Pasos para eliminar El virus de los accesos directos v5.vbs

Manual en Español 

Hola amigos 

Anda dando vueltas un virus muy difícil de eliminar, que borra carpetas y archivos de un pen drive y solo deja accesos directos. 

En mi caso es el v5.vbs y luego de romperme los cuernos buscando la forma de eliminarlo de mis computadoras finalmente puedo compartir mi experiencia con uds. 

En este tutorial trataré de explicar cómo podemos librarnos de este molesto bicho.

¿Qué es? 

Un archivo vbscript del visual basic similar a los muchos que ya tiene Windows. Al ser un archivo aparentemente “normal” del Windows los antivirus no lo detectan como amenaza o en todo caso no lo pueden eliminar ya que se oculta en lugares jodidos como el registro, el inicio, etc. Windows por defecto no deja que se modifiquen o borren estos archivos. 

¿Cómo se propaga? 

1.Actúa directamente en unidades de memoria externas (pen drive) 

2.Al insertar el pendrive en la maquina infectada automáticamente se carga el virus en este dispositivo en forma oculta y al mismo tiempo se modifican todas las carpetas que contiene transformándolas en “accesos directos” 

3.Al intentar abrir en vano estas “falsas carpetas” en otra PC activamos el virus también en ese sistema y desde ese momento infectará cada pendrive que insertemos. 

¿Cómo saber si tu pendrive está infectado? 

Abrir el directorio raiz del pendrive, si las todas carpetas están en forma de acceso directo entonces este dispositivo está infectado. NO INTENTAR ABRIR ESTAS CARPETAS 

¿Cómo saber si la computadora está infectada? 

Copiar o crear una nueva carpeta en un pendrive recién formateado y supuestamente libre de virus, esperar unos instantes, si al cabo de unos segundos ésta se transforma en acceso directo entonces la computadora tiene el virus activo e infectará a cada pendrive sano que insertemos. 

Como eliminar el virus de la PC (Windows 7) 

Ver los elementos ocultos 

Primero que nada pondremos nuestra PC en modo ¡Super Sayayin! para poder ver los archivos ocultos que nos interesan: 

Abrimos el explorador de Windows con cualquier carpeta 

Arriba a la derecha desplegamos “organizar” y tocamos “opciones de carpeta y búsqueda” 

Luego en la pestaña “ver” marcamos la opción “mostrar archivos y carpetas ocultas”

Más abajo sacamos el tilde de “ocultar archivos protegidos” y de “ocultar las extensiones de archivos conocidos” si nos sale el aviso de archivos protegidos pulsar “SI”

luego “aplicar” y “aceptar” 

Ahora ya podemos ver en la PC o en el pendrive infectado al dichoso virus y también a las carpetas originales (ya ocultas) más las carpetas falsas que en realidad son accesos directos que activan el virus NO TOCAR NADA 

Ahora nos fijaremos si nuestra PC tiene el virus v5.vbs 

En “inicio” ejecutamos “msconfig” para abrir la ventana de configuración del sistema 

En la pestaña “inicio de Windows” ensanchamos la columna “comando” y ubicamos los que tengan la terminación “v5.bvs” 

Anotaremos cuidadosamente lo que dice allí en este caso es: wscipt.exe//B “C:UsersUTN HPAppDataRoamingv5.vbs” 

Luego ensanchamos la columna “ubicación” y anotamos la dirección que dice allí: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun 

En este punto ya sabemos que nuestra PC tiene efectivamente el virus y donde se localiza, pero por más que lleguemos a esos lugares lo podremos ver pero no podremos eliminarlo porque hay un comando del sistema que lo mantiene activo y es el “wscript.exe” 

Debemos abrir el “administrador de tareas” ejecutando la clásica secuencia Ctrl + Alt + Del y en la pestaña “procesos” ubicamos a “wscript”, lo seleccionamos y luego pulsamos “finalizar proceso”

hora ya podremos ir a la primera dirección que es: C:UsersUTN HPAppDataRoaming 

Allí encontraremos a ese virus HDP tomando sol y con una cerveza asi que lo seleccionamos y lo hacemos boleta 

Si nos sale este cartel ponemos SI

Si nos sale este otro cartel es porque hicimos mal uno de los pasos anteriores y no alcanzamos a desactivar “wscript.exe” por lo que debemos volver a los pasos anteriores 

una vez eliminado el v5 de la carpeta “roaming” nos resta borrarlo del registro 

MUCHO CUIDADO CON ESTE PROCEDIMIENTO YA QUE NO HAY MARCHA ATRÁS 

Vamos a inicio y ejecutamos “regedit” 

Seguimos la segunda dirección que era HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun 

y eliminamos el archivo v5.vbs 

Luego cerramos todo y reiniciamos la PC 

Felicidades ¡!!!!! la PC ya está libre del virus 

Notas: 

•HKCU es igual a HKEY_CURRENT_USER 

•HKLM es igual a HKEY_LOCAL_MACHINE 

•Hay variantes del nombre del virus lo que importa es que tiene la extensión vbs 

•Posiblemente aparezca dos o más veces en el inicio de Windows por lo que hay que hacer lo propio con cada uno 

Eliminar el virus del pen drive 

Aclaración: solo con una PC sana se puede curar el pendrive 

Con la PC aún en modo Super Sayayin accedemos al pendrive infectado y podremos ver todo 

NO ABRIR CARPETAS NI EJECUTAR NADA DE LO QUE HAY ALLI de lo contrario infectaremos a la PC nuevamente 

Opción 1 

Si los archivos que hay allí no son importantes simplemente formateamos el pendrive y ya está 

Opción 2 

Si necesitamos recuperar los archivos y carpetas procedemos asi: 

Seleccionamos a v5 y todos los accesos directos y los borramos 

Nos quedarán luego solamente las carpetas y archivos originales solo que en una vista semitransparente por que estarán en modo oculto y por más que intentemos cambiar las propiedades veremos que no se puede 

Para solucionar esto ejecutamos “cmd” y entramos en símbolo del sistema y ponemos la letra correspondiente a la unidad (en este caso es G) seguido de dos puntos y pulsamos enter 

Luego ponemos attrib -h -r -s *.* /s /d luego enter 

Salimos de modo símbolo de sistema 

Observaremos como las carpetas recuperan los atributos originales y ya se pueden ver 

bueno con esto ya esta eliminado lo malo del pen drive 

ES MUY NECESARIO salir del modo super sayayin para evitar accidentes con los archivos importantes del sistema. 

Ingresamos en la pestaña “ver” pulsar “restaurar valores predeterminados” aplicar y aceptar 

Nota: 
•El virus puede tener otros nombres pero su extencion es generalmente vbs 
•Incluso puede alojarse en otras carpetas diferentes del registro 
•En Windows xp algunas cosas pueden variar pero el procedimiento es muy similar

Fuente: 

http://www.taringa.net/posts/ciencia-educacion/17404812/El-virus-de-los-accesos-directos-v5-vbs.html