El virus del acceso directo reemplaza todas tus carpetas por accesos directos, impidiéndote acceder a su contenido.

Afortunadamente, es muy fácil acabar con él.

Actualización: Hemos analizado el virus del acceso directo en profundidad en nuestra serie Sospechosos
Habituales: el virus del acceso directo. No te lo pierdas.

Conectas un pendrive al PC, te preparas para ver sus archivos y... ¡sorpresa! las carpetas ya no están. Han sido
reemplazadas todas por accesos directos que aparantemente no van a ninguna parte. ¿Qué hacer?

¿De dónde sale este virus?

El conocido como "virus del acceso directo" puede en verdad ser una de las muchas variantes. En realidad es un
script VBS que has ejecutado, probablemente por estar incluido de forma malintencionada en otro programa.

Es el caso de la variante conocida como Mugen.vbs, que alguien incluyó en un paquete con el juego Mugen Saint
Seiya.

Este juego de Caballeros del Zodíaco venía con sorpresa

¿Qué hace exactamente el virus del acceso directo?

Las buenas noticias son que el virus del acceso directo, o Mugen.vbs, no borra nada. En su lugar, hace algo más
curioso: marca las carpetas contenidas como ocultas y de sistema, además de crear accesos directos que se llaman
igual.
 Carpetas originales (ocultas) y los accesos directos, creados por el virus

Estos accesos directos por supuesto no abrirán su carpeta, sino que ejecutarán el virus, infectando potencialmente
la máquina en la que estás trabajando.

Con un concepto tan simple ha logrado extenderse rápidamente.

¿Cómo eliminarlo?

Si has sido infectado, lo primero es cambiar la configuración del Explorador de archivos para tener más claro qué
es qué. Concretamente, en el menú Herramientas > Opciones de carpeta del Explorador de archivos, pestaña Ver.

Marca Mostrar archivos, carpetas y unidades ocultos y desmarca Ocultar archivos protegidos del sistema
operativo y Ocultar las extensiones de archivo para tipos de archivo conocidos.
Tras hacer esto, ¿puedes localizar el archivo con extensión VBS en la memoria USB? Si es así, bórralo. Es posible
que Windows no te deje hacerlo si está en uso. Unlocker es una utilidad pensada especialmente para eliminar estos
archivos rebeldes.

También puedes Detener el proceso Wscript.exe (Microsoft Windows Based Script Host) en el Administrador de
tareas. No es malicioso, es simplemente el motor de scripts que usa el virus para funcionar.

Si no estás seguro de dónde se esconde el archivo VBS, prueba en Users\AppData\tu.usuario\AppData\Roaming.

¿Tampoco está aquí? Entonces haz clic derecho en uno de los accesos directos falsos que ha creado y elige
Propiedades. En el apartado Destino generalmente tendrás una pista de dónde está el archivo vbs, justo después de
"start".
Borrar el archivo VBS te asegurará que no vas a volver a infectarte tan pronto como le des sin querer a un acceso
directo, pero no arregla el estropicio que el virus ha creado. Lo deberás hacer manualmente o mediante un archivo
BAT.

Selecciona todos los accesos directos falsos en el Explorador y bórralos (truco: haz clic en el primero y después
en el último mientras pulsas Shift).

Por último, selecciona todas las carpetas reales ocultas y haz clic derecho para elegir Propiedades. Desmarca
ambas casillas, Oculto y Sólo lectura, y pulsa Aceptar.
Con este proceso devolverás las carpetas a su estado original, pero algunas personas prefieran hacer este proceso
automáticamente mediante un archivo BAT. Si es tu caso, crea un nuevo documento de texto con el siguiente
contenido:

taskkill /IM wscript.exe

del /f /q *.vbs

attrib /d /s -r -h -s *.*

del /f /s /q *.lnk

Graba el documento con extensión .BAT, cópialo a la raiz de tu memoria USB y ábrelo.

Funciona de la siguiente manera: primero, cierra el proceso Windows Script, para a continuación borrar cualquier
archivo VBS. Después elimina los atributos de archivo oculto o de sistema de todos los archivos en esa carpeta y
subcarpetas, para a continuación borrar los accesos directos.

Ten en cuenta que este archivo BAT puede causar algunos estragos en tu PC si lo ejecutas en la raíz de tu unidad
del sistema, ya que eliminará todos los accesos directos, incluidos los del Escritorio y Menú inicio. Por tanto, sólo
te recomendamos usarlo en tu memoria USB o en una carpeta concreta.

Adiós, virus del acceso directo Como ves, el virus del acceso directo no es tan terrible como parece en un
principio, y es relativamente fácil de eliminar de forma manual. Puesto que se trata de un script VBS muy fácil de
manipular, es posible que te hayas cruzado con una versión ligeramente distinta, ¿te sirvieron nuestras
instrucciones?
PRIMER PASO
COMO PRIMER PASO DEBEMOS INICIAR LA PC O LAPTOP EN SU DEFECTO EN MODO SEGURO

-COMO LOGRALO ES MUY FACIL PARA LOS QUE NO SABEN.

1.-PARA LOS PRINCIPIANTES, DEBEMOS DE ENCENDER O REINICIAR LA PC Y ESPERAR QUE CARGUE LOS DATOS DE LA
TARJETA MADRE

2.-INMEDIATAMENTE DESPUES DE QUE DESAPARESCA O DURANTE ESTE MENSAJE ( INFORMO QUE ESTE PROCEDIMIENTO
NO FUNCIONA EN TODAS LAS PC HAY ALGUNAS QUE DEBES DE PRECIONAR OTRO BOTON ) SE DEBE DE APRETAR "F8" Y
ACONTINUACION SE DEBERA MOSTRAR UNA IMAGEN COMO ESTA
A ESTE MENU SE LE LLAMA "MENU DE OPCIONES AVANZADAS DE WINDOWS"

3.- YA ESTANDO EN ESTE MENU SE DEBE DE SELECCIONAR LA OPCION DE "MODO SEGURO"

4.- UNA VEZ ENTRADO AL SISTEMA DEBEMOS DE IR A "MENU INICIO" Y DESPUES A "EJECUTAR"

5.- YA ESTANDO AHY DEBEMOS DE ESCRIBIR "MSCONFIG" ENTER O INTRO COMO ENTIENDAN, Y NOS MOSTRARA UNA
VENTANA COMO ESTA

6.- DESPUES NOS DIRIJIREMOS A LA OPCION "INICIO" O "STARTUP" Y NOS MOSTRARA LO SIGUIENTE
7.- EN EL APARTADO DE COMANDO DEBEMOS IDENTIFICAR EL VIRUS, CON ESTE PROCEDIMIENTO EVITAREMOS QUE EL
VIRUS SE EJECUTE CADA VEZ QUE INICIA EL SISTEMA, COMO LOGRARLO MUY FACIL, HAY DOS MANERAS DE IDENTIFICAR EL
VIRUS
*PARA LOS QUE YA TIENEN UN TANTO DE EXPERIENCIA CON LAS PC ES FACIL GUIARSE CON EL NOMBRE O "ELEMENTO DE
INICIO"
*PARA LOS QUE NO SE FAMILIARICEN CON ESTO ES FACIL GUIARSE CON EL APARTADO "COMANDO" ESTO POR QUE, BUENO
EL COMANDO ES LA DIRECCION O LA INSTRUCCION DE DONDE ,O DESDE DONDE SE EJECUTARA EL PROGRAMA QUE SE
INICIARA CON EL SISTEMA, NORMALMENTE TODOS LOS PROGRAMAS TIENEN EL COMANDO O LA DIRECCION DE ARCHIVOS
DE PROGRAMAS, WINDOWS, SYSTEM32. PERO EH AHY EL TRUCO LOS QUE PROVENGAN DE DOCUMENTS AND SETINGS
"NOMBRE DE USUARIO"(EJEMPLO: C"ocuments and SettingsAdministrador) YA ES ALGO RARO Y SI DE POR SI EL NOMBRE
QUE LO ACOMPAÑA SON PURAS INICIALES O UN NOMBRE RARO YA ES DE PELIGRO.

8.- UNA VEZ IDENTIFICADO EL VIRUS DENTRO DE ESTA LISTA, LO QUE DEBEMOS DE HACER ES DESELECCIONAR LA
PALOMITA QUE TIENE A SU IZQUIERDA Y PRESIONAR ACEPTAR

NOTA: UNA VEZ IDENTIFICADO EL VIRUS ANOTEN O MEMORIZEN LA RUTA DE DONDE PROVIENE EL VIRUS ES ESENCIAL
PARA ELIMINARLO TOTALMENTE DEL SISTEMA

9.- UNA VEZ HECHO ESTO SE CERRARA ESA VENTANA Y SE MOSTRARA OTRA QUE LE DIRA QUE SI QUIERE REINICIAR LA PC
PARA APLICAR CAMBIOS, EN ESTA VENTANA SE MOSTRARAN DOS BOTONES, "SALIR SIN REINICIAR" Y "REINICIAR" , POR
AHORA PRESIONAREMOS "SALIR SIN REINICIAR"

PERO DESGRACIADAMENTE CON TODO ESTO NO SE TERMINA EL PROBLEMA HAY QUE TERMINAR DE LIMPIAR LOS
RESIDUOS QUE DEJO ESTE VIRUS INICIANDO CON BUSCAR EL ORIGEN DEL VIRUS.

1.- DIRIGIRNOS NUEVAMENTE AL "MENU INICIO" Y DESPUES A "EJECUTAR" EN DONDE ESCRIBIREMOS "CMD" Y DESPUES
ENTER
2.- DENTRO DE ESTA VENTANA ESCRIBIREMOS CD..
NOTA: REPETIR ESTO HASTA QUEDAR EN LA UNIDAD RAIZ (EJEMPLO: C:_)

3.- UNA VEZ ESTANDO DESDE LA DIRECCION DE UNIDAD RAIZ ESCRIBIREMOS "ATTRIB /D /S -R -H -S *.*"

4.-AHORA TENDREMOS QUE ESPERAR HASTA QUE REGRESE O TE DE LA OPCION DE ESCRIBIR DE NUEVO Y APARTIR DE AQUI
DEBEMOS DE BUSCAR EL VIRUS EN LA DIRECCION QUE ANTERIORMENTE PEDI QUE RECORDARAN Y ELIMINARLO.
NOTA: HAY VECES QUE ESTE VIRUS VIENE ACOMPAÑADO DE UN SEGUNDO PERO CON UNA LETRA DE DIFERENCIA

NOTA URGENTE: PARA LOS USUARIOS DE WINDOWS XP SI ENCUENTRAN MAS ARCHIVOS NO LOS BORREN POR QUE
PUEDEN DAÑAR EL SISTEMA Y EVITAR QUE ENCIENDA DE NUEVO BIEN

AHORA MUY BIEN MUCHACH@S YA TENEMOS EL VIRUS ELIMINADO DESDE RAIZ PERO QUEDA UN DETALLE AUN MAS
GRANDE ELIMINAR LOS RESIDUOS QUE PUEDEN LOGRAR EL REGRESO DE EL VIRUS.

1.- PRIMERO SE ARA UNA BUSQUEDA PROFUNDA DESDE UNIDAD RAIZ, UTILIZAREMOS EL PROGRAMA DE BUSQUEDA QUE
BIENE CON WINDOWS, EN XP DEBEN DE DARLE "MENU INICIO" Y DESPUES "BUSQUEDA"(ESTO ES EN LA MAYORIA DE LOS
XP) Y EN WINDOWS 7 CON EL SIMPLE HECHO DE QUE TE VAYAS A "EQUIPO" Y TE VAYAS AL AREA PARA ESCRIBIR QUE DICE
"BUSQUEDA" ES MAS QUE SUFICIENTE

2.- UNA VEZ LOCALIZADO EL AREA DE BUSQUEDA ESCRIBIREMOS LO SIGUIENTE A BUSCAR( PARA USUARIOS DE XP ESCOJAN
LA OPCION DE "BUSCAR TODOS LOS ARCHIVOS O CARPETAS CON ESTE NOMBRE”, , LO QUE SE ESCRIBIRA ES "desktop.ini".

3.- ESPERAMOS QUE COMPLETE LA BUSQUEDA Y DESPUES ELIMINAREMOS TODOS AQUELLOS QUE APARESCAN CON ESTE
NOMBRE Y QUE ESTEN EN MINUSCULAS Y QUE PESEN 1KB REPITO NUEVAMENTE, SOLOMANETE LOS QUE ESTEN EN
MINUSCULAS Y PESEN 1KB .
4.- EN ALGUNOS CASOS CON ESTO ES SUFICIENTE, PERO PARA ASEGURAR VAYANSE EL "MENU INICIO" Y BUSQUEN (ESTO ES
PARA AMBOS SISTEMAS XP Y WIN 7) EN LA OPCION INICIO "desktop.ini" HAY ALGUNAS OCASIONES QUE SE ESCONDE AHY
PARA QUE CADA VEZ QUE INICIES EL SISTEMA SE VUELVA A REPRODUCIR EL VIRUS HAY ALGUNAS VECES QUE SE ESCONDEN
MAS ARCHIVOS DE ESTOS EN PARTES DEL MENU INICIO ASI QUE BUSCAR Y ELIMINAR.

NOTA: PARA MAYOR SEGURIDAD REPITAN LA BUSQUEDA QUE MENCIONES APARTIR DEL PASO 2 PERO EN DIFERENTES
CARPETAS QUE USTEDES UTILIZEN SIEMPRE Y QUE TENGAN MUCHAS CARPETAS EN USO PARA HACER LIMPIEZA MAS
AFONDO

Y AHORA SI A REINICIAR LA MAQUINA QUE YA QUEDO LIBRE DE TODO

PECADO XD Y DISFRUTAR DE NUEVO DE TODA LA VELOCIDAD Y SEGURIDAD
DEL SISTEMA.

POSDATA SI SU MAQUINA QUEDO INFECTADA POR QUE SU ANTIVIRUS NO

LO RECONOCIO RECOMEINDO DOS COSAS
1- VOLVER A REINSTALAR EL ANTIVIRUS
2- O CAMBIAR A LA VERSION MAS RECIENTE DE ESET, ESTE ANTIVIRUS ES
MUY BUENO ENCONTRA DE ESTE MOLESTO VIRUS

SI QUIERES PASAR EL RATO AQUI TE DEJO ALGO ENTRETENIDO