Como desterrar facilmente un virus de tu USB sin tanto software, sólo técnica.
Soy muy parco en mis participaciones, doy
las gracias por las aportaciones pero a decir verdad a la hora de dar
aportaciones busco que no estas no estén repetidas o que lo que dé sea una
vaina es decir que no sirva para nada, otra cosa que no me gusta hacer es
copiar y pegar desde otra web, por lo general lo que
comparto es porque descubrí por mi mismo o porque me llegó la idea y funcionó,
claro que tampoco es descubrir el agua tibia.
Hay cientos si no miles de herramientas tools que
sirven para desterrar algunos virus, casi hay un antivirus para cada virus,
hasta creo que es parte de la mercadotécnia, el
problema es que las técnicas que usan los creadores de virus van 131b118b desde dejar su
huella en el registro, hasta el de replicarse o copiarse a cientos en muchas
carpetas o de plano programar un downloader para que
aun y cuando se haya borrado cada cierto tiempo se baje solo de la red y
recomience nuevamente a joder el alma del Sistema.
Bien el caso es que he visto miles de veces la pregunta de no puedo sacar tal
gusano, tal virus, tal trojano de mi usb y de sistema operativo, esto se complica porque en la mayoria de las ocasiones los antivirus, desde el más gacho
hasta el más chido, se arranan a la hora de desterrar
un virus, simplemente porque el archivo del virus está protegido.
Y el protejer los archivos y hacerlos ocultos es lo
más báisco que existe y prácticamente los diseñadores
de virus lo usan desde la prehistoria de estos bichos, pero como todo principio
siempre es olvidado muchos le dan vuelta que polymorfismo,
que encryptar código que comprimir con upx, pura mamada, basta con que cualquier bichito desde un
simple archivo de comandos por lotes (bat) ordenando darle delete
a todos los files con extensión .doc hasta un troyano
de última generación, esté protejido y oculto para
que cualquier antivirus le haga lo que el viento a Juárez.
Bien pues sabiendo este principio es fácil desterrar cualquier alimaña que nos
esté causando problemas. Tan fácil como escribir una línea de comando desde el cmd y hacernos de los privilegios que tengan los archivos
que guardemos en la unidad.
Cabe aclarar que sirve para casi cualquier cosa pero he apartadro
el caso del usb porque es el más común con el que nos
encontramos, creo que en la actualidad los gusanos infectados a través de una
unidad usb son más comunes que los propios gusanos de
red que hace unos años dominaron el mundo digital.
Bien pero vamos a la práctica. Existe entre los comandos de sistema para ser
usados en una línea de comando (no voy a decir msdos
porque desde el xp ya no existe más que un emulador
que se llama cmd) uno en particular que nos es muy util pero también es muy poco frecuente y casi hasta
olvidado.
Se trata del comando attrib que en unix se llama chmod y sirve para
adicionar atributos de sistema a los archivos, es decir cualquier archivo puede
ser manipulado por el comando attrib de tal manera
que pueda ocultarse o considerarse archivo de sistema y protejerse.
Si un antivirus dice que tu usb está infectado con un
virus pero lo abres y en tu usb no se ve ningún
archivo sospechoso probablemente no lo puedas ver porque está oculto, bueno, te
vas a la pestaña de ver archivos ocultos y tampoco puedes verlo es porque seguramente
está manipulado para que paresca un archivo de
sistema y esté protegido, de esta manera no podrás ver los archivos sospechosos
ni por la línea de comandos, simplementes no podrás.
Es aquí donde entra en acción el comando attrib, si
te vas ala raiz de tu usb y
aplicas el comando attrib te encontrarás que los
archivos que no podías ver sí existen pero están etiquetados con tres letras
que son -H -S -R, pero bueno antes de entrar a tareas más *******s, nos
regresemos a lo básico.
Supongamos que ustedes no saben ni madres de atributos de sistema y archivos
protegidos, menos saben nada de línea de comandos, pues bien les explico, desde
el windows 95 hasta el actual Vista todos los
sistemas operativos de windows traen una línea de
comandos antes se llamaba MsDos y desde xp se llama símbolo de sistema y lo encontramos
generalmente en el menú inicio>Todos los programas>accesorios>simbolo de sistema o lo podemos accesar
escribiendo cmd directamente en el menú
inicio>ejecutar.
Al accesar símbolo de sistema lo que pasa es que se
abre una ventanita negra, esa ventanita negra es la línea de comandos, en esa
misma trabajaremos.
Ya sé que algunos saben moverse en el cmd usando los
comandos de DOS, para los que no saben les comento que desde esta ventanita y en
modo texto accesaremos primero a nuestro usb.
1.- Lo primero que hay que hacer es conectar nuestro usb
a un puerto disponible y checar la letra que le
asignará nuestro sistema, por lo general son "F" o "G" o
alguno otro, esto depende de la cantidad de dispositivos que tengas conectados.
2.- Procedemos a abrir el simbolo de sistema o cmd, ya saben: Menú inicio>Ejecutar>cmd
3.- Una vez abierto el cmd, se abre la ventanita
negra, nos damos cuenta que no sale algo como esto.
