Actualización 2: El servicio de blogger pudo dañar parte de mis articulos (?) por lo que algunas imagenes pueden estar auscentes.
Cuando un virus nos infecta por lo general bloquea la página principal del navegador y lo vincula a páginas de dudosa reputación, bloquea las opciones de carpeta y evita que podamos ver archivos ocultos, deshabilita restaurar sistema, entre muchos otros cambios y este es un procedimiento que yo uso para quitar estos virus recuperando todas los funciones del sistema operativo.
Pero no se hagan ilusiones se requiere un cierto nivel de manejo de programas, de otro modo seria igual que explicarle a una pared.
En el caso de una infección sea del tipo que use los discos duros y drivers tipo USB (SMS.exe, AMVO.exe, AVPO.exe, , etc), lo adecuado es desconectar los USB y CDs dentro de la PC.
El borrado del virus es cosa del antivirus, así como de los troyanos, por lo que será a fin de cuentas usted quien deba escanear el sistema operativo, lo que tratamos en el artículo es la reparación de algunos daños ocasionados por estos virus y limitar la viralidad del programa que lo genera.
El mejor antivirus para detectar virus de USB es AVG antivirus 8 versión gratuita aquí esta un artículo con recomendaciones de su manejo: Cómo ajustar AVG antivirus 8 para que detecte virus correctamente.
1.-Controlar la infección, desocultar y borrar al reinicio:
Instale MXone versión residente en PC (Opcional).
Instalar Winpatrol, que dependiendo de la severidad servirá para impedir la clonación de los ejecutables del virus de manera agresiva, esto es manualmente, pues serán ustedes quienes pulsen el botón No, cuando winpatrol detecte un nuevo programa que quiera hacer cambios en el sistema operativo.
Gracias a las funciones extendidas de winpatrol podremos obtener información de los procesos activos y de arranque, ambas pestañas deberán ser auditados y esto es un proceso largo si no se tiene familiaridad con los procesos de Windows. También la pestaña "Ayudantes de Internet" debe ser revisada:
Si tenemos la versión no registrada pues lo mejor será buscar en Internet, y cuando encontremos el ejecutable que esté clasificado como virus, simplemente procedemos a removerlo con la opción Remover:Desocultar, la mejor forma de borrar un virus
Todos los virus por lo general se ocultan y la forma más fácil de eliminar un virus es borrarlo al reiniciar, usando Winpatrol este método es el más sencillo y efectivo:
En algunos casos no servirá con quitarlo de la lista de inicio, por ejemplo, el troyano vb.cxj instala un Archivo C:\autorun.inf, C:\svchost.exe y C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\svchost.exe. El procedimiento de borrado consistió en ir a Winpatrol y en la ficha Archivos Ocultos:Seleccione: C:\autorun.inf, C:\svchost.exe, etc. y con el botón derecho sobre ellos en en menú elegimos "Borrar Archivo al Reiniciar", ojo: todo archivo terminación .exe y .dll, que no este terminado en .manifest, por ejemplo archivo.exe.manifest debe ser borrado de los archivos ocultos, recuerde, sólo aquellos que su nombre sera ejemplo: archivo.exe o archivo.dll.
Reinicie y revise nuevamente los programas de arranque en winpatrol.
*Nota: también se recomienda instalar Analogx script defender, al ejecutarlo pulse el botón Install Intercepts.
2.-Restaurar y/o comprobar el archivo HOSTS:
El archivo HOSTS es un recuerdo arcaico cuando las PC tenían muy pocos dominios a los que conectarse, aunque pareciera que actualmente es inútil, este archivo puede servir para gestionar los dominios que podrán o no conectarse a nuestra PC, por desgracia pueden usarse para darle un acceso total a hacker que usen nuestras PC como parte de su red de zombi.
(El archivo "hosts" se encuentra en la carpeta C:\WINDOWS\system32\drivers\etc y puede ser editado con el notepad)
Si queremos reparar o comprobar el archivo HOSTS al notar un virus en nuestra PC, mediante Winpatrol iremos a la pestaña "Opciones" y pulsamos en:
Se abrirá el bloc de notas, ubicamos 127.0.0.1 localhost y borramos todo parrafo después de este número que no tenga una #, si se desea se puede únicamente dejar 127.0.0.1 localhost y borrar todo lo demás.
Ahora sólo guardamos el archivo pulsando CTRL+G o desde el menú del bloc de nota.
3.-Desactivar reproducción automática
Para desactivar la reproducción automática y evitar así que se ejecute automáticamente el contenido de Autorunf.inf:
1. Pulsar Inicio/Ejecutar...
2. Escribir GPEDIT.MSC y pulsar Aceptar
3. En Configuración del Equipo, abrir Plantillas administrativas
4. Seleccionar Sistema
5. Doble clic sobre Desactivar reproducción automática
6. En la pestaña Configuración, marcar Habilitada y en el apartado "Desactivar reproducción automática" elegimos de la lista "Todas las unidades"
7. Pulsar Aceptar.
Si no aparece la carpeta "Sistema", lo único que debemos hacer es dar clic derecho sobre la carpeta "Plantillas Administrativas" y elegimos del menú desplegado "agregar o quitar plantillas". Aparecerá una nueva ventana de la cual pulsaremos Agregar, ahora elegimos el archivo system.adm (ubicado en la dirección C:\WINDOWS\inf) y pulsamos Abrir y en la ventana "agregar o quitar plantillas" pulsamos cerrar. Hacemos el procedimiento de arriba tanto para Configuración del Equipo, así cómo la configuración del usuario.
Si en algún momento quiere restaurar Reproducción automática, hacemos el mismo procedimiento, sólo que en vez de Habilitar, marcamos Deshabilitada.
4.-Recuperando los accesos a las unidades de disco duro.
Por lo general los virus de USB pegan archivos Autorun.inf en cada driver que puedan infectar, que además ocultan y bloquean esto es un archivo que es encargado de la famosa reproducción automática, que pese a sus beneficios, sus pocas restricciones lo hacen un método ideal para los virus y troyanos.
Para borrar este archivo simplemente lo haremos a ciegas ya que si desbloqueásemos las opciones de carpetas no sabemos si el virus terminará por replicarse.
Advertencia, las USB nuevas vienen con un archivo Autorun.inf, este archivo es esencial para la memoria y se volverá a regenerar cada que lo borremos, con una USB infectada este archivo será el responsable de propagar a otras unidades el virus simplemente conectándolo al PC.
Para borrarlo vamos a:
1.-Inicio » Ejecutar, y escribimos CMD y pulsamos aceptar
2.-Copiamos el siguiente texto:
attrib -s -h -r C:\autorun.inf
Damos clic derecho en la ventana y seleccionamos pegar y luego pulsamos la tecla enter.Hacemos los mismo con:
del C:\autorun.inf /f /q /a
Copiamos y pegamos en la CMD y luego pulsamos la tecla ejecutar, lo hacemos por cada disco que tengamos. cambiando la letra de la unidad por ejemplo; D:\ o F:\
El primer código libera los atributos de autorun.inf y el segundo los borra.
Ojo: Cualquier mensaje de Winpatrol sobre programas que quieran ejecutarse, hay que pulsar en No.
5.-Desbloquear el sistema operativo
RegUnlocker sirve para desbloquear el sistema operativo cuando un virus del tipo USB o Funsearch, se instala en el sistema operativo, lo adecuado es primero combatir la infección y luego aplicar esta solución, de otra manera se volverá al estado anterior:
Descárgalo » - Página del autor »
Ejecute RegUnlocker.exe y siga la configuración recomendada:
Habilite "Realizar copia de seguridad de los cambios realizados":
No realice copias de seguridad, pues por lo general el sistema de backup podría estar infectado:
- Se irá actualizando este artículo según vaya obteniendo referencias de casos en concreto.
- Si presentan problemas y errores favor de mencionarlos en comentarios, se revisarán y corregirán oportunamente.
- Cgnauta Blog no es un servicio de soporte técnico en cualquier caso.
- Este artículo no trata de Windows Vista.
Comentarios y Consultas
Los mensajes serán revisados a veces. No te olvides que soy una persona, no se trata de faltar al respeto, todos tenemos opiniones, no hay que enojarse.
Puedes marcar Notificarme para recibir la notificación de la respuesta.
3 comentarios:
Hola en www.hacha.org, hay un programa xtools, que te ayuda a desbloquear ejecutar, el administrador de tareas y algunas cosas mas, deberian probarlo, es muy util
ResponderBorrarEste blog ha sido eliminado por un administrador de blog.
ResponderBorrarMi hermano muy buen trabajo, me ha servido en algunas cosas con unos gusanos de memorias usb, gracias por el aporte. Tambien se puede revisar el computador con el Combofix de Bleeping Computer, me ha dado buenos resultados en computadores infectados,
ResponderBorrarSaludos,