Para ser vendido por el

unico precio de S/. 2.00

Este manual detalla como eliminar los mas famosos virus propagados por memorias y redes,
usalo preferentemente acompañado de un experto para evitar daños colaterales por el mal
uso o los errores, puesto que los errores de este pueden conducir a el mal desempeño de la
pc.

Eliminar virus Recycler

 Abrir una consola de comandos (cmd.exe) (y mantener abierta)

 Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe (ctrl+alt+sup y eliminar proceso explorer.exe)
 Tipear:
cd \Recycler
 Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con
el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
 Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa (aaaaaaes el nombre de la
carpeta)
 Abrir el explorador de windows tipeando en la consola:
explorer.exe. (desde la consola cmd)
 Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y
veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y
limpiamos la ruta del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active
Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}.

eliminar virus sistem volumen informacion

eliminar si en el registro de windows

es posible que si no lo encuentres reiniciar en modo prueba de errores y usar un programa
especial para eliminar como por ejemplo killfyle u derivados, antes de todo prueba buscando
los archivos con el clasico buscador de archivos de windows, y eliminarlos, ahora axclaro con
negrillas crea un punto de restauracion de el sistema la actualizacion de este virus asocia su
contenido con el sistema de arranque, para eliminarlo en este caso se usa el avast antivirus
scan, aquí les ba la ruta de estos agentes maliciosos.

C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-

B801CDB321CC}\RP31\A0016808.sys
 C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-
B801CDB321CC}\RP31\A0016821.sys
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-
B801CDB321CC}\RP31\A0017857.dll
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-
B801CDB321CC}\RP31\A0018669.dll
C:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-
B801CDB321CC}\RP31\A0018679.dll
F:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-
B801CDB321CC}\RP31\A0018728.dll
F:\System Volume Information\_restore{1D5C70FC-04DE-4367-8F31-
B801CDB321CC}\RP31\A0018729.sys

Eliminar Thumbs.db

son pequeños archivos (bases de datos) que actúan como caché para las miniaturas del
explorador de Windows. Algo muy molesto de esta implementación es que habrá uno en cada
carpeta que haya algo visualizable, como una imagen, video, pdf, etc… Además, aunque es un
archivo oculto, Windows lo gestiona de una manera bastante tonta: por ejemplo, si
comprimimos una carpeta en un archivo zip, lo más probable es que se nos haya guardado al
menos un Thumbs.db, algo que, evidentemente, no nos sirve para nada en ese archivo.

Pero existe un pequeño truco para que Windows no genere esta clase de archivos:

 Vete hasta el Panel de Control (Inicio-> Panel de Control)

 Elige Opciones de Carpeta, si estás en la vista clásica. Si no estás en esta vista
cámbialo.
 Ve hasta la pestaña Ver.
 En la lista que te aparece, vete hasta abajo del todo, marca No alojar en caché las
vistas en miniatura y dale a Aceptar.

y ya está, ya puedes decirle adiós a los pesados (no de tamaño) archivos Thumbs.db. Con esto
ya no se generarán más, pero tampoco borra los anteriores, que seguirán ahí. Por cierto, este
sistema se creó para poder previsualizar carpetas de forma rápida, así que si lo deshabilitas,
puede que navegues por los directorios un poco más lento, sobre todo si estás viendo alguna
carpeta con la previsualización activada.

como eliminar khr

Removerlo Manualmente.

Primero es conveniente desconcetar las máquinas de la red, siempre y cuando esto sea
posible dado el tamaño de la organización.

Matar el proceso csrcs.exe ( ojo, no confundir con csrss.exe que es de Windows )

* Eliminar el archivo csrcs.exe de la carpeta System32.

* Eliminar el archivo autorun.inf de la misma carpeta, y del raiz de los discos y existiera.

*Eliminar los archivos khs y khr del raiz de los discos, si existiera.

*Abrir el editor del registro (ojo, pueden dejar fuera de operación Windows si cambian algo
indebido, no apro para principiantes primero llamar a cel.990910121) y buscar csrcs.exe.

*Borrar del registro las llamadas a este proceso, salvo en una llave donde aparace como valor
asignado a una clave junto a explorer.exe, es decir el valor de la clave será "Shell=
Explorer.exe csrcs.exe" . En este caso editar la clave y dejar solo Explorer.exe.

*Buscar tambien en el registro la sección "Mountpoints2". En esta sección se encuantran los

puntos de montaje, entre otros, de las unidades de red. Por ajemplo "#server#F", que indica la
existencia de una unidad de red mapeada a "\\server\F". Verifique que no existan clave shell,
open o run apuntando a un archivo exe de la unidad de red, si existe borrenlo.

*Deshabiliten la autoejecución para las unidades de CD y USB. Pueden hacerlo por políticas
(ejecutando gpedit.msc): Directiva de equipo local, configuración del equipo, plantillas
administrativas, sistema, Desactivar reproducción automática. Deben habilitar esta política y
aplicarla a todas la unidades. Cierren gpedit y fuercen la aplicación de las políticas (ejecutando
gpupdate /force)

*En este punto, convendría reiniciar el equipo, conectarlo a la red pero no acceder a ningun
carpeta fuera de nuestra PC hasta no actualizar el antivirus y escanear la máquina.
Luego de hacer esto en todas las máquinas, verifiquen que no se hayan creado en los share los
archivos de infección, y borrenlos si están allí.

Con esto deberían quedar limpios nuevamente!

Espero a alguien le resulte de utilidad, me llevó cerca de una semana dominar el proceso de
eliminación!

Eliminar virus Autorun.inf

Necesitas

1.- bloc de notas

esta es la ruta a seguir Inicio/todos los programas / accesorios/ bloc de notas
2.- el dispositivo a desinfectar.

Pasos
1.- lo primero que haremos es ir al bloc de notas... (ya la ruta la di anteriormente)
2.- bueno una vez abierto el bloc de notas
haremos lo siguiente :
lo dejamos en blanco todo
3.-ahora le damos en guardar como:
le damos en tipo de archivos Todos
y le ponemos como nombre autorun.inf
y le damos guardar... (en mi caso lo guardo en el escritorio por la comodidad de tener el
archivo a la mano)
4.-una vez que tenemos el archivo le damos copiar.
y ahora nos dirigimos a la unidad infectada
5.-lo que haremos es pegarlo en la unidad infectada
claro que nos saldra un aviso diciendonos... ya existe un archivo autorun.inf desea
remplazarlo?
pues le damos si!
6.-ahora entramos a la unidad, no te preocupes si te sigue saliendo ese mismo cuadro de
abrir con.
7.-buscamos el autorun.inf y lo eliminamos
8.-Luego reiniciamos nuestra Pc... y veran que ese molestoso cuadro ya no aparece mas

Importante

este ultimo metodo sirve para eliminar tanto estos

molestosos autorun.inf , como cualquier virus, etc
solo es cuestion de remplazarlo por uno que no tenga codigo
malicioso, (osea en blanco, si deceas pones TECNOLOGICAL
AMERICAN CENTER)
Lo crean con la misma extension(.inf) en el bloc de notas y
listo!
ah eliminar virus que son imposible de ELIMINAR para
algunos antivirus...
Tips por Paul Cornejo Peralta
990910121
paul@tac-peru.com