(P) Hugo Napoli, 2017
Procedimiento proporcionado por Hugo Napoli para desinfectar ordenadores infectados con el “virus de los accesos directos”.
4. Eliminar del directorio "Inicio" de todos los usuarios la aplicación "Start" (la cual no es una carpeta, aunque posea un icono de ese tipo), con la combinación de teclas " SHIFT + Supr ".
5.a. Volver a ocultar los directorios y archivos que anteriormente estaban ocultos.
5.b. Volver a ocultar los archivos protegidos del sistema.
6. Reiniciar el ordenador.
7. Visitar el blog y dejar tus comentarios ☺
Modo manual.
1. Iniciar en "modo seguro" o "modo a prueba de fallos".
2.a. Mostrar los directorios y archivos ocultos.
2.b. Mostrar los archivos protegidos del sistema.
3. Eliminar el directorio "C:\Users\Usuario\AppData\Roaming\avecyr", con la combinación de teclas " SHIFT + Supr ".
2.a. Mostrar los directorios y archivos ocultos.
2.b. Mostrar los archivos protegidos del sistema.
3. Eliminar el directorio "C:\Users\Usuario\AppData\Roaming\avecyr", con la combinación de teclas " SHIFT + Supr ".
Nota I: se debe sustituír la palabra "Usuario", por el nombre correspondiente al usuario de Windows.
Nota II: la carpeta "avecyr", fue descubierta según el procedimiento que se muestra en el video. Puede tener otro nombre, y para identificarla hay que observar su estado y contenido.
El estado debe ser "oculto" (para ello el paso 2 de esta pequeña guía).
Contenido: debe poseer unos 7 u 8 archivos; 1 o 2 serán archivos ejecutables (de extensión ".exe") y algunos otros (1 o 2, probablemente), serán "javascripts" (de extensión ".js"). También pueden encontrarse archivos sin extensión.
Si el nombre del denominado directorio no es "avecyr", pero posee dichas características, bórralo.
Nota II: la carpeta "avecyr", fue descubierta según el procedimiento que se muestra en el video. Puede tener otro nombre, y para identificarla hay que observar su estado y contenido.
El estado debe ser "oculto" (para ello el paso 2 de esta pequeña guía).
Contenido: debe poseer unos 7 u 8 archivos; 1 o 2 serán archivos ejecutables (de extensión ".exe") y algunos otros (1 o 2, probablemente), serán "javascripts" (de extensión ".js"). También pueden encontrarse archivos sin extensión.
Si el nombre del denominado directorio no es "avecyr", pero posee dichas características, bórralo.
4. Eliminar del directorio "Inicio" de todos los usuarios la aplicación "Start" (la cual no es una carpeta, aunque posea un icono de ese tipo), con la combinación de teclas " SHIFT + Supr ".
5.a. Volver a ocultar los directorios y archivos que anteriormente estaban ocultos.
5.b. Volver a ocultar los archivos protegidos del sistema.
6. Reiniciar el ordenador.
7. Visitar el blog y dejar tus comentarios ☺
https://hugonapoli.blogspot.com
Material complementario: grabación y capturas de pantalla con el virus activo.
Video "descubriendo al virus". Derecho de autor: Hugo Napoli
Carpeta de inicio infectada
Análisis con el antivirus "Panda Free" actualizado.
El antivirus pudo identificar 4 amenazas, pero no al virus de los accesos directos.
Detalle de las 4 amenazas encontradas por el antivirus. Obsérvese que las mismas son todas del 1° de junio de 2017 (la misma fecha en la cual se escribió esta entrada).
Una de las consecuencias de la infección: el cambio persistente y permanente de la página de inicio de los navegadores instalados.
Puedes descargar los archivos generados por el virus de los accesos directos, incluido su código interno -es decir, el virus funcionando-, para propósitos de estudio. Para evitar la infección accidental de un Sistema Windows, se han alterado algunos nombres de archivo (en lo concerniente a su extensión), y se ha comprimido con la contraseña "1234" al paquete entero. En el paquete se halla un archivo tipo "pdf" con las instrucciones y aclaraciones pertinentes.
Descarga: https://drive.google.com/open?id=0BywUrhlSa7WUZW10ak82T1MteWM
Puedes descargar los archivos generados por el virus de los accesos directos, incluido su código interno -es decir, el virus funcionando-, para propósitos de estudio. Para evitar la infección accidental de un Sistema Windows, se han alterado algunos nombres de archivo (en lo concerniente a su extensión), y se ha comprimido con la contraseña "1234" al paquete entero. En el paquete se halla un archivo tipo "pdf" con las instrucciones y aclaraciones pertinentes.
Descarga: https://drive.google.com/open?id=0BywUrhlSa7WUZW10ak82T1MteWM
ENTRADA EN CONSTRUCCIÓN
No hay comentarios.:
Publicar un comentario