Hola amigos, bueno como todos sabemos en el mundo de la Informática nos va todo de Lujo, ¿pero qué pasa cuando nuestras maquinas se infectan con los famosos Virus?, pues es el caso de muchos amigos, y peor aun si somos Encargados de Administrar una RED de Computadoras. Bueno, pues, ahora me tomo este tiempo para escribir un pequeño tutorial sobre COMO ELIMINAR ESOS VIRUS, esperando que sea de mucha ayuda para todos, paso a detallarlos sin antes pedirles por anticipado las disculpas si hay Errores de Ortografía.
Este manual detalla cómo eliminar los más famosos virus propagados por memorias y redes, úsenlo preferentemente acompañado de un experto para evitar daños colaterales por el mal uso o los errores, puesto que los errores de este pueden conducir a el mal desempeño de la Pc.
Las preguntas las estaré contestando mediante Mensajes, o en el caso más posible mediante el FaceBook , bueno vamos a eliminar el siguiente Virus.
CORREGIR USB INFECTADO.
Bueno, este problema las eh visto con frecuencia en un 70% de las USBs que tienen las personas con las que regularmente trato.
Bueno este virus Oculta las carpetas que contiene un USB y en su Lugar crea Carpetas con el mismo Nombre pero como Acceso Directo que en realidad tiene la extensión .EXE , y sin querer las ejecutamos y por supuesto ya estamos infectados, bueno aquí las soluciones.
1. Ejecuta la consola de comandos.
2. Entra al nucleo de la Unidad Usb. ( e:enter)
3. Digita Attrib /d /s -r -h -s *.* enter
• Attrib: Para visualizar o modificar atributos
• /d: Para poder procesar carpetas
• /s: Para poder procesar subcarpetas
• -r: Quitar atributos de solo lectura
• -h: Quitar atributos de oculto
• -s: Quitar atributos de sistema
• *.*: Para archivos de cualquier nombre, con cualquier extensión.
y listo, nuestro usb nuevamente libre, ahora eliminamos manualmente esos accesos directos eso es todo amigos.
PARA MAS EXPLICACION.
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]
+ =Activa un atributo.
- =Desactiva un atributo.
R =Atributo de sólo lectura
A =Atributo de archivo.
S =Atributo de sistema.
H =Atributo de archivo oculto.
/S =Procesa todos los archivos en todos los directorios de una ruta especificada.
/D =Procesa los directorios también.
ELIMINAR VIRUS RECYCLER
1. Abrir una consola de comandos (cmd.exe) (y mantener abierta)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe (ctrl+alt+sup y eliminar proceso explorer.exe)
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa (aaaaaa es el nombre de la carpeta)
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe. (desde la consola cmd)
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}.
ELIMINAR VIRUS SISTEM VOLUMEN INFORMACION
eliminar si en el registro de windows
es posible que si no lo encuentres reiniciar en modo prueba de errores y usar un programa especial para eliminar como por ejemplo killfyle u derivados, antes de todo prueba buscando los archivos con el clasico buscador de archivos de windows, y eliminarlos, ahora axclaro con negrillas crea un punto de restauracion de el sistema la actualizacion de este virus asocia su contenido con el sistema de arranque, para eliminarlo en este caso se usa el avast antivirus scan, aquí les va la ruta de estos agentes maliciosos.
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0016808.sys
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0016821.sys
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0017857.dll
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0018669.dll
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0018679.dll
F:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0018728.dll
F:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-B801CDB321CC}\RP31\A0018729.sys
ELIMINAR THUMBS.DB
son pequeños archivos (bases de datos) que actúan como caché para las miniaturas del explorador de Windows. Algo muy molesto de esta implementación es que habrá uno en cada carpeta que haya algo visualizable, como una imagen, video, pdf, etc… Además, aunque es un archivo oculto, Windows lo gestiona de una manera bastante tonta: por ejemplo, si comprimimos una carpeta en un archivo zip, lo más probable es que se nos haya guardado al menos un Thumbs.db, algo que, evidentemente, no nos sirve para nada en ese archivo.
