Segunda vez que me encuentro con este virus, y no encuentro una guia detallada de como borrarlo asi que hare una con lo que investigue y aprendi.
Sintomas del virus:
-La DD parece llenarse solo.
-No puedes abrir el Administrador de tareas, ni el gpedit, ni el cmd.
-Las paginas cargan muuy lento.
-No te sale la opcion de carpetas en Herramientas, ni en el panel de control.
-Y otros que no recuerdo xD
Lo primero seria, desbloquear el gpedi.msc
para hacerlo solo necesitamos abrir un Bloc de Notas y poner este codigo dentro:
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell" )
On Error Resume Next
WshShell.RegDelete "HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools"
WshShell.RegDelete "HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools"
Y lo guardas como desbloquear.vbs (no importa mucho el nombre solo importa que termine con .vsb), y lo ejecutas
Ahora que tienes el Gpedit.msc desbloqueado necesitamos desbloquear el administrador de tareas
para desbloquearlo vas a
Inicio>Ejecutar:
te saldra un cuadro donde pones gpedit.msc
y se te abrira una ventana, vas a darle donde dice
Plantillas Administrativas(Configuracion de Usuario)>Sistema>Opciones de Ctrl+Alt+Sup
les saldra una opcion de Quitar Administrador de Tareas, le dan doble click y la ponen en Deshabilitada
Si con eso no se les desbloquea el Administrador de Tareas vamos a la siguiente parte:
Inicio>Ejecutar:
en el cuadro pones regedit
Se te abrira una ventada y vas a la siguiente direccion:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
En la parte derecha busca algun valor que haga referencia al Taskmgr y eliminalo, y no cierres el regedit
Ya con eso se les deberia de haber habilitado el Administrador de Tareas
Ahora abrimos el Administrador de Tareas y cerramos cualquier proceso que tenga estos nombres:
SSCVIHOST.EXE
New Folder.exe
blastclnnn.exe
Normalmente solo hay 1 proceso pero siempre hay exepciones.
Ahora buscaras en estas direcciones del regedit:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>NT>CurrentVersion>Winlogon
"Shell" = "Explorer.exe SSCVIHOST.exe"
(Editar y eliminar la palabra SSCVIHOST.exe dejando sólo Explorer.exe)
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
"Yahoo Messengger" = "% System% SSCVIHOST.exe"
(Eliminar esta entrada)
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>WorkgroupCrawler>Shares
"Shared" = "NOMBRE New Folder.exe"
(Eliminar esta entrada)
Estas ultimas 4 normalmente no salen dichas entradas, Pero de todas maneras busquenlas.
Restaurar las siguientes entradas en el registro a sus valores originales, si es necesario:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System
"DisableTaskMgr" = "1"
(Ajuste a cero (0) para habilitar)
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Policies>System
"DisableRegistryTools =" 1 "
(Ajuste a cero (0) para habilitar)
HKEY_CURRENT_USER>Software>Microsoft>Windows>Policies>CurrentVersion>Explorer
"NoFolderOptions" = "1"
(Ajuste a cero (0) para habilitar)
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>Programa "AtTaskMaxHour"
(Eliminar una entrada aquí que tiene un nombre con blastclnnn.exe, o simplemente borrar todas las entradas aquí)
Ahora nos toca Borrar el Virus, para eso necesitamos tener habilitado la opcion de carpeta de Herramientas, para hacer que los archivos "invisibles" se puedan ver, Probaremos distintas formas de Habilitar las Opciones de Carpeta:
1°Inicio>Ejecutar:
Abres el gpedit.msc y vas a la siguiente direccion
Plantillas Administrativas(Configuracion de Usuario)>Componentes de Windows>Explorador de Windows
Buscan la opcion "Quitar el menu de opcion de carpetas del menu de herramientas"
Doble click la ponen en deshabilitar, aplicar y despues en no configurada y aplicar,para ver si funciono van a la Carpeta de Mis Documentos y le dan a la opcion Herramientas, debe salir la Opcion "Opciones de carpetas"
2° Pegas el siguiente codigo en un bloc de notas
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoFolderOptions"=dword:0000000
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoBrowserOptions"=dword:00000000
lo guardas con el nombre "folderoptions.reg" (sin los ", y no importa mucho el nombre solo importa que termine con .reg), y lo ejecutas.
3° Vas a
Inicio>Ejecutar:
regedit y vas a la siguiente direccion:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Buscas la entrada llamada NoFolderOPtions y le das doble click le cambias el valor de 1 a 0.
Ya deberias de tener la Opciones de carpeta Habilitada, Si no es asi, sigue intentando o busca otra manera (aunque no encontre otra manera)
Ahora vamos a hacer las carpetas visibles
Vamos a cualquier carpeta y le damos en:
Herramientas>Opciones de Carpeta:
Nos saldra una Ventana le daremos en la Pestaña donde dice "Ver", y buscaremos la opcion:
- Mostrar todos los archivos y carpetas Ocultos
Y buscamos mas abajo la opcion:
- Ocultar archivos protegidos del sistema operativo
Le quitamos la flechita.
Y ahora vamos a la carpeta:
C:>WINDOWS:
En esta carpeta vamos a buscar los siguientes archivos:
-blastclnnn.exe
-SSCVIHOST.exe
-New Folder.exe
No siempre se encuentran todos.
Ahora reinician la PC y hacen un scanner en la carpeta Windows(hay es donde siempre esta ese virus)
Despues de eso les sugiero Pasar el Ccleaner
Y con eso esta todo listo, Espero haberlo hecho lo mas entendible posible .
Comenten Porfavor