Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Eliminar el virus Herss

Anuncio 
Eliminar el virus Herss
Escrito por Jorge
Viernes, 01 de Octubre de 2010 23:51 - Actualizado Jueves, 08 de Marzo de 2012 15:48
El virus herss es uno de esos virus que se propaga a través de los pendrives. Al meter un
pendrive en un ordenador infectado le introduce un fichero exe. Este programa se ejecutará
automáticamente al llevar ese pendrive a otro ordenado. De este modo la propagación es muy
rápida.
El virus desactiva el antivirus e impide que se actualice. Además no permite que se vean los
archivos ocultos ni de sistema, incluso aunque marquemos esas opciones del Explorador de
Windows [Herramientas>Opciones de carpeta>Ver>Motrar todos los archivos y carpetas
ocultos y desmarcar Ocultar archivos protegidos del sistema operativo] no hace efecto.
También introduce en cada unidad un fichero autorun y una copia del virus oculto.
Para eliminar el herss he seguido las instrucciones del blog de labspunk , adaptándolas un
poco. Este es el proceso que he seguido. Algunos pasos en realidad no son del todo útiles pero
ayudan a entender el problema.
1. Lo primero que hay que hacer es desactivar "Restaurar Sistema", ya que guarda ahí una
copia y aunque lo consigamos eliminar volvería a infectarnos si usamos esa herramienta. Se
desactiva haciendo clic con el botón derecho en Mi PC, entrando en propiedades y en la
pestaña del Restaurar Sistema.
2. Abrimos una ventana de interfaz de comandos (Ejecutar>cmd) . Saldrá una ventana
negra, con un texto similar a "C:Documents and settingsUsuario>". Ahí escribimos "cd .." y
pulsamos Enter 2 veces, hasta que nos ponga "C:>".
3. Cuando estemos ahí escribimos "attrib". Esta orden permite ver todos los archivos, con
sus atributos, incluyendo los ocultos y de sistema. Es la única forma de ver estos archivos si
tenemos el virus ya que ni en el explorador de windows ni con la orden dir se nos mostrarían
(también podríamos usar algún otro programa como
7zip que sí que nos enseña los
ocultos).
4. Veremos que en el listado de archivos nos aparecerá un "autorun.inf" que llevará
delante las letras SHR (S de sistema, H de oculto o
hidden, y R de solo lectura o read
only
).
Habrá más archivos ocultos, entre ellos el del virus que puede tener varios nombres con
números y letras mezclados (en mi caso 9b9w3.exe). Para saber el nombre del virus podemos
leer el fichero autorun escribiendo "edit autorun.inf". En una de las líneas nos indicará
"open=nombre del virus" (en mi caso "open=9b9w3.exe").
5. Es necesario borrar esos dos ficheros. Lo primero es desocultarlos con la orden "attrib -s
-r -h nombrearchivo". Debemos poner los 2 nombres de archivos "autorun.inf" y "9b9w3.exe" o
el nombre que tenga nuestro virus. En ese momento aparecerán en el explorador de windows
y podremos borrarlos con suprimir.
6. Aquí llega el primer problema: si el virus está activo, a los 10 ó 20 segundos volverán a
crearse esos dos ficheros ocultos que acabamos de borrar. Eso se debe a que hay otra copia
del virus en memoria, que se arranca automáticamente, y que es necesario borrar. Está en los
ficheros temporales del usuario.
7. Abrimos otra vez la ventana de interfaz de comandos (cmd). Nos vamos al directorio
1/4
Eliminar el virus Herss
Escrito por Jorge
Viernes, 01 de Octubre de 2010 23:51 - Actualizado Jueves, 08 de Marzo de 2012 15:48
temporal escribiendo "cd configuración local" y luego "cd temp" (llegaremos a c:documents and
settingsusuarioconfiguración localtemp>). Escribiendo "attrib" veremos muchos ficheros,
algunos ocultos, entre ellos herss.exe, cvasds0.dll y cvasds1.dll. Son los que tenemos que
eliminar. Primero cambiamos sus atributos con "attrib -s -r -h nombrearchivo" y luego los
borramos por ejemplo con la orden "del nombrearchivo". Es posible que alguno de los
archivos dll no se deje (en mi caso el que acaba en 1, en el del
blog comentado antes
el que acababa en 0). De todos modos no es problemático. Si ahora borramos los 2 ficheros
de C: (pasos 4 y 5) veremos que no vuelven a aparecer. También deberíamos eliminar el
autorun y el virus del resto de discos si los tuviéramos, así como de los pendrives.