Pero existe un pequeño truco para que Windows no genere esta clase de archivos:
1. Vete hasta el Panel de Control (Inicio-> Panel de Control)
2. Elige Opciones de Carpeta, si estás en la vista clásica. Si no estás en esta vista cámbialo.
3. Ve hasta la pestaña Ver.
4. En la lista que te aparece, vete hasta abajo del todo, marca No alojar en caché las vistas en miniatura y dale a Aceptar.
y ya está, ya puedes decirle adiós a los pesados (no de tamaño) archivos Thumbs.db. Con esto ya no se generarán más, pero tampoco borra los anteriores, que seguirán ahí. Por cierto, este sistema se creó para poder previsualizar carpetas de forma rápida, así que si lo deshabilitas, puede que navegues por los directorios un poco más lento, sobre todo si estás viendo alguna carpeta con la previsualización activada.
COMO ELIMINAR KHR
Removerlo Manualmente.
Primero es conveniente desconcetar las máquinas de la red, siempre y cuando esto sea posible dado el tamaño de la organización.
Matar el proceso csrcs.exe ( ojo, no confundir con csrss.exe que es de Windows )
* Eliminar el archivo csrcs.exe de la carpeta System32.
* Eliminar el archivo autorun.inf de la misma carpeta, y del raiz de los discos y existiera.
*Eliminar los archivos khs y khr del raiz de los discos, si existiera.
*Abrir el editor del registro (ojo, pueden dejar fuera de operación Windows si cambian algo indebido, no apro para principiantes, buscar csrcs.exe.
*Borrar del registro las llamadas a este proceso, salvo en una llave donde aparace como valor asignado a una clave junto a explorer.exe, es decir el valor de la clave será "Shell= Explorer.exe csrcs.exe" . En este caso editar la clave y dejar solo Explorer.exe.
*Buscar tambien en el registro la sección "Mountpoints2". En esta sección se encuantran los puntos de montaje, entre otros, de las unidades de red. Por ajemplo "#server#F", que indica la existencia de una unidad de red mapeada a "\\server\F". Verifique que no existan clave shell, open o run apuntando a un archivo exe de la unidad de red, si existe borrenlo.
*Deshabiliten la autoejecución para las unidades de CD y USB. Pueden hacerlo por políticas (ejecutando gpedit.msc): Directiva de equipo local, configuración del equipo, plantillas administrativas, sistema, Desactivar reproducción automática. Deben habilitar esta política y aplicarla a todas la unidades. Cierren gpedit y fuercen la aplicación de las políticas (ejecutando gpupdate /force)
*En este punto, convendría reiniciar el equipo, conectarlo a la red pero no acceder a ningun carpeta fuera de nuestra PC hasta no actualizar el antivirus y escanear la máquina.
Luego de hacer esto en todas las máquinas, verifiquen que no se hayan creado en los share los archivos de infección, y borrenlos si están allí.
Con esto deberían quedar limpios nuevamente!
ELIMINAR VIRUS AUTORUN.INF
1.- bloc de notas
esta es la ruta a seguir Inicio/todos los programas / accesorios/ bloc de notas
2.- el dispositivo a desinfectar.
Pasos
1.- lo primero que haremos es ir al bloc de notas... (ya la ruta la di anteriormente).
2.- bueno una vez abierto el bloc de notas
haremos lo siguiente :
lo dejamos en blanco todo.
3.-ahora le damos en guardar como:
le damos en tipo de archivos Todos
y le ponemos como nombre autorun.inf
y le damos guardar... (en mi caso lo guardo en el escritorio por la comodidad de tener el archivo a la mano)
4.-una vez que tenemos el archivo le damos copiar.
y ahora nos dirigimos a la unidad infectada.
5.-lo que haremos es pegarlo en la unidad infectada
claro que nos saldra un aviso diciendonos... ya existe un archivo autorun.inf desea remplazarlo?
pues le damos si!
6.-ahora entramos a la unidad, no te preocupes si te sigue saliendo ese mismo cuadro de abrir con.
7.-buscamos el autorun.inf y lo eliminamos
8.-Luego reiniciamos nuestra Pc... y veran que ese molestoso cuadro ya no aparece mas.
Importante
este ultimo metodo sirve para eliminar tanto estos molestosos autorun.inf , como cualquier virus, etc
solo es cuestion de remplazarlo por uno que no tenga codigo malicioso, (osea en blanco)
Lo crean con la misma extension(.inf) en el bloc de notas y listo!
ah eliminar virus que son imposible de ELIMINAR para algunos ANTIVIRUS…
Bueno, aquí termino el proceso de eliminación de los mencionados Virus, ahora paso a escribir los TIPS de soluciones Prácticas para los Problemas frecuentes también provocados por los VIRUS.
