Eliminar virus y reparar registro por malware desde la cmd

Ver el tema anterior Ver el tema siguiente Ir abajo

Eliminar virus y reparar registro por malware desde la cmd

Mensaje  r00t el Dom Oct 16, 2011 11:23 am

- Finalizar los procesos activos del virus:

taskkill /f /im xxxx.exe
taskkill /f /im xxxx.exe


- Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos:

attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\xxxx.com
attrib -s -h -r C:\xxxx.exe

- Proceder a la eliminación de estos archivos usando el comando delete:

/f: forzar el borrado
/q: borrar sin pedir confirmación
/a: indicar que son archivos con atributos los que se van a eliminar:

del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a


- Quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32:

del /f c:\windows\system32\xxx.exe
del /f c:\windows\system32\xxx.exe


- Borrar del registro los valores creados por el virus para evitar su ejecución autómatica al inicio del sistema:
(Podemos crear un Script o añadirlo desde la misma cmd)

reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v xxxx /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v xxxx /f


- Restauramos la opción de poder ver los archivos ocultos y de sistema:
(Podemos crear un Script o añadirlo desde la misma cmd)

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f


- Script para restaurar el registro, de modo que se puedan ver los archivos y carpetas ocultas

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f

Un saludo.
avatar
r00t

Mensajes : 37
Puntos : 110
Fecha de inscripción : 25/02/2011

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.