El post que buscas se encuentra eliminado, pero este también te puede interesar

Eliminar Virus de Accesos Directos - Virus Crypted

Hola a todos, les doy la bienvenida a este post.


Declaración Legal:
Antes que nada quiero aclarar que los procedimientos que pueden efectuar siguiendo las instrucciones que proveo, las hacen bajo su responsabilidad y me deslindo totalmente de ellas.
Ya que borrar algo del registro de windows que no sea lo que se tiene que o alguna carpeta puede causar que no funcionen las cosas como deberían.

LEER TODO EL POST ANTES DE INICIAR LOS PROCESOS.

A muchos nos ha pasado que hemos llevado el pendrive a algún lugar que tenían la maquina infectada con virus. Luego al conectarlo nuevamente nos encontrábamos con la sorpresa de que el antivirus alarmaba sobre la presencia del código malicioso en la unidad.
En este caso les voy a enseñar como eliminar el virus "Crypted", este hace que cuando conectamos el pendrive o cualquier otra unidad aloje el virus en la misma y luego al volverlo a conectar desaparecerán las carpetas y archivos reemplazándolos por Accesos Directos.

Aquí les mostrare como eliminarlo ya que muchos antivirus no lo reconoce como virus.

Primero

Si te topaste con este virus en tu unidad y le diste click a la carpeta de acceso directo, significa que ya tu maquina esta infectada por que se aloja en los archivos temporales del sistema. Como por ejemplo en mi caso Windows 7. Los pasos que voy a redactar son para este sistema ya que para Xp o Windows 8 Puede ser que se aloje en rutas diferentes.

¿que pasa si borro el virus y vuelve? Bueno seguí los pasos que te indicare y tenes una alta probabilidad de eliminarlo. Depende de que tan inteligente seas para contrarrestar los efectos que causa en el sistema ya que se aloja en varios lados.

PASO 1

Al hacer click el virus se propaga por todo el sistema, esos lugares son:

-Memoria Ram
-Disco Rígido
-Archivos Temporales.
-Inicio de Windows (MSConfig)

Al ver que los archivos del pendrive, que tanto apreciamos por su valor, de trabajo y otros. Lo normal es que apretemos en los accesos directos para ver si fueron borrados y chequear que sigan estando en la unidad. Bueno esto es lo que trata de hacer el virus, JUGAR con la desesperación, ya que puede ser que alojen en el pendrive cientos de horas de trabajos, informes, bases de datos, ETC.

Lo normal es que queden Solo las carpetas y archivos con el incono con una flechita. Como un acceso directo normal.

Eliminar Virus de Accesos Directos - Virus Crypted

(EN ESTA IMAGEN PUEDE VER COMO TRANSFORMA EL VIRUS DE LOS ARCHIVOS NORMALES A ACCESOS DIRECTOS)


PRIMERO DE TODO (ELIMINAR EL PROCESO CREADO POR EL VIRUS EN EL ADMINISTRADOR DE TAREAS)

registro

En este Imagen pueden apreciar cual es el proceso, es el Wscript.exe.

Lo que hacen es eliminar el proceso con el procedimiento que indica la imagen. Finalizar el proceso. Luego re-confirman si sale un cuadro de dialogo.

PASO 2:

Luego de eliminado el proceso lo que tenemos que hacer es ir al pendrive u unidad infectada.
Recomiendo primero eliminar el virus del pendrive y luego pasar al disco rígido por que me parece mas practico.

LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe

Ahora lo que haremos se explica en esta imagen.

2014

Si eres usuario avanzado o tienes conocimientos en MSDOS lo puedes hacer por simbolo de sistema u cmd.

Si no eres usuario avanzado sigue mis pasos.
Paso 2.1
Primero vas a la unidad
Paso 2.2
Ingresas al pendrive, no ingreses a la carpeta u archivo con el icono de acceso directo que esta en la unidad u pendrive.
Paso 2.3
Ingresas a la pestaña organizar (Numerada con el numero 3 en la imagen anterior)
Paso 2.4
Luego seleccionas "OPCIONES DE CARPETA Y BUSQUEDA", abrira una ventana y vas a encontrar 3 pestañas, "General", Pestaña "Ver" y Pestaña "Buscar".
Paso 2.5
Seleccionamos la pestaña "Ver" Luego encontraremos un cuadrito en la parte inferior que dice Configuración Avanzada, veremos que hay una estructura de árbol descendiente, En ella encontraremos como tildada en un circulo "No mostrar Archivos y Carpetas ni unidades Ocultos"
Lo que hacemos es seleccionar la opción de arriba, SELECCIONAMOS "Mostrar archivos, Carpetas y Unidades ocultos".
Paso 2.6
Seleccionamos en la parte final del cuadro, APLICAR Y ACEPTAR.

Ahora en la unidad aparecerán todos los archivos desplegados, incluyendo los accesos directos.
Paso 2.7
Lo que buscaremos sera un archivo con el nombre Crypted.VBS. y lo borramos, NO Hay que abrirlo.

virus

Si no encuentras el archivo lo que debes hacer es lo siguiente...

Paso 2.8
Ve al icono de inicio de windows y en el buscador de programas escribe "cmd" o "Simbolo de Sistema". Luego se desplegara el tan famoso MSDOS de windows. Normalmente aparecera la letra en la que este instalado el sistema, Normalmente es disco C, luego la ruta Users/"EL NOMBRE QUE LE HAYAS PUESTO A LA MAQUINA", luego quedara titilando un guion, que es el lugar habilitado para escribir lo que tendras que escribir.

Bueno, luego debes ingresar a la unidad u pendrive, para esto debes poner el nombre que se asigno desde MI PC a la unidad, Normalmente si es una unidad de pendrive es la unidad E,
Escribimos en cmd, E: y damos enter.

Luego de esto nos dejara ingresar a la unidad.

Ahora lo que debemos hacer es escribir esto:

msconfig

attrib -s -h -r /d /s *.* y damos enter. Esto nos dejara ver todas las carpetas. Por que puede ser que aun con tildada la opcion de ver todo no funcione.

Luego buscaremos el archivo Crypted.VBS y lo eliminaremos.


LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe
2- Eliminamos del pendrive el archivo Crypted.VBS

Paso 3

Lo que hicimos fue limpiar el pendrive del virus, ahora lo que podemos hacer es eliminar los accesos directos manualmente uno por uno o seguir el procedimiento automático que crearemos a continuación. Lo que hará este sera eliminar los archivos LNK (Accesos Directos) del pendrive. Dejando solo los archivos originales.

Lo que haremos sera crear un archivo bat que permite ejecutar un comando para que elimine los accesos directos de forma automática.

Paso 3.1
Abriremos un Bloc de Notas completamente nuevo y escribiremos lo que sigue abajo o también lo pueden pegar.


@echo Eliminado Accesos Directos
if exist *.lnk del *.lnk


Luego lo guardamos con el nombre Eliminador de Accesos.bat y cerramos.
Lo pueden hacer en el mismo pendrive o desde su maquina y pasarlo al pendrive.
La forma mas simple de hacerlo es apretar el segundo click y buscar en el menu desplegado la opción Nuevo-Documento de texto.

Este archivo deve ser pegado en la unidad infectada.

Paso 3.2
Luego de pasar el archivo BAT al pendrive lo ejecutamos, dándole doble click, o enter.
Luego se desplegara automáticamente una ventana de MSDOS que hará el proceso de eliminar los accesos directos. Luego se cerrara automáticamente. El tiempo que durara sera el que le tome para eliminar los archivos y carpetas de acceso directo. Normalmente son unos segundos.

LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe
2- Eliminamos del pendrive el archivo Crypted.VBS
3- Eliminamos los accesos directos.

LISTO, ahora el pendrive estará desinfectado.

Eliminación del Virus en la maquina.



Paso A

Ahora lo que deberán hacer es eliminar el virus Crypted.VBS que se aloja en la computadora.
Siempre chequeen que desde el administrador de tareas no se vuelva a abrir el wscript.exe y si vuelve a aparecer lo eliminan de los procesos.

LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe

Paso B


Eliminamos el archivo Crypted, que se aloja en estas carpetas. (Imagen)

eliminar

En las dos primeras flechas ROJAS que marca el word vemos las ubicaciones en donde se aloja el virus. Puede ser que tambien lo encuentren en una de ellas y no en las dos.