Hay un gusano llamado "Nueva_carpeta", te crea carpetas idénticas a las que tenías con extensión .EXE (son virus) y tus carpetas originales las oculta.
Para la solución Sigue los siguientes pasos:
1. Cuando prendas tu PC, antes que salga el logo de Windows, presiona F8 mas de una vez, y carga una pantalla negra de la cual eliges "MODO A PRUEBA DE FALLOS".
2. Ejecuta el Matavirus, trata de ver si estan las carpetas ocultas de tu USB.
3. Inicia el Administrador de Tareas (Ctrl + Alt + Supr). Si no puedes iniciar prueba lo siguiente: Inicio - Ejecutar y escribes GPEDIT.MSC, presionas Enter, eliges "Plantillas Administrativas", doble clic a "Sistema", doble clic a "Opciones de CTRL + ALT +SUPR", click en "Quitar administrador de tareas" y luego de deshabilitar aplicamos cambios. Iniciar nuevamente el administrador de tareas y verificar la ficha Aplicaciones, eliminar aplicaciones sospechosas ( como spshj.exe), en la Ficha Procesos seleccionar el proceso Nueva_carpeta.exe y clic derecho y elegir finalizar el árbol de procesos.
4. Eliminar manualmente de todos los discos incluidos usb las carpetas cuya extension sea .EXE, borrar la carpeta Recycler y Nueva_Carpeta.exe
5. Para recuperar archivos ocultos por el virus .. Inicio - Ejecutar, escribes CMD, luego ahi digitas.
attrib -a -s -h -r C:/*.* /s /d
attrib -a -s -h -r D:/*.* /s /d
attrib -a -s -h -r F:/*.* /s /d
donde C y D son discos duros locales y F la unidad USB (si tienes mas usb serán mas letras)
6. Ejecutar el CCLEANER (descargalo de Internet) y en la opcion Limpiador marca todo los checks, y en la opcion Registro puedes corregir los daños causados por el virus.
7. Entra a Inicio - Ejecutar, escribes MSCONFIG y enter. En la ficha Inicio desmarca las entradas de los virus.. ahi mismo puedes ver su ubicación y borrarlos manualmente. Aplicar y reiniciar.
8. Dejar que cargue normal el sistema (sin presionar f8), y repetir los pasos 3,4,6.
9. Te recomiendo este antivirus: ESET SMART SECURITY 4 (No el NOD 4 que no ayuda en nada), SIN CRACK, los seriales los puedes encontrar en los foros, descargalo y ACTUALIZALO, y pasale a tu compu con tus USB. Vas a sorprenderte con los virus que encuentra.
10. Repite los pasos 2, 6 y 7.
ESPERO LES SIRVA, de seguro se habrán topado con este tipo de Problema sobre todo en las USB, pero con estos Tips los podrán solucionar. Ahora paso a la siguiente:
Ese virus que crea carpetas es el virus llamado images.exe... te ofrezco las siguientes alternativas.
Si te das cuenta, el virus crea carpetas con el mismo nombre de la carpeta que lo contiene, pero si te das cuenta los bordes de esta carpeta son distintos a los del Sistema Operativo, y si pasas el puntero del mouse por estos veras que tienen la extension .exe --- Por nada hagas doble clik en esas carpetas, y si ya lo has hecho entonces el virus esta ejecutándose... un modo de eliminarlos y el más eficaz es MANUALMENTE,. los antivirus solo logran borrar algo del virus pero no corrigen problemas que dejan en el registro. Lo que debes hacer es lo siguiente:
COLOCA TUS USB, MEMORIA DE CAMARA, MP3, MP4 EN FIN... PARA BORRAR LOS VIRUS DE TODO LO QUE TENGAS DE GOLPE.-.
PRESIONA CTRL + ALT + SUPR y se muestra el cuadro Administrador de Tareas de Windows, click en la ficha PROCESOS, y busca los procesos images.exe (pueden haber varios de esos) y sisteM.exe ojo con M mayúscula al final, dales clik derecho y elige la opción FINALIZAR ARBOL DE PROCESOS ya que esto desactiva todos los archivos incluidos ocultos que necesita el virus para correr...
Una vez hecho esto, entra a todos tus disco duros (c, d, e,..F, G, K) y busca el archivo images.exe y bórralo con SHIFT + SUPR, y luego entra a cada carpeta que tengas en tu disco y busca la carpeta repetida que tiene los bordes distinto a una carpeta normal y también bórrala con shift +supr... es la forma más práctica, o busca desde la Raiz de la misma Unidad de la que deseas eliminar con el BUSCADOR DEL MISMO WINDOWS y asi eliminar todo a la Vez.
AHORA, QUE PASA SI AL PRESIONAR CTRL + ALT SUPR no salió el cuadro administrador de tareas porque estaba bloqueado....??
ESTOS PASOS QUE TE VOY A PONER DEBES HACERLOS SI O SI, ASI TE SALGA EL ADMINISTRADOR DE TAREAS O NO...
Generalmente el virus images.exe se transmite via USB, y altera el registro de Windows, y también va de la mano de otro virus denominado AMVO o variantes... un virus que deshabilita el administrador de tareas, no muestra los archivos ocultos, en fin te hace un lio tu PC...
Existe un Script denominado MATAVIRUS hecho por la empresa MyGeekSide.com.. En qué consiste? bueno es un script que trabaja con múltiples opciones del registro de Windows... es decir, primero deshabilita los virus que están en el registro, en el system32, etc... si son principiantes bajen del internet y ejecutalo... seguramente te vas a dar con una sorpresa que te encontró en todas tus unidades algunos virus...
dale click a los cuadros de aceptar que salen esperas un momento y finalmente te manda un mensaje que te dice que tu pc esta desinfectada.....
Ahora si chekeas los discos duros,.. Pues ya se pueden ver los archivos ocultos...
dale click a tu disco C... ojo esto es para los que tienen más conocimientos de computacion...
seguramente ahora ves los archivos ocultos en tu disco C y son varios, por favor mucho cuidado porque si borras uno de estos puedes tener problemas con tu sistema operativo.... en tu disco c existen dos cuadritos blancos con borde superior azul llamados autoexec y ntdetect (para el windows xp) , estos no los borres por nada.... pero si ves otro cuadro igualito a estos con nombres como lgw, jhwww, o algo asi, esos son virus !!! que gracias al matavirus estan deshabilitados, pero no eliminados, por lo tanto bórralos manualmente con shift + supr... esto hazlo tambien en tu disco D y todas tus Unidades.
ahora busca una carpeta llamada Recycler en tus discos duros ( estos procesos ya lo tratamos más arriba, pero recordemos de otra manera )... esta carpeta es propia del sistema operativo, pero generalmente ahi se guardan los virus.. borrala con shift + supr de todas las unidades,
ojo : procura hacer esto con tus usb puestos, ya que asi puedes desinfectar tus usb tambien---
verifica tu USB.... un USB nunca por nunca debe tener carpetas o archivos ocultos.. a menos que tu hayas ocultado intencionalmente uno...
busca en tus USB si existe la carpeta RECYCLER., o un Autorun.Inf... borrralos definitavemnte con shift+ supr....
bueno ahora si tu makina esta libre de virus... pero lo que tienes que haces es importante....
pasale un antivirus actualizado a tu makina.... por ejemplo el panda version completa, o el avast, en fin... aki recien funcionan bien ....
Pero también el registro ha sido considerablemente afectado por los virus... por lo cual búscate el programa Registry Mechanic version 8 de la empresa Pctools, es una herramienta util y poderosa para corregir tu registro kisas dañado o alterado por los virus...
finalmente ahora que corriges tu registro ya puedes decir que has eliminado los virus... como veras es un proceso largo pero seguro, y como te daras cuenta, el antivirus es simplemente un elemento mas.. si solo utilizas antivirus no podras hacer mucho....
espero que les sirva este posteo... ah y si tiene conexión a internet bájense el programa spyware doctor version 6--- para protegerse de spyware y malware--- bueno de este modo eliminas tus virus.....
Cualquier duda y sugerencia a este post, gracias por darme la oportunidad de Compartirles mi humilde conocimiento y por supuesto seguiré Posteando mas soluciones frente a los problemas más frecuentes con los Virus.
Bueno llegamos al final del tutorial, de esta manera doy por concluido el Post, pues los comentarios y las preguntas las estaré respondiendo con mucho gusto mediante los diferentes medios o con mas seguridad en el
FaceBook , espero sugerencias.