8. Ahora tenemos que quitar del registro la ejecución automática del fichero herss.exe.
Para eso abrimos el registro (ejecutar regedit), y vamos abriendo carpetas hasta llegar a la
cadena "[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]". Ahí
pondrá en una línea cdoosoft = “%Temp%herss.exe”. Esta línea la tenemos que borrar.
(También busqué "herss" en el registro y borré todas las veces que aparecía).
9. Ya sólo nos queda borrar el fichero cvasds1.dll que no se dejaba en el paso 7. Para ello
reiniciamos, y como ya no está en uso el sistema nos permite eliminarlo. Para asegurarnos se
puede arrancar con un liveCD (por ejemplo el miniXP que lleva
Hiren's Boot a partir de
la versión 10) y borrar todo lo que haya en esa carpeta temporal, y la del resto de usuarios.
En este momento ya hemos eliminado el virus del sistema. Sin embargo todavía no podemos
ver los archivos ocultos aunque marquemos la opción del explorador. Para solucionarlos
debemos volver a abrir el registro de windows (regedit) y buscar la carpeta
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFol
derHiddenSHOWALL]. En ella nos saldrá CheckedValue a valor 0, y lo tenemos que modificar
a 1. Después de esto cambiando la opción del explorador sí que nos hace caso.
Por último, para evitar nuevos contagios es recomendable instalar algún programa que inhibe
los autoruns de los pendrives. Yo he probado Panda USB Vaccine . Por un lado evita que el
ordenador ejecute automáticamente programas de los pendrives, por lo que si conectamos
uno infectado no nos afectaría. Por otro lado permite
vacunar
las unidades USB creando un autorun que no pueden sobreescribir los virus. De este modo
aunque metamos el pendrive en un ordenador infectado se copiaría el virus pero no se
ejecutaría automáticamente al llevarlo a otra máquina (y podríamos borrarlo sin que nos
afecte).
Ah, y habría que volver a activar Restaurar Sistema (paso 1).
Artículo original: el blog del perro del desierto
2/4
Eliminar el virus Herss
Escrito por Jorge
Viernes, 01 de Octubre de 2010 23:51 - Actualizado Jueves, 08 de Marzo de 2012 15:48
{googleAds}
<script type="text/javascript"><!--
google_ad_client = "ca-pub-7895956934708702";
/* Cuadrado docman */
google_ad_slot = "0028190093";
google_ad_width = 300;
google_ad_height = 250;
//-->
</script>
<script type="text/javascript"
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
3/4
Eliminar el virus Herss
Escrito por Jorge
Viernes, 01 de Octubre de 2010 23:51 - Actualizado Jueves, 08 de Marzo de 2012 15:48
</script>
{/googleAds}
4/4
Documentos relacionados
Eliminar virus que oculta archivos (Dorkbot.d) Este
Eliminar virus que oculta archivos (Dorkbot.d) Este
Actividad ebola
Actividad ebola
DATOS DEL ASPIRANTE CALIFICACIÓN Apellidos: _______________________________________________
DATOS DEL ASPIRANTE CALIFICACIÓN Apellidos: _______________________________________________
LOS VIRUS - Ciencias
LOS VIRUS - Ciencias
Virus desconocido hizo que desbordara el hospital de San Pedro de
Virus desconocido hizo que desbordara el hospital de San Pedro de
los virus requieren ser ejecutados para lograr sus objetivos y por
los virus requieren ser ejecutados para lograr sus objetivos y por
Descargar
Anuncio
Anuncio