Cmo eliminar el virus de Autorun.inf` que crea carpetas .

exe` en
dispositivos USB y otras memorias portables


Como trabaia el virus que inIecta memorias USB?

Los virus que se distribuyen a traves de memorias USB utilizan la propiedad de autoeiecucion o autorun de
los dispositivos de almacenamiento extraibles. ya sea CDROM. memorias USB o discos duros portatiles.
Cuando en un equipo inIectado se ingresa una memoria USB. el virus inmediatamente trata de copiar los
archivos que lo componen: el codigo malicioso y el archivo para lanzar el virus que es el autorun.inf.
Normalmente los archivos autorun.inf no son maliciosos; contienen inIormacion de los programas a
eiecutarse automaticamente cuando se inserta un dispositivo removible en la computadora.
El autorun.inf malicioso aparece como un archivo oculto y eiecuta un codigo daino cuando se hace doble
clic sobre la unidad de memoria USB. Contiene algo parecido a este codigo:
[autorun]
OPENvirus.exe
shellexecutevirus.exe
shellAuto&Autoplav
shellAutocommandvirus.exe
shellAuto
ACTIONAbrir Disco

Por otro lado si se ingresa la memoria USB en una maquina inIectada. el virus se encargara de crear en el
dispositivo USB el archivo oculto autorun.inf a la vez que oculta las carpetas existentes y crea otras con su
mismo nombre pero agregandoles la extension .exe. Como nuestras carpetas originales no podemos verlas
(normalmente no vemos los archivos ocultos) solo quedan a nuestra vista las duplicadas por el virus. Al
abrir una de estas carpetas el virus se transmite a nuestra computadora.
Tambien suele aparecer en los dispositivos USB otra carpeta oculta maliciosa llamada notepad.exe.

Como saber si nuestro equipo esta inIectado?
Abrir la Configuracion del sistema yendo a Inicio -~ Eiecutar y escribir msconfig en la ventana. dar
Aceptar. Tomar la precaucion de NO MODIFICAR NADA. Pisar la solapa Inicio y si entre los Elementos
de inicio encontramos uno con signos de exclamacion (''''''). nuestra maquina posee el virus.



Primero intentaremos quitar el virus de la computadora porque de nada vale eliminarlo de las memorias
portables cuando aun permanece en nuestra maquina ya que se transmitiria a estos nuevamente.

1- Crear punto de restauracin
Por las dudas crear un punto de restauracion del sistema. Ir a -~ Programas -~ Accesorios -~ Herramientas
del sistema y hacer clic en Restaurar sistema.
Buscar !!!!!!` en esta lista


Una vez abierta la ventana seleccionar Crear punto de restauracion. clic en Siguiente. colocar un nombre
identiIicatorio (p. ei. Sistema antes de quitar el virus de autorun.inI) y hacer clic en Crear y listo. Si nuestro
proceso de limpieza no Iunciona bien podemos volver totalmente atras entrando otra vez a Restaurar
sistema tal como antes y seleccionamos Restaurar mi equipo a un estado anterior. clic en Siguiente y al
pararnos sobre la Iecha donde creamos el punto de restauracion este aparecera. Al hacer clic en Siguiente
nos pedira la conIirmacion. clic en Siguiente y ya estamos como al principio.

2- Ejecutar antivirus
Actualizar nuestro antivirus. escanear todas las unidades y eliminar virus.
Si no tenemos conexion a internet es imprescindible al menos actualizar el antivirus a traves de archivos.
Si utilizamos el antivirus NOD32 (version 2.7) podemos cargar un archivo de actualizacion que se incluye
en el paquete (2009-oct-02.27.zip). Una vez descomprimido ese archivo abrimos el Centro de Control de
NOD32 haciendo clic sobre su icono ubicado en la barra de tareas al lado del reloi. Luego pisar sobre
Update (o Actualizar) y luego clic en Setup (o Configuracion).



























En el cuadro de Ubicacion hacer clic en Servidores. luego en Agregar y colocar la direccion completa de
donde se ubica nuestra carpeta Update descomprimida del archivo de actualizacion. Dar Aceptar y ahora
elegir como servidor en el cuadro de Ubicacion la direccion ingresada. Clic en Aceptar y pisar Actualizar
ahora. De esta Iorma el NOD32 ya esta listo para que ahora escaneemos nuestras unidades de disco.

3- Instalar Registrv Booster
Si no tenemos conexion a internet obviar este punto.
Instalar y registrar el limpiador de registro Registrv Booster. que se incluye en este paquete. u otro conIiable
de su gusto. La clave para registrarlo esta incluida en el paquete.
Luego eiecutarlo y comenzara a escanear nuestro sistema automaticamente. Al Iinalizar hacer clic en
Reparar errores y listo.


4- Mostrar archivos ocultos
Necesitamos tener a la vista el archivo autorun.inf para poder eliminarlo por si no lo hizo el antivirus.
Abrimos Explorador de Windows (o Mi PC) y del menu Herramientas seleccionamos Opciones de
carpetas. Pisamos sobre la solapa Jer y marcamos Mostrar todos los archivos v carpetas ocultos. Puede ser
conveniente ver extensiones conocidas y archivos de sistema pero CUIDADO de no eliminar ninguno de
estos. Para esto deshabilitar las marcas de Ocultar archivos protegidos del sistema operativo y de Ocultar
las extensiones de archivo para tipos de archivo conocidos de la misma ventana de Opciones de carpetas.
Luego hacer clic en Aceptar. Igualmente esto ultimo no es imprescindible para nuestra tarea.



Es necesario veriIicar que se pueden ver los archivos ocultos. Suelen aparecer con un aspecto transparente
dentro de las carpetas que los contienen. Para asegurarnos de esto abrimos nuevamente Opciones de
carpetas como lo hicimos antes y observamos que la opcion Mostrar todos los archivos v carpetas ocultos
permanezca marcada. Si no es asi repetimos el proceso de marcado como antes por si lo habiamos hecho
mal. VeriIicamos nuevamente y si no esta como lo deiamos entonces debemos solucionarlo desde el editor
del registro de Windows. Hay veces que el virus impide que podamos ver los archivos ocultos.
Para remediarlo desde el editor de registro tenemos que seguir los siguientes pasos pero con EXTREMO
CUIDADO ya que estamos en el corazon de Windows y podemos mandarnos una macana: Ir a Inicio -~
Eiecutar y escribir regedit en la ventana. dar Aceptar. Abrir pulsando sobre los signos
Mi PCHKEYLOCALMACHINESOFTWAREMicrosoftWindowsCurrentJersionExplorerAdvancedFolderHiddenSHOWALL y
en la parte derecha veremos una entrada que se llama CheckedJalue. la cual por deIecto es una entrada tipo
DWORD. y el virus la elimina y crea una de nombre identico. a veces de tipo alIanumerica.


Ir haciendo clic en los +
Lo que debemos hacer es eliminarla y crear una tipo DWORD con valor 1. Hacemos clic con el boton
derecho sobre ella y seleccionamos Eliminar. Luego pulsamos el boton derecho del mouse en cualquier
parte libre del lado derecho. nos paramos sobre Nuevo y elegimos Jalor DWORD; le cambiamos el nombre
colocando CheckedJalue. hacemos doble clic sobre ella y escribimos el numero 1 en Informacion del valor.
Aceptar y cerramos le registro del sistema. Ahora si podemos ver los archivos ocultos.

5- Crear una carpeta autorun.inf de barrera
El archivo malicioso autorun.inf suele copiarse desde los dispositivos USB a los directorios raices de los
discos rigidos de nuestra computadora. Si el antivirus no logro eliminarlo debemos hacerlo manualmente.
Ademas debemos crear una carpeta con su mismo nombre para que actue como una barrera protectora.
Primero sobre el escritorio pulsaremos el boton derecho del mouse y al pararnos sobre Nuevo se desplegara
otro menu donde pisaremos Carpeta. Le colocamos el nombre autorun.inf y damos ENTER. Seria bueno
crear una subcarpeta dentro de esta para que el virus no pueda eliminarla con Iacilidad. Para esto hacemos
doble clic sobre ella y de la misma Iorma creamos una carpeta y le colocamos cualquier nombre.
Ahora pisamos sobre nuestra carpeta autorun.inf del escritorio y con clic del boton derecho del mouse
elegimos Propiedades. Marcamos el atributo de Solo lectura y damos Aceptar. Nuevamente con clic del
boton derecho sobre nuestra carpeta ahora elegimos Copiar.



Abrimos Mi PC y luego nuestro disco C. Buscamos el archivo oculto malicioso autorun.inf y al encontrarlo
damos UN SOLO CLIC del boton izquierdo del mouse sobre el y luego presionamos las teclas SHIFT ( ) y
DELETE simultaneamente para eliminarlo sin que pase por la Papelera de reciclaie. Inmediatamente
presionamos al mismo tiempo las teclas CTRL y J para que se pegue nuestra carpeta del escritorio. Si
apareciera algun cartel que impida nuestra accion debemos revisar si eliminamos correctamente el archivo
malicioso. Ahora tenemos que veriIicar visualmente la existencia de nuestra carpeta. Estas acciones
debemos realizarlas rapidamente porque al eliminar el archivo malicioso el virus intentara crearlo
nuevamente de Iorma automatica.
Si tenemos particiones y otros discos rigidos (como la unidad D. por ei.) repetimos en cada una lo realizado
sobre la unidad C.
De esta manera hemos creado una barrera para el archivo malicioso. ya que Windows no permite 2 archivos
y/o carpetas con el mismo nombre dentro de un directorio y cuando el virus quiera insertar el archivo
malicioso autorun.inf se encontrara con nuestra carpeta del mismo nombre y no podra introducirse en
nuestros directorios raices. que es donde se aloia.

6- Eliminar el virus del inicio de Windows
Quiza el antivirus no haya quitado el virus del inicio. Lo que haremos sera reiniciar el sistema en modo
seguro (o modo a prueba de Iallos). Para asegurarnos esto abrimos la Configuracion del sistema desde Inicio
-~ Eiecutar y escribimos msconfig en la ventana. damos Aceptar. Hacemos clic en la solapa BOOT.INI y en
el sector Opciones de inicio marcamos /SAFEBOOT. clic en Aceptar y reiniciamos el equipo.


Al arrancar el equipo seguramente aparecera una ventana en la que conIirmaremos que queremos trabaiar en
modo a prueba de errores.



Abrimos nuevamente la Configuracion del sistema como lo hicimos antes. Lo primero que haremos es
desmarcar /SAFEBOOT de la solapa BOOT.INI para que cuando arranquemos de nuevo lo haga
normalmente; presionamos Aplicar. Saltamos a la solapa Inicio y como al comienzo buscamos entre los
Elementos de inicio los signos de exclamacion ('''''') y algun nombre que contenga numeros y letras. el
cual en la columna de comando aparezca escrito igual seguido de la extension .exe (como p. ei. 464ac6.exe).
Desmarcamos ambos elementos. damos Aplicar y luego Cerrar. Ante la opcion de reiniciar elegimos Salir
sin reiniciar.



Desmarcar !!!!!!` de la lista
y algo como 464ac6.exe`
Ahora abriremos el editor del registro yendo a Inicio -~ Eiecutar y escribiendo regedit en la ventana. clic en
Aceptar. Ampliamos bastante la parte izquierda de la ventana y con EXTREMO CUIDADO pulsando sobre
los signos buscamos Mi PCHKEYLOCALMACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupfolder y
ampliando la vista de subcarpetas de este ultimo vemos si aparece alguna que contenga los signos de
exclamacion ('''''') y otra con el mismo nombre compuesto por numeros y letras que encontramos en el
msconfig. Si estas existen pulsamos sobre cada una el boton derecho del mouse y elegimos Eliminar.
Vamos a la clave siguiente: Mi PCHKEYLOCALMACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg
y eliminamos las subcarpetas inIecciosas tal como lo hicimos con la clave anterior.
Tomar la precaucion de NO MODIFICAR O ELIMINAR OTRA COSA.



Reiniciamos la computadora habiendo deshabilitado el modo a prueba de errores.
Es momento de veriIicar la ausencia del virus y lo hacemos como se indico al comienzo cuando lo
buscamos en nuestro equipo. Abrir la Configuracion del sistema yendo a Inicio -~ Eiecutar y escribir
msconfig en la ventana. dar Aceptar. Tomar la precaucion de NO MODIFICAR NADA. Pisar la solapa
Inicio y entre los Elementos de inicio no deben aparecer los signos de exclamacion ('''''') ni el elemento
compuesto por numeros y letras que vimos anteriormente.
Si aun aparece el virus seria bueno repetir el proceso de desinIeccion por si hicimos algo mal. Si no hay
manera de que desaparezca debemos probar con algun antispyware como el Spyware Doctor. que se incluye
en el paquete. Para instalarlo necesitamos conexion a internet. Debemos considerar que este programa
utiliza muchos recursos de nuestra computadora por lo cual puede producir que trabaie de Iorma mas lenta.
Si no tenemos un equipo bien potente es recomendable utilizarlo por el virus y luego desinstalarlo.

7- Eliminar el virus de los dispositivos de memoria USB
Una vez que hemos limpiado la computadora es hora de hacerlo con todos los dispositivos de memoria USB
que tengamos (pen drives. mp3. celulares con memoria externa. camaras digitales. etc.). de a uno a la vez.
Primero vamos al escritorio y copiamos nuestra carpeta autorun.inf como lo hicimos en el punto 5.
Ahora conectamos nuestro dispositivo USB a la maquina. Si el antivirus detecta algo lo eliminamos.
Igualmente resulta beneIicioso escanear el dispositivo con el antivirus.
Terminado esto. a traves de Mi PC. exploramos el contenido de nuestra memoria. Si esta inIectado
encontraremos nuestras carpetas duplicadas con la extension .exe y las originales ocultas. ademas de la
carpeta notepad.exe y el dichoso archivo malicioso autorun.inf (si no lo elimino el antivirus). Por supuesto
tienen que estar visibles los archivos ocultos (Herramientas -~ Opciones de carpetas. solapa Jer -~
Mostrar todos los archivos v carpetas ocultos) tal como los habiamos deiado.
NO DEBEMOS ABRIR NINGUNA CARPETA TERMINADA EN .exe NI EL ARCHIVO autorun.inf. si
no queremos inIectar nuestra maquina de nuevo. Debemos eliminar cada una de estas presionando SHIFT y
DELETE simultaneamente. una vez seleccionadas. pero CUIDADO DE NO ELIMINAR NUESTRAS
CARPETAS ORIGINALES