Archivos transformados en accesos directos en la memoria USB

Resuelto
DB10123 -  
Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   -
Hola,

Desde que utilicé mi memoria USB en un ordenador público, todas las carpetas que contiene se han convertido en accesos directos.
Así, cuando hago clic en uno de ellos, aparece brevemente un cuadro de diálogo de Windows, se cierra y finalmente mi carpeta se abre en una nueva ventana (sin embargo, las carpetas y archivos que contiene esa famosa carpeta no están en forma de acceso directo).
Después de algunas investigaciones en Google, parece que esto se debe a un virus y que, al haber utilizado mi memoria USB en mi portátil, este también está infectado...
Sin embargo, he notado que suele haber un "diagnóstico particular" propio de cada caso que permite deshacerse definitivamente de este virus, ya sea en una memoria USB o en un ordenador.
Por eso pido su ayuda, ¿hay alguien que pueda guiarme en los diferentes pasos para transformar de nuevo los accesos directos en carpetas en mi memoria USB y deshacerme de este virus de una vez por todas?

¡Gracias de antemano!

4 respuestas

  1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    sí =)

    Eventualmente, se recomienda encarecidamente desactivar los scripts VBS / WSH, como se explica en el dossier: Malware VBS/WSH/Windows Script Host

    El resto de la seguridad: http://forum.malekal.com/comment-securiser-son-ordinateur.html

    --
    Como el ángel que eres, te ríes creando una ligereza en mi pecho,
    Tus ojos me penetran,
    (Tu respuesta siempre es 'quizás')
    Ahí fue cuando me levanté y me fui.
    1
  2. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    Hola,

    Tu infección es, por tanto, una infección que se propaga a través de dispositivos extraíbles (pendrives, discos duros externos, tarjetas flash, etc.).
    Los dispositivos extraíbles que insertaste en el ordenador cuando estaba infectado se han infectado a su vez.

    El simple hecho de abrir el explorador de archivos y hacer doble clic en tu pendrive/disco duro externo volverá a infectar tu sistema.
    Encontrarás un enlace explicativo sobre la propagación de estas infecciones, cómo protegerte, etc. a partir de los siguientes enlaces:

    Comprender las infecciones por dispositivos extraíbles: https://forum.malekal.com/viewtopic.php?t=3350&start=

    Ahora necesitas limpiar tus pendrives/discos duros externos.
    Sigue bien el tutorial en orden: inserta tus pendrives y discos duros externos que tienes para limpiarlos.
    Publica los informes en http://pjjoint.malekal.com y proporciona las direcciones.

    Conecta todos tus pendrives y otros dispositivos extraíbles.
    Descarga Remediate VBS Worm: https://forum.malekal.com/viewtopic.php?t=48588&start=
    Ejecuta la opción A
    y luego reinicia el programa. Ejecuta la opción B.
    Escribe la letra del pendrive, por ejemplo, E y presiona enter - NO INDICAR LA UNIDAD DE TU DISCO.
    Esto limpiará el pendrive.
    Del mismo modo, abre Mi ordenador y luego el disco C, allí debe haber un informe Rem-VBS.log, dame el contenido aquí.

    Como el ángel que eres, ríes creando una ligereza en mi pecho,
    Tus ojos me penetran,
    (Tu respuesta siempre es 'quizás')
    Ahí fue cuando me levanté y me fui.
    0
    1. DB10123
       
      ¡Hola Malekal y gracias por tu respuesta tan rápida!
      Entonces seguí tus instrucciones al pie de la letra y aquí está el famoso informe Rem-VBS.log que obtengo al final:
      http://pjjoint.malekal.com/files.php?id=20151207_e14m9j10o8l12
      ¿Qué debo hacer a continuación?
      0
  3. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    oki, para verificar la computadora:

    Sigue el tutorial FRST.
    (y tómate el tiempo para leerlo bien para aplicarlo correctamente - está todo explicado).
    Descarga y ejecuta el escaneo FRST, esto generará tres informes FRST:
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envía, como se explicó, estos tres informes al sitio http://pjjoint.malekal.com y, a cambio, proporciona los tres enlaces pjjoint que llevan a esos informes aquí en una nueva respuesta para que podamos consultarlos.

    --
    Como el ángel que eres, ríes creando una ligereza en mi pecho,
    Tus ojos me penetran,
    (Tu respuesta siempre es 'quizás')
    Ahí fue cuando me levanté y me fui.
    0
    1. DB10123
       
      Gracias, aquí están los 3 informes FRST generados:
      - FRST.txt : http://pjjoint.malekal.com/files.php?id=FRST_20151207_z8c11z13y15y12
      - Shortcut.txt : http://pjjoint.malekal.com/files.php?id=20151207_l7h5y11v9r9
      - Additionnal.txt : http://pjjoint.malekal.com/files.php?id=20151207_s10m8l10l10z5
      0
  4. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    Dos antivirus no sirven para nada más que causar problemas y ralentizar el ordenador.

    AV: Avira Antivirus (Habilitado - Actualizado) {4D041356-F94D-285F-8768-AAE50FA36859}
    AV: avast! Antivirus (Habilitado - Actualizado) {17AD7D40-BA12-9C46-7131-94903A54AD8B}


    Aquí está la corrección a realizar con FRST.
    Puedes inspirarte en esta nota explicativa con capturas de pantalla para ayudarte: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Abre el bloc de notas: Toca Windows + R, en el campo ejecutar, escribe notepad y OK.
    Copia/pega dentro lo siguiente:

    HKU\S-1-5-21-541518943-239913646-3126759647-1000\...\Run: [winlogon] => C:\Users\Damien\AppData\Local\Temp\winlogon.bat [82 2015-11-30] () <===== ATENCIÓN
    reg: reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
    reg: reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
    Reinicia:

    Una vez que el texto esté pegado en el bloc de notas.
    Menú Archivo luego Guardar como.
    A la izquierda, ve al escritorio.
    En el campo de abajo, nombre del archivo pon: fixlist.txt
    Haz clic en Guardar - esto creará un archivo fixlist.txt en el escritorio.

    Reinicia FRST y haz clic en el botón Corregir / Fix
    Según como sea, puede ser necesario un reinicio (no obligatorio).
    Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.

    Reinicia el ordenador

    --
    Como el ángel que eres, ríes creando una ligereza en mi pecho,
    Tus ojos me penetran,
    (Tu respuesta siempre es 'quizás')
    Ahí fue cuando me levanté y me fui
    0
    1. DB10123
       
      Muchas gracias Malekal,
      El ordenador acaba de terminar su reinicio, ¿hay algo más que deba hacer para terminar la limpieza?
      0
      1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712 > DB10123
         
        ¿Es cierto que cuando usas tus llaves, los atajos regresan?
        0
    2. DB10123
       
      No, las carpetas han vuelto a la normalidad y los accesos directos han desaparecido, sin embargo, tengo un archivo "winlogon.bat" y una carpeta "System Volume Information" que no estaban allí antes en mi memoria USB, ¿es normal?
      0
    3. DB10123
       
      ¡Está bien, gracias de nuevo Malekal!
      ¿Qué debo hacer con las aplicaciones utilizadas? ¿También puedo eliminarlas?
      0