ el archivo mb9x.exe, cuando lo eliminé a traves del Commander (para ver los archivos ocultos), el Mess funcionó perfectamente al 100%. Gracias por la ayuda

  13. Hola,

    tengo el problema que señalas en este artículo y veo la solución, pero no entiendo mucho. Supongo que los comandos que ingresas son en MS-DOS. Pero según yo DOS no lee puertos USB, o me equivoco? Ojalá alguien me pudiera ayudar. Muchas gracias,

    Pablo

  14. Ya entendí como hacerlo, y me resultó. Demasiado agradecido!!!
    Saludos,

    Pablo

  15. Gracias por la solución, te debo una, saludos desde Veracruz, México.

  16. Muchas gracias! me has ayudado y efectivamente, despues de esto logre conectarme al messenger

    Sugiero que agreges un archivo bat al final de tu post para la gente q no entiende que pasa jaja(y de preferencia descargable y ejecutable, xq tambien es un poco confuso para algunos eso de ponerlo en bloc y guardarlo como bat), y mira que hay quien quiere correrlo con ms dos y no con mcd x)

    Muy buen aporte!
    Y felicidades! Buscas cvasds0.dll en google y eres el primer post jaja

  17. hey, mira, no podes PASO A PASO explicarlo al correo que dejo adjunto a este comentario.

    tengo este molesto problema y no se que hacer.

    gracias

  18. hey, mira, no podes PASO A PASO explicarlo al correo que dejo adjunto a este comentario.

    tengo este molesto problema y no se que hacer.

    escm.1990@gmail.com

    gracias

  19. hola Parece facil de hacer pero amm cuando intento avanzar a la carpeta de temporales me dice k la ruta no es valida…parece ser k mi KIS se blokeo a causa de este virus… xq ahora cuando intento actualizarlo se traba mi makina y ya tengo k reiniciarla… espero k me puedas ayudar x favor

    te dejo mi mail nazirammstein@hotmail.com

    estare muy agradecido!!!

  20. necesito ayuda urgente con este tema….no puedo iniciar sesion de windows live messenger para dos cuentas de mail pero si acepta otra y como error me bota una pantalla que dice===>
    Windows Live Comunications Paltform ha detectado un error y debe cerrarse…si le doy mas abajito informe de errores me sale===>
    Firma del error:
    App.wlcomm.exe ….. ModName:cvasds0.dll

    no puedo ver archivos adjuntos y lo que describes tiene eso que ver?….encima no entiendo por que me sale ese error solo con dos cuentas de correo y no con la otra….hago lo que dices pero tengo una duda…..si elimino los temp veo que hay infinidad de carpetas dentro…y si las borro luego no se me pondra la pantalla en negro al reiniciar??? ayudame con esto por favor la verdad no hallo como solucionarlo….y esos comandos del principio podrias decirme donde los digitas ????

  21. Bueno despues de tiempos ingreso a ver disculpen.

    CorpseGrinder: te recomendaria desinstalar tu KIS y borrar manualmente virus o usar el malwarebytes que podras encontrar en google.

    enrique: es este modulo: cvasds0.dll. el que esta dandote ese error que no es mas que un virus, pero para que puedas eliminar bien lee bien el articulo para que puedas borrarlo.

    para que puedas ubicarte mejor en el temp y ver archivos ocultos, primero escribe temp en la ventanita de ejecutar ( windows + r ), ahi observaras en la barra de direcciones la ruta de tu carpeta temporal, entonces cuandos abras el cmd te ubicas en el directorio principal, y usas el comando cd seguido de la ruta de los temporales.

    Bien parece estar muy presente en las pc’s, esto ya parece un confincker :)

    Saludos

  22. Señor labspunk, por favor si puedes ayudarme esta todo ahi pero no entiendo para hacerlo es que soy novato, tengo el mismo problema que relataste!!! mi correo es luisja_xd24@hotmail.com

  23. manoooo ayudame soy un poco tapado para las pc mi msn es franciscomk@hotmail.com

  24. ya me esta comiendo la pc y no se como salvarla T.T

  25. Genial, excelente aporte!! despues de seguir los pasos ya no aparecio mas… :P

    saludos!!

  26. OYE ERES LO MAXIMO MEN, HICE TODO AL PIE DE LA LETRA ASI COMO EXPLICASTE Y ME SAFÉ DE ESA PORQUERÍA. TE AGRADEZCO MUCHO, NO SABIA COMO HACER YA QUE YO NO SOY EXPERTO EN PROGRAMACION SIGUE ASÍ.

  27. wei al chile me sirvio un chingo me fue un fastidio pero me sirvio un chingo muchas gracias ese error ya me tenia hasta la mae karnal gracias :D

  28. Hola, he intentado seguir todos los pasos y no consigo borrar el autorun.inf. Puede que mi problema sea algo diferente, ya que en el mensaje de error sale cvasds1.dll, en vez de el cvasds0.dll.

  29. Eres un genio chaval, te agradezco mucho tu aporte, me sirvio muy bie.

  30. AMIGOS AYUDENME TAMBIEN SOY NOVATO LO INTENTE PERO NO PUDE FINALIZAR ALGUIEN QUE ME AYUDE LES DEJO MI CORREO rey_hermoso@hotmail.com

  31. Me funsiono de maravilla y ningun av la dectactavaa uff me diste un gran alivio ia que io utilizoo para tres cosas la pc msn misika y en raras ocasiones la tareaa jujuju ;D sale muxas grx……….

  32. a mi me toco una variante de ese virus, no me creo el archivo mb9x.exe sino el hjvjte.exe y el b00ijwpu.exe dentro de los discos locales y los archivos cvasds0.dll, cvasds1.dll y herss.exe dentro de la carpeta de temporales tal cual lo describiste.
    muchas gracias me resulto de mucha ayuda tu explicacion!
    Saludos!

  33. Busqué información del error cvasds0.dll y encontré esta página :)

    Yo, para solucionarlo más rapidamente entré en mi otra partición en la que tengo Ubuntu:
    - borré los temporales del windows
    - busqué el archivo cvasds0.dll y lo eliminé sin problemas.
    - busqué los autorun.inf y vi las entrañas de cada uno de los autorun.inf (todo bajo ubuntu, claro) vi que habían exes raros, los busqué y los eliminé ;)

    Ahora el Windows me va bien y el messenger también :)

  34. Ah! también eliminé los autorun.inf evidentemente xD

  35. Excelente Aporte. intente con varios antivirus y nada, ahora con unos pasos sencillos esta todo en orden, muchas gracias y espero ansiosamente tu manual para eliminación de virus sin antivirus.

    Saludos.

  36. Excelente procedimiento !!!!!! , impresionante y gracias por la ayuda!!!!!!! FELICITACIONES

  37. Man, muchas gracias, me han funcionado perfecto tus instrucciones. Virus fastidioso muerto.

  38. el kaspersky me detecta el cvasds0.dll y lo elimina y vuelve a aparecer cada minuto no se como se usa tu solucion porque nisiquiera se que programa usas :S soy novato y ojala pudieras ayudarme porque no entiendo gracias de antemano.

  39. Hey!
    Te pasaste!!!
    Muchas gracias… funcionó excelente…!!!!

  40. tioo , un millon de gracias !!! , ya me veia formateando el pc y perdiendo todos mis planos de autocad que tengo que entregar el lunes XD , en serio , muchas gracias tio!; yo la verdad es que se poco de informatica, pero para la gente que no sabe que programa usas y eso, esta usando el simbolo de sistema ( DOS en windows) tienen que darle a inicio–> ejecutar y escribir cmd , para quien sirva la aclaracion. de nuevo muchas gracias por tu post , increiblemente util!


Escribe un comentario

*
*