4.- Con el cmd abierto y sabiendo la letra que el
sistema asignó al usb procederemos a navegar hasta la
raiz de la unidad usb, en
mi caso, teniendo la letra "f" escribo en el cmd
la letra "f" seguido por :
Asi:
5.- Justo cuando aparece la letra "F" (o la que el sistema les haya
asignado) al principio de la línea de comandos quiere decir que estamos en la raiz de la unidad, ahora aplicamos el comando "attrib" (sin las comillas) a secas..
Justo así:
6.- Si se fijan en la lista luego de la letra A que significa attributes hay algunos archivos etiquetados con letras S H
y R, esto quiere decir que esos archivos tiene atributos distintos a los que
simplemente no tienen ningún atributo y son archivos normales. Estos archivos
(los que tienen S H y R) son los que debemos observar, en el ejemplo mi usb no tiene ningún virus y los archivos que aparecen es
porque yo les asigné atributos especiales, por lo general los virus vienen
etiquetados con las tres letras juntas SHR lo que los hace invisibles (H
significa hide) de Sistema y de sólo lectura (R
significa Read Only) es por
eso que esos bichos son tan dificiles de borrar y
detectar, los antivirus solo lo detectan y no lo pueden borrar.
Otra cosa que deben saber es que la mayoría de los virus que se distribuyen por
usb crean un archivo protegido oculto y de sistema el
que se llama aoturun.inf (como el que tiene mi
unidad, sólo que ese lo hice yo y sirve para activar mi menú) por lo que si
encuentran un archivo similar a este (autorun.inf)
con los atributos SHR es que seguro tienen un virus, además de este archivo
vendrán otros con la extensión .com, .exe y hasta .pif o .scr, todos etiquetados con el SHR, estos son los virus que
hay que eliminar y a eso procederemos, primero a quitarles los atributos SHR y
luego a eliminarlos.
7.- Usando el mismo comando attrib en el cmd, le quitaremos sus atributos. ¿Cómo? Fácil, escribiendo
el comando attrib con los parámetros -s -h -r
Así:
Después de este paso, pueden volver a escribir el comando "attrib" a secas y verán que en la lista aparecerá el
archivo autorun.inf sin los atributos SHR lo que
significa que ya no está oculto ni es de sistema ni de sólo lectura por lo que
podrán verlo en la unidad como si se tratara de cualquier archivo y claro,
también pueden borrarlo y desterrarlo de su usb.
Cabe aclarar que esto sirve para quitar atributos y si así lo desean borar los archivos protegidos y que pueden ser virus que
suelen ser varios, todos los que tengan el SHR, que traen residente en su usb esparciendo la infección en cualquier pc en la que abran su unidad no obstante casi seguro es que
si ya están infectados estos archivos vuelvan a aparecer en su usb porque ahora es la pc la que
está infectada.
Pues bien que tampoco vayan por todas las unidades borrando archivos que tengan
el SHR porque algunos sí son de sistema y se pueden cargar su sistema
operativo, cuando un virus de estos te infecta lo primero que hace es escanear
las unidades que tenga y en todas creará archivos similares a los que
eliminaste en tu usb, por eso es importante que te
aprendas sus nombres y que esta operación la repitas en cada una de las
unidades eliminando únicamente los archivos necesarios.
Una técnica que yo uso es monitorear el archivo autorun.inf
en mi usb, este archivo yo lo uso porque tengo un menu usb, en realidad este
archivo no debe estar en ningún usb normal así que si
ustedes no usan un menu usb
el autorun.inf es sólo una prueba de que traen un
virus. Lo que deben hacer es meterse al cmd quitarle
los atributos SHR (cómo ya se indicó arriba) y luego abrirlo, este archivo no
es un ejecutable por lo que no es peligroso abrirlo, este archivo da las
instrucciones para ejecutar los verdaderos archivos maliciosos por eso si lo
abrimos normal (dando doble click) se nos abrirá un
documento de texto en el que se verá la ruta y los nombres de los verdaderos
ejecutables, una vez viendolos procede a borrarlos
como ya les enseñé arriba. Tomen nota de los nombres de los ejecutables
(amvo.exe, amva.exe, etc) y hagan una búsqueda en su
registro para quitarlo del inicio y luego usando el mismo método del comando attrib busquen archivos protegidos con las etiquetas SHR en
la carpeta de sistema (C:\windows\sytem32) y comparen si son los que aparecen
en el archivo autorun.inf. Por cierto, una vez que
tengan el nombre de los ejecutables maliciosos hagan una búsqueda en google y ahi tendrán
instrucciones precisas para eliminarlo del sistema.
Insisto en aclarar que esto no los libra del virus porque si la pc ya está infectada seguramente al iniciarse se volverán a
iniciar las secuencias de virus y volverá a estar infectada, así que lo mejor
es entrar al sistema en modo seguro. Correr un antispyware
o desinfectarlo a mano.
Ojalá que está información les sirva
saludos desde kripton
|
