{"id":430,"date":"2010-11-08T18:05:15","date_gmt":"2010-11-08T17:05:15","guid":{"rendered":"https:\/\/david.xn--cantn-3ta.com\/blog\/?p=430"},"modified":"2018-03-11T10:54:41","modified_gmt":"2018-03-11T09:54:41","slug":"no-puedo-ver-ficheros-ocultos-como-eliminar-virus-autorun","status":"publish","type":"post","link":"https:\/\/david.xn--cantn-3ta.com\/blog\/informatica\/no-puedo-ver-ficheros-ocultos-como-eliminar-virus-autorun\/430\/","title":{"rendered":"No puedo ver ficheros ocultos: C\u00f3mo eliminar el virus Autorun"},"content":{"rendered":"

Al igual que el Dr. Zhivago<\/a>, me encontr\u00e9 con un virus en el trabajo. Estuve d\u00e1ndole varias vueltas hasta encontrar una forma definitiva de limpiarlo. Vi diferentes opciones en la red pero ninguna parec\u00eda ajustarse completamente a lo que yo necesitaba. Finalmente, aparecieron las indicaciones del Doctor, que segu\u00ed parcialmente con resultados positivos y, como est\u00e1n en ingl\u00e9s, me ha parecido interesante intentar hacer una traducci\u00f3n a nuestra lengua. <\/p>\n

Antes de nada, un breve resumen de los pasos que segu\u00ed<\/strong>:
\n1.- Desactiv\u00e9 todos los programas que se cargan al iniciar Windows (Inicio->Ejecutar: msconfig<\/strong>).
\n2.- Ejecut\u00e9 Malwarebytes’ Anti-Malware<\/strong><\/a>.
\n3.- Detect\u00f3 dos entradas en el registro que no pudo eliminar\/cambiar<\/strong> y un ejecutable que no pudo eliminar (seguidamente ver\u00e1s cu\u00e1les eran estos tres objetos).
\n4.- Busqu\u00e9 informaci\u00f3n<\/strong> sobre los objetos da\u00f1inos localizados por el detector de malware.
\n5.- Despu\u00e9s de mucho buscar encontr\u00e9 la informaci\u00f3n que muestro seguidamente.
\n6.- Arranqu\u00e9 la m\u00e1quina con otro sistema operativo y borr\u00e9 completamente la carpeta C:\\WINDOWS\\SYSTEM32 \\<\/span><\/strong> (Ojo con el espacio final de la carpeta. No confundir con C:\\WINDOWS\\SYSTEM32\\<\/span>, sin espacio).
\n7.- Reinici\u00e9<\/strong> arrancando con Windows XP normalmente.
\n8.- Intent\u00e9 acceder al registro de Windows (Inicio->Ejecutar: regedit<\/strong>) para modificar manualmente las tres claves del registro afectadas y no pude. Me ped\u00eda que seleccionase el programa a usar para abrir el fichero.
\n9.- Las modifiqu\u00e9<\/strong> haciendo doble clic sobre un fichero de texto con los datos v\u00e1lidos y la extensi\u00f3n apropiada (.reg). El fichero en cuesti\u00f3n es este: lastresclaves.reg<\/strong><\/a> (Si quieres descargarlo, pulsa con el bot\u00f3n derecho del rat\u00f3n y selecciona la opci\u00f3n apropiada).
\n10.- Limpi\u00e9 el registro con Argente – Registry Cleaner 2.0.0.5<\/strong><\/a>.<\/p>\n

Lo que sigue es la informaci\u00f3n a que me refiero en el punto 4, las indicaciones de c\u00f3mo eliminar este molesto virus que impide mostrar las carpetas ocultas<\/strong>, las indicaciones del Dr. Zhivago<\/a>. Como ves, se trata de un post en un foro, as\u00ed que la redacci\u00f3n no est\u00e1 especialmente estructurada; tenlo en cuenta:<\/p>\n