LO QUE HAREMOS sera buscar el archivo Crypted.VBS, puede ser que se camufle con otro nombre asi que lo que importa es que la terminacion del archivo sea VBS.

Cuando ingresen a esas ubicaciones en el sistema lo que deben hacer es borrar el archivo.

En la imagen muestra que yo he ingresado por MSDOS a esa carpeta (FLECHA VERDE) y aplique el comando para que me mostrara todos los archivos. Si quieren hacerlo de la misma manera deberan seguir estos pasos.

Deberán encontrar el archivo Crypted.VBS en las carpetas:

-Temp
-StartUp


1RO Carpeta Temp:

pendrive

Si no me muestra el archivo Crypted.VBS uso el comando attrib... (Explicado anteriormente y esta en la imagen FLECHA VERDE) ademas de tener habilitado desde opciones de carpeta la opcion ver todos los archivos ocultos.

Windows

-La forma mas rapida de ingresar a la carpeta temp es ir a inicio y en el buscador de programas ponemos "ejecutar" no saldra un cuadrito en donde debemos poner:

%temp%

Luego le damos enter y deveriamos estar dentro de la carpeta Temp.

Crypted

En mi caso yo ingrese por MSDOS y por carpeta, siguiendo las rutas normalmente desde disco C.

wscriptexe

Dentro de la carpeta borramos el archivo Crypted.VBS y cerramos la ventana.

2do Carpeta StartUp (Inicio):

Ahora lo que debemos hacer es lo mismo con la carpeta StarUp:

21737


Pueden ingresar tambien con Ejecutar siguiendo el arbol de direcciones que aparece en el MSDOS

Eliminar Virus de Accesos Directos - Virus Crypted

Es normal que en esta carpeta no encuentren nada, pero lo que deben hacer es chequear cuanto peso tiene la carpeta, si dice 0 BYTES esta limpia,

registro

si tiene peso es por que algo esta alojando. Asi que deven ejecutar por MSDOS el comando attrib... para que les deje ver todo el contenido,

2014

si encuentran el archivo Crypted.VBS (FLECHA ROJA) deben eliminarlo.

virus

LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe
2- Eliminamos las rutas especificadas el virus Crypted.VBS

Si eliminan el virus que se aloja en estos dos lugares ya habrán eliminado el virus de las carpetas ahora falta eliminarlo del registro.

PASO C

Eliminar las rutas del virus que quedaron en el registro de windows.

Ahora lo que deberan hacer es eliminar el virus en el registro de windows. ¿por que? por que en el registro quedo alojado algunas direcciones que tambien pueden revivir el virus.

- Deberan ir a inicio y en buscar todos los programas deven poner Regedit, luego les saldra este icono.

msconfig

Luego les aparecera la ventana del registro.

Continuando con lo anterior deben dejar la ventana del registro abierta e ir al inicio y poner MSconfig o tambien lo pueden buscar desde la ventana de ejecutar.

-Lo que haremos en Msconfig sera eliminar los procesos del virus que se activaron para que cuando inicie la maquina vuelvan a aparecer por lo tanto puede ocurrir que al reiniciar la maquina ( si es que no se destilaron que siga el virus Crypted.VBS en todas las carpetas antes mencionadas del sistema)

eliminar

En mi caso tuve que destilar estas dos opciones desde la pestaña "inicio de windows" por que me aparecían al inicio el virus wscript.exe y el Crypted.vbs, pero puede ser también que solo sea el wscript.exe.

Luego de des-tildar estas opciones les aparecerá un cuadro que dice que tienen que reiniciar. Lo que devén hacer ahora que des-tildaron las rutas de los virus es reiniciar.

Cuando inician deben ir al Administrador de tareas y fijarse que el proceso wscript.exe no este activo, si lo esta es posible que hayan hecho mal un paso. Si sigue estando deben eliminar el proceso como he explicado anteriormente.

Ahora que aprendieron como abrir el registro de windows deben volver abrirlo e ingresar en la carpeta Msconfig que muestra en la imagen. (En la imagen muestra la ruta que tienen que seguir casi abajo de todo, abajo de la barra de movimiento horizontal)

pendrive

En el recuadro bordo pueden ver las carpetas que tienen que chequear. En estas carpetas se aloja el virus.
Carpeta starupfolder
Carpeta starupreg

Rutas:
"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Shared Tools/MSConfig/startupfolder"
"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Shared Tools/MSConfig/startupreg"

ahora deben desplegar estar carpetas y encontraran lo que aparece en las imagen.

Windows

Las flechas rojas muestran que dentro de esas dos carpetas existen otras dos mas, deben chequear que dentro de ella diga en algún lado wscript.exe o Crypted.VBS como lo muestra en la imagen.

Lo que deben hacer es eliminar por completo esas carpetas.
En mi caso eran:
c:USERS...
Crypted

Cuando les salga el cuadro de dialogo deben re confirmar que eliminaran la carpeta.

Crypted

Luego de esto deben reiniciar el sistema.

Al iniciar, chequeen el administrador de tareas, que no este el proceso wscript.exe
También chequeen que en MSconfig se hallan eliminado las rutas hacia las carpetas del registro de los virus mencionados.

Pos Data: Si no eliminaron los procesos de msconfig es posible que también se encuentre direcciones del virus en la carpeta Run por que es una dirección que esta funcionando al momento de que esta funcionando el sistema. Para estar mas seguros de eliminar wscrip.exe y Crypted, (Teniendo abierto Regedit, Aprieten F3 y pongan en el buscador que se les va a desplegar los nombres de los dos virus y eliminen los archivos que se mencionen exactamente como wscrip.exe y Crypted.vbs, continúen apretando seleccionar siguiente o F3 y eliminen las entradas que tengan esos nombres para dejar limpio el registro.)

- Para mas seguridad antes de tocar el registro pueden backapearlo con CCLEANER o TUNEUP.

LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe
2- Eliminamos las rutas especificadas el virus Crypted.exe
3- Eliminamos las rutas que alojaban a los virus en MSConfig y en el registro de windows


Ahora se deben estar preguntando, por que me sale un cartel o dos carteles de bloc de notas o de texto al iniciar,

wscriptexe

Esto se debe a que en la carpeta startup (inicio) en donde eliminamos el virus Crypted se haya también un archivo que dice Desktop.ini.

Este archivo lo deberán eliminar por que es falso. La carpeta inicio debe estar vacía.

Aqui les muestro que anteriormente el archivo Crypted.VBS se hallaba con otro archivo de texto llamado Desktop.ini

21737

Al abrirlo se darán cuenta que el cartel que contiene es el mismo que aparece cuando inician el sistema. Por lo tanto deben también eliminar este archivo.


Ahora lo que deben hacer es reiniciar el sistema y verán que desaparece el cartel o los carteles que les aparecía antes.

LISTA DE COSAS HECHAS
1- Eliminamos del administrador de tareas el proceso wscript.exe
2- Eliminamos las rutas especificadas el virus Crypted.exe
3- Eliminamos las rutas que alojaban a los virus en MSConfig y en el registro de windows.
4- Eliminamos el cartel o los carteles que aparecían al iniciarse el sistema.

-------------------------------------------------------------------------------------------------------------------------

Aquí les dejo algunos link de vídeos, para que con algún paso que he explicado, se puedan guiar de una forma mas fácil.

En este video explican como eliminar el virus wscript.exe


link: http://www.youtube.com/watch?v=RbuLEntpJLY


En este video habla del Virus recycler que se aloja en las mismas carpetas que el virus Crypted.


link: http://www.youtube.com/watch?v=_JOVnC9Te1c


En este vídeo habla sobre los carteles que aparecen al inicio al tener alojado en la maquina el virus Crypted u otros.


link: http://www.youtube.com/watch?v=5_ipvp9ij_k

En este link se puede ver como se pueden eliminar las entradas obsoletas de msconfig, en mi caso use el metodo para eliminar las entradas que generaron los virus.

http://es.kioskea.net/faq/10687-eliminar-las-entradas-obsoletas-con-msconfig


INTELIGENCIA COLECTIVA



Eliminar Virus de Accesos Directos - Virus Crypted


registro

Anuncios

1 comentario - Eliminar Virus de Accesos Directos - Virus Crypted