viernes, 26 de septiembre de 2008

Algunos tips en caso de ataques de virus


Por compartir mi red/router con alguien con una computadora infectada... el virus se metió a mi pc, y me ha tomado algo de tiempo solucionarlo... y ahora que ya está, puedo dar un par de consejos para ayudar a otros en estos casos (y de aso, guardar como bitácora para mí, para más adelante en caso vuelva a ocurrir):

Particularmente, me infectó este virus (y variantes)
kk3.batu9dyi.exeph.comyssjnngm.cmd

Comandos en consola [cmd.exe*]
Como el antivirus no me ayudaba del todo, yo tuve que quitarle las propiedades de "Sólo lectura" y archivo "del sistema" para yo ayudar al antivirus.
Estos son los 2 comandos más utilizados (por mí):



1. DIR [unidad:] [ruta][archivo] [/A[[:]atributos]
ejemplo:
>  DIR  C:   /A:h
r: archivos de sólo lectura
s: archivos del sistema
h: archivos ocultos
a: archivos para archivar
d: directorios

2. ATTRIB [+R|-R] [+A|-A] [+S|-S] [+H|-H] [unidad:][ruta][archivo] [/S [/D]]
ejemplo:
> ATTRIB -r -a -s -h c: /autorun.inf
+: para establecer un atributo
-: para quitarle un atributo
r: atrib de sólo lectura del archivo
s: atrib de archivos del sistema
h: atrib de archivo oculto
a: atrib de archivo de almacenamiento

/S: procesa archivos q coinciden en la carpeta actual y todas las carpetas
/D: procesa carpetas

y otro tip adicional:
Cuando quieras cambiar la opción de
Herramientas >> Opciones de Carpeta >> (pestaña) Ver >> "Mostrar todos los archivos y carpetas ocultos"
pero el virus ha desconfigurado eso, de tal forma que siempre los oculta... lo único por hacer es entrar al editor de registros (a.k.a. regedit.exe*)
Probablemente , el virus lo cambia de dword a binario...

Para regresarlo a sus parámetros originales, deberás hacer:
Ubicarte en el siguiente directorio del regedit
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL]

el valor a modificar es CheckedValue (tiene que estar en dword y en valor 1)

* Los ejecutables cmd y regedit pueden ser ejecutados desde su ubicación original en la carpeta de windows, o ejecutarlos desde Inicio >> Ejecutar (tecla Windows + R)

3 comentarios:

  1. disculpa como le cambio ek chechedValue a dword y en valor 1 ????

    ResponderBorrar
  2. Hola Anónimo.
    Mira, para darle el valor a 1, debes darle doble clic a dicha variable
    (icono azul (011 110),
    Nombre: CheckedValue)
    Tipo: REG_DWORD
    Datos: 0x0000001 (1)

    En "información de valor", pones "1" (sin comillas).
    En "Base" marcas "hexadecimal".
    Y clic en aceptar.

    ResponderBorrar
  3. Ahora, si lo anterior no te funciona, puedes experimentar haciendo lo siguiente:
    Estando en la misma ventana, le das clic derecho en la zona blanca de la derecha, y te aparece el menú NUEVO.
    Eliges la opción valor DWORD.
    en nombre le das CheckedValue
    Y haces lo mismo que indiqué en el comentario anterior.
    (Los valor de "Informacion de valor" y "Base" son 1 y hexadecimal respectivamente).
    Espero te sirva! un saludo!

    ResponderBorrar