Me encontr\u00e9 con un nuevo virus el jueves en el trabajo. Es el virus autorun.exe. Lleva existiendo ya unos a\u00f1os y parece que se est\u00e1 volviendo m\u00e1s com\u00fan. Tambi\u00e9n se conoce por smss.exe. No estoy seguro de cu\u00e1l es su prop\u00f3sito, pero lo que hace es escribir dos archivos en la ra\u00edz de las unidades USB cuando se insertan en un PC infectado. Los nombres de archivo son autorun.exe y autorun.inf. El nombre del archivo .EXE cambia a un nombre al azar como device_driver.exe o usb_smss.exe u otros nombres.<\/p>\n

Se oculta configurando las opciones de carpetas para que no se muestren los archivos ocultos y marcando como ocultos los archivos que crea. Si intentas cambiar esta configuraci\u00f3n para mostrar todo, se cambia de nuevo para ocultar todo. Esto se consigue modificando algunas entradas del registro de tal forma que el valor sin marcar es el mismo que el valor marcado. Este es el registro que se cambia:
\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL<\/span><\/p>\n

Establece el elemento CheckedValue<\/span> a \u00ab0\u00bb<\/span> en lugar del predeterminado de \u00ab1\u00bb<\/span>.<\/p>\n

Se crea un directorio oculto: C:\\Windows\\system32 \\<\/span> (F\u00edjate en el espacio final, o, m\u00e1s probable, el car\u00e1cter nulo). Es ah\u00ed donde se ubica. El nombre del archivo es smss.exe, que es tambi\u00e9n el mismo nombre que un archivo leg\u00edtimo de Windows, el Administrador de sesi\u00f3n de Windows. Incluso reproduce las fechas de creaci\u00f3n y modificaci\u00f3n del fichero leg\u00edtimo de Windows. El tama\u00f1o del archivo es, sin embargo, mucho m\u00e1s grande; alrededor de 1,3 MB. El archivo de serie tiene unos 50 KB.<\/p>\n

Tambi\u00e9n modifica dos entradas del Registro de modo que es casi seguro que permanzca residente. Se encuentran en las siguientes ubicaciones:
\nHKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\<\/span><\/p>\n

Cambia la cadena Userinit a esto:
\nC:\\Windows\\system32\\userinit.exe, c:\\Windows\\system32 \\smss.exe<\/span><\/p>\n

Esto hace que se ejecute el virus cuando alguien se registra en la m\u00e1quina, incluso en modo seguro.<\/p>\n

Deber\u00eda tener este valor:
\nC:\\Windows\\system32\\userinit.exe,<\/span><\/p>\n

La otra entrada de registro que se modifica es particularmente dif\u00edcil de eliminar:
\nHKEY_CLASSES_ROOT\\exefile\\shell\\open\\command<\/span><\/p>\n

La llamada al virus se antepone al valor por defecto, resultando as\u00ed:
\n\u00abc:\\Windows\\system32 \\smss.exe\u00bb \u00ab%1\u00bb %*<\/span><\/p>\n

El valor por defecto de esa cadena deber\u00eda tener este aspecto: \u00ab%1\u00bb %*<\/span><\/p>\n

La configuraci\u00f3n modificada hace que el virus se ejecute y modifique el comportamiento de cualquier programa que se inicia desde Windows, incluso si logras detener el proceso, se relanzar\u00e1 al iniciar CUALQUIER programa.<\/p>\n

Tuve mucho tiempo para observarlo, mientras averiguaba una manera de limpiarlo. Est\u00e1 muy inteligentemente escrito y no creo que puedas deshacerte de \u00e9l con las herramientas disponibles para una instalaci\u00f3n est\u00e1ndard de Windows. Prevx lo detect\u00f3, y Avast lo detect\u00f3 en mi port\u00e1til, que es como lo descubr\u00ed en el primer lugar despu\u00e9s de poner mi memoria USB en mi port\u00e1til despu\u00e9s de haber estado en uno de los PC infectados. Est\u00e1n utilizando McAffee corporate AV y no lo detecta y est\u00e1 desactivado por el virus en un PC infectado. Quer\u00eda deshacerme de \u00e9l sin tener que comprar ning\u00fan software o reemplazar su AV ya que no estoy autorizado a hacer eso.<\/p>\n

