Académique Documents
Professionnel Documents
Culture Documents
Dentro
de
este
directorio
te
genera
varios
archivos
entre
ellos
sus
ejecutables.
(Los nombres de los ejecutables pueden variar debido que cada vez que infecta crea
distintos nombres. En el administrador de procesos encontraras 3 de ellos en
ejecucion.)
o
amdsys.exe
cmdproc.exe
hphost64.exe
intelmonitor.exe
msupdater.exe
Como puedes notar, el archivo es un JS, con un codigo que ejecuta el archivo wscript.exe
de windows, generando apartir de este otros archivos executables.
Si crees que tu caso es similar al que describo, puedes intentar los pasos con los que elimin esta
amenaza de mi sistema SIN FORMATEAR (Solo probado en Windows 8).
(En algunos foros recomiendan formatear )
Forma automatica
Este metodo puede que no funcione, ya que el archivo por lotes que hice, solo fue probado en mi
equipo (Windows 8), y no te aseguro que funcione, cabe aclarar que si lo pruebas no daara tu
sistema ya que solo se enfoca en eliminar el virus y no intenta eliminar nada de tu computadora.
1.
Copia y pega el siguiente codigo en un editor de texto plano, asignale un nombre y ponle al
final del nombre la extension ".bat" (sin las comillas). Ej: desinfectarme.bat
@echo off
pushd C:\Users\User\AppData\Roaming\oygecjf
FOR %%A IN (*.exe) do (
tasklist /FI "IMAGENAME eq %%A" 2>NUL | find /I /N "%%A">NUL
if "%ERRORLEVEL%"=="0" taskkill /f /im %%A
)
rd /s /Q C:\Users\User\AppData\Roaming\oygecjf
cd /d %%i\.Trashes
attrib /s /d -r -s -h -a *.*
rd /s /Q 662
for %%p in (*) do move "%%p" %%i\
for /d %%t in (*) do move "%%t" %%i\
rd /s /Q %%i\.Trashes
del /Q %%i\*.lnk
)
)
2.
Ejecuta el archivo que acabas de crear, dando doble click sobre el mismo. Si no
funciona
prueba dando click derecho sobre el archivo y selecciona la opcion "Ejecutar como
administrador".
Este script eliminar el virus de tus memorias usb y de tu equipo
Si despues de realizar esto sigues teniendo este molesto malware sigue los siguientes pasos.
Forma manual
Este metodo se ajustara mas a las caracteristicas de tu equipo.
1.
Inserta las Memorias USB que esten infectadas, (una vez limpio el equipo si insertas una
memoria infectada es muy posible que se vuelva a infectar, si no tienes ninguna no hay
inconveniente, solo saltate los pasos en que se incluya una memoria USB)
2.
3.
Busca los procesos con nombres de imagen "Microsoft Windows Based Script Host"
4.
5.
6.
Termina los procesos con nombres de imagen "Microsoft Windows Based Script Host"
que buscaste en el administrador de tareas.
7.
8.
9.
Dependiendo que letra tengan asignadas las memorias USB escribe estos comandos en la
consola, para cada memoria (para el ejemplo la letra de la unidad sera "F" sustituye esta por la
tuya).
cd F:
attrib /s /d -r -s -h -a *.*
del *.lnk
10.
Ahora entra a tu memoria usb, aparecera una carpeta llamada .Trashes dentro de ella, en
esta carpeta deberas borrar otra carpeta llamada 662 ya que ahi es donde se aloja el virus y no
queremos que reviva
11.
12.