Eliminar virus de accesos directos en USB

Junio 2015

En ocasiones, al conectar un pendrive o memoria SD en algún

ordenador desconocido, las carpetas de dicha unidad "desaparecen" y
quedan únicamente "Accesos Directos". Al conectar la misma unidad
USB en tu ordenador personal, éste termina infectándose y causa el
mismo efecto en todas las unidades extraíbles conectadas. Esto se
debe a un malware "Script de Visual Basic (VBS)", que oculta todas las carpetas y crea Accesos
Directos con sus nombres, pero con un destino diferente.

Cómo eliminar el virus que crea Accesos Directos

Existe una forma sencilla para desinfectar los ordenadores infectados con dicho malware. Basta
seguir estos pasos: Opcion 1 - Modo Facil

Descargar la Herramienta "Desinfecta_USB_LC", desinfecta las Unidades Extraibles y

desactiva los malwares dentro del Ordenador, Descargar Aqui

Opcion 2 - Modo Manual (Solo para Ordenadores)

Ejecuta el Administrador de Tareas de Windows (taskmgr.exe) y en la pestaña Procesos

finaliza el proceso

"wscript.exe"

. En Windows 8 tienes que ir a la pestaña Detalles, que se puede visualizar en la opción

Más Detalles, ubicada en la parter inferior izquierda:
El Administrador de Tareas se puede ejecutar fácilmente presionando las teclas: CTRL + ALT +
SUPR (DEL)

Luego, ejecuta el Editor de Registro (regedit.exe) e ingresa a las siguientes dos claves (o
rutas) y elimina las entradas vinculadas al malware:

Clave 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Clave 2:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cada "\" en las claves significa una separación de carpetas, en total son seis carpetas:
En las claves antes mencionadas se encuentran los programas que se ejecutan al Inicio de
sesión. En la Clave 1 se ejecutan los programas para todos los usuarios y en la Clave 2 solo
para el usuario actual. Al estar en dichas claves, debes buscar y observar detalladamente los
programas con nombres extraños y que no tienes instalados en tu sistema. Algunos comunes
son "Microsoft", "Roof", "Help", entre otros. Aquí un ejemplo del malware "onbrerfwab":

Clave 1: Malware "Onbrerfwab.vbs" alojado en la Carpeta

"C:\Users\Usuario\AppData\Local\Roaming" Este malware es muy fácil de observar y
encontrar, ya que presenta un nombre no común y al principio de su descripción suele empezar
con

"wscript.exe"

, además al final de la ruta se encuentra el archivo con extensión: ".vbs" o ".vbe". Al encontrarlo
en alguna de las Claves, podrás ver en qué otra parte del Registro se encuentra simplemente
presionando la tecla "F3". Al hacer esto se dirigirá a otras claves. Así podrá eliminar todo rastro.
Por otra parte, fíjate en la ruta de la carpeta y borra el malware de raíz. Debes tener claro que no
todo archivo VBS es un malware o virus. .
 Finalmente, al terminar los pasos anteriores, reinicia tu ordenador

El documento «Eliminar virus de accesos directos en USB» de Kioskea (es.kioskea.net) se encuentra disponible bajo
una licencia Creative Commons. Puedes copiarlo o modificarlo siempre y cuando respetes las condiciones de dicha
licencia y des crédito a Kioskea.