Primero us\u00e9 Winternals ERD Commander 2005 para arrancar y adjuntar la instalaci\u00f3n de Windows XP, modificar el Registro y eliminar los archivos y carpetas ocultos. Uno de los PC’s infectados ten\u00eda la unidad \u00f3ptica estropeada, as\u00ed que otra manera de deshacerse de \u00e9l mientras se ejecuta Windows es utilizar Sysinternals Process Explorer:<\/p>\n

1. Ejecuta Process Explorer y para (kill) el smss.exe chungo. Su icono es un tontorr\u00f3n color p\u00farpura, parecido a un calamar o un pulpo.
\n2. Inicio \/ Ejecutar \/ cmd
\n3. Para el smss.exe de nuevo con Process Explorer.
\n4. Abre regedit desde la ventana cmd y haz los cambios de registro.
\n5. Abre explorer.exe desde la ventana cmd. Establece las opciones de visualizaci\u00f3n de carpetas para que se muestre todo, incluyendo los archivos de sistema, navega hasta el directorio de Windows y borra la carpeta \\system32 \\. Ser\u00e1 de color m\u00e1s claro, ya que tiene establecido el atributo de oculto.
\n6. Verifica si existe en la ra\u00edz de C:\\ smss.exe o autorun.exe y autorun.inf.
\n7. Haz lo mismo para las unidades USB o extra\u00edbles. Aseg\u00farate de mantener pulsada la tecla May\u00fas para evitar el arranque autom\u00e1tico. Mejor a\u00fan, desabilita Autorun por completo.
\n8. Reinicia el sistema.
\n9. Hecho y hecho.<\/p>\n

Con el lanzamiento de programas desde la ventana de cmd en lugar de desde la interfaz gr\u00e1fica de usuario, la cadena shell\\open\\command modificada se vuelve inerte y el virus no se relanza. No se puede terminar smss.exe desde el Administrador de tareas, es necesario utilizar Process Explorer.<\/p>\n

Vea aqu\u00ed c\u00f3mo desactivar permanentemente la ejecuci\u00f3n autom\u00e1tica para todos los usuarios:
\nhttps:\/\/support.microsoft.com\/kb\/967715<\/a><\/p>\n

Autorun es el causante de que el rootkit de Sony est\u00e9 infectando tantas m\u00e1quinas. Las herramientas Winternals y Sysinternals se desarrollaron en parte por Mark Russinovich, quien descubri\u00f3 el rootkit de Sony y que ahora trabaja para Microsoft. Algunas de sus herramientas se han incluido en Vista y Windows 7, etc\u00e9tera, como consecuencia de su adquisici\u00f3n por MS en una compra no hostil hace unos a\u00f1os. \u00c9l tiene mucho que ver con las grandes mejoras que hemos visto en las nuevas versiones de Windows. https:\/\/technet.microsoft.com\/es-es\/s…\/bb896653.aspx<\/a><\/p>\n

Todas las herramientas gratuitas que desarroll\u00f3 siguen siendo gratis, incluido Process Explorer.<\/p>\n","protected":false},"excerpt":{"rendered":"

Al igual que el Dr. Zhivago, me encontr\u00e9 con un virus en el trabajo. Estuve d\u00e1ndole varias vueltas hasta encontrar una forma definitiva de limpiarlo. Vi diferentes opciones en la red pero ninguna parec\u00eda ajustarse completamente a lo que yo necesitaba. Finalmente, aparecieron las indicaciones del Doctor, que segu\u00ed parcialmente con resultados positivos y, como […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[26],"class_list":["post-430","post","type-post","status-publish","format-standard","hentry","category-informatica","tag-virus"],"_links":{"self":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts\/430","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/comments?post=430"}],"version-history":[{"count":1,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts\/430\/revisions"}],"predecessor-version":[{"id":1465,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/posts\/430\/revisions\/1465"}],"wp:attachment":[{"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/media?parent=430"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/categories?post=430"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/david.xn--cantn-3ta.com\/blog\/wp-json\/wp\/v2\/tags?post=430"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}