Tutorial: Como remover troyano Autorun.inf

Nos vamos a \Herramientas\Opciones de Carpeta\Ver\Mostrar Archivos Ocultos y PAM! no pasa nada, les ha pasado? bueno no se ha ustedes pero a mi si, entonces digo déjame pasar el antivirus y el este me dice que todo esta nítido, entonces ahí me preocupo y como dice el manual de Guindows para estos casos reinicio…

Lo que sucede es lo siguiente, cuando le prestamos nuestro disco USB  a algún pana para que nos copie la famosa canción que no conseguimos llegamos contentos a la casa, y cuando ponemos el memoria como le tenemos el autorun de los discos deshabilitado por “seguridad” nos vamos a Mi PC y cuando hacemos doble clic no abre?

Estamos infectados con un troyano autoinstalable que afecta una llave del registro que nos impide ver los archivos ocultos y aunque pasemos nuestro AV este no servirá de mucho.

¿Que hago ahora, como resuelvo?

-Haces doble clic en cualquiera de los discos de tu disco y no abren, si no que abren el dialogo de abrir con.

-Por mas que intentes habilitar la opción de los archivos ocultos no funciona.

Este dolor de cabeza lo causa el archivo autorun.inf de un 1kb  de tamaño que regularmente se queda en la memoria infectada y este copia un archivo .bat con nombre sin sentido a cualquier otro disco que tenga tu pc, para así cuando retiras el USB el equipo se mantiene infectado. Este tiene muchas variables algunas nos impiden incluso la edicion del registro, ver las carpetas de sistema, abrir el administrador de tareas y las alertas de seguridad de nuestro OS, cambiandola por un globo que nos dice que estamos infectados con un virus que hagamos clic para eliminarlo.

Este trojana afecta directamente a esta llave de registro HKLM\Software\Microsoft\Windows\Current Version\Explorer\Advandced\Folder\Hidden | ShowAll, este trabaja cambiando permanentemente el valor marcado. Para poder eliminarlo tenemos que cambiar este valor a 1, reiniciamos el equipo en safemode y procedemos a habilitar la opción de Mostrar Archivos Ocultos, buscamos a autorun.inf y a sus amigos .bat en nuestros discos no tienen nombre comunes solo letras agrupadas (mhfjk.bat, rtfys.bat) cosas asi, y otra particularidad es que estan en la raiz de los discos.

Luego de esto escaneamos nuestra PC con nuestro antivirus de preferencia, si alguno se ha encontrado con esto y lo ha resuelto de otra forma puede comentarlo para que los discutamos y tener otros puntos de vista sobre el caso.

3 comentarios

  1. Muy bueno tu blog..
    lastima que no lo encontre antes
    ya que tuve que formatear mi PC hace poco
    saludos

  2. ola .. la verdad soy un cero a la izquierda con estas cosas…tengo el autorun.inf y de verdad intente todo.. en otra pagina me salio algo parecido a lo tuyo.. solo ke al momento de ver los archivos ocultos los borraba… i bueno mi clular y mi camara al parecer estan limpias ( de todas formas mañana la llevare con mi profe de computacion) y bueno no se como limpiar mi computador.. no se como llegar a esa ventana que muestras .. si fueras tan amable de contestar lo agradeceria mucho …

    • Esa ventana que vez ahí es una captura de pantalla del registro de windows, puedes acceder a este haciendo clic en “run o ejecutar” en el menu de inicio y luego escribiendo “regedit”, claro sin las comillas… Tienes que tener mucho cuidado porque puedes dejar a tu sistema inusable.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: