El post que buscas se encuentra eliminado, pero este también te puede interesar

Eliminar Virus que crea carpeta sin nombre

En algún momento introduciendo un pendriver en el puerto USB se ve atacado por este tipo de "virus" que crea una carpeta con nombre en blanco e introduce todo el contenido del pendriver (además los oculta en la misma) en esa carpeta sin nombre. Luego crea un acceso directo del "nombre de la unidad" para seguir actuando.
Eliminar Virus que crea carpeta sin nombre
Posteriormente crea otro archivo con nombre extraño con extensión "exe".
Se parece un poco a la forma como actúa el virus "recycler" pero no utiliza un archivo con extensión "VBS" para funcionar, entonces es necesario localizar su archivo ejecutable en la PC infectada, pero ¿Cómo lo reconoceremos? ¿Dónde buscar?

Voy a explicar el método que utilicé para elimnarlo de la PC infectada y del pendriver. Lamentablemente no tengo las imágenes del paso a paso porque no era mi PC donde eliminé el virus, por lo que las imágenes que tengo son de referencia.

Lo primero que vamos a necesitar es el programa "HijackThis" lo peden descargar de la página de los amigos de infospyware.
https://www.infospyware.com/antimalware/hijackthis/

Otros programas a utilizar son:
CCleaner y RegSeeker que los pueden bajar de nuevo de nuestros amigos infospyware.
https://www.infospyware.com/herramientas/

Vamos a necesitar un pendriver o memoria que tenga la opción de protección contra escritura. Esto nos servirá para verificar que el virus ha sido eliminado y para saber qué programa está accediendo al pendriver o memoria.

Procedimiento:
1) Para saber si nuestra PC está infectada basta con introducir un pendriver y observar que se crean el acceso directo, la carpeta sin nombre, los archivos "ini" y un archivo "exe" de nombre extraño.

2) Insertamos el pendriver con protección contra escritura, nos debe mostrar un error de "escritura" (lógico ¿No?. JeJe!) pero nos puede mostrar el programa que genera el error, en mi caso fue el archivo: "msiexec.exe". Este archivo es de windows y NO DEBE SER BORRADO, este permite que los programas se instalen en Windows. Por lo que podemos ver, el virus utiliza este programa como instrumento para propagarse (al menos en este caso).
Nota: si el mensaje de error no muestra que archivo es, entonces, debemos presionar las teclas "ctrl + alt+ supr" para mostrar la ventana de "administración de tareas" y observamos la "pestaña" de "procesos". Al introducir el pendriver observaremos el programa (o programas) que se ejecuta y visualizaremos el "instrumento (archivo) de propagación".

3) Ejecutamos el programa: "HijackThis". Este nos mostrará los archivos que se están ejecutando en nuestro PC y que están en el registro de Windows, también nos muestra otros procesos. SE DEBE SER MUY CUIDADOS CON ESTE PROGRAMA, porque modifica el registro del sistema por lo que podría dejar al Windows no muy estable si borra algo indebido. También nos abre un archivo en el Bloc de notas con la mis información.
virus
En esta ventana buscamos cualquier archivo "exe" que esté instalado en la carpeta "nombre de usuario". Por ejemplo:

"Cocuments and Settingsnombredeusuarionombreraro.exe"
"Cocuments and Settingsall usernombreraro.exe"
"C:usuariosnombredeusuarionombreraro.exe"

4) Despues que sospechemos de nuestro archivo, nos vamos a la ubicación del mismo. Encontramos que está oculto (lo cual lo hace sospechoso). Activamos la opción de ver archivos ocultos y de sistema (si sigue oculto lo hace aún más sospechoso). Si no se muestra le debemos elimnar los atributos para ello podemos abrir "símbolo de sistema" y nos ubicamos en la carpeta que lo contiene, luego escribimos:
attrib -r -a -s -h *.exe
Luego presionamos enter y nos debe aparecer el archivo. Si intentamos borrarlo es probable que nos diga que otro proceso lo está utilizando. Por lo que abrimos el "administrador de tareas" (si no está ya abierto) y buscamos el programa que lo utiliza, en mi caso era "msiexec.exe" le ponemos finalizar tarea y listo, ya podemos borrar el archivo sospechoso (virus).

5) Ahora nos vamos al registro de windows y borramos todo las claves que hagan referencia al archivo sospechoso. Para acceder al registro puedes usar los programas: CCleaner y RegSeeker, o el programa de windows "regedit" de modo administrador. Borramos todas sus claves. Luego "limpiamos" el registro usando "CCleaner y RegSeeker".

6) De esta manera se debe haber eliminado el virus de la PC. Para elimnarlo del pendriver se debe proceder de la siguiente manera:
- Eliminamos los archivos del pendriver excepto la carpeta sin nombre.
- Abrimos la consola de windows "Símbolo de sistema" en modo administrador y escribimos el siguiente código:
attrib -r -a -s -h letradelpendriver:*.* /s /d
Donde letradelpendriver es la letra de unidad del pendriver detectada en tu pc, por ejemplo si tu pendriver fue detectado como unidad "H" escribiríamos: attrib -r -a -s -h H:*.* /s /d
Al final del código presionamos enter. Ya podremos acceder a nuestros archivos, los extraemos de la carpeta sin nombre a otro lugar y luego borramos la carpeta sin nombre.

Si algun procedimiento los confunde pueden preguntar.

Anuncios

2 comentarios - Eliminar Virus que crea carpeta sin nombre

Rrum
se podria prevenir creando un archivo sin extencion solo con el mismo nombre de la carpeta "sin nombre" realmente es un caracter " " sale al pulsar Alt+0160, asi el virus no puede mover tus archivos a esta carpeta qeu intenta crear. Se puede hacer algo parecido con el archivo autorun.inf, que usan los virus para autoreproducirse, per oesta ves creando una carpeta con este nombre
megacoyote666 +1
Lo que se busca es eliminarlo de la pc, porque del pendriver se puede eliminar como eliminamos el virus "recycler". Cuando la pc está infectada utiliza el archivo "msiexec.exe" para "reproducirse" en los pendrivers. Y crea un archivo en la carpeta del nombre de usuario, bien el personal o general
Rrum
@megacoyote666 exactamente, solo comentaba que se puede prevenir, me refería a antes de infectarte o despues de limpiar la pc para evitar que pase de nuevo.
En mi caso mi usb se infecto y no me fije e infecte mi pc, cuando me di cuenta busque algun proceso raro en el admin. de tareas lo termine y luego busque en msconfig, aparentemente ya no tuve problemas ( la pc no infecta las usb), no hice mas porque ya casi iba a formatear ya tocaba .
hay un archivito muy útil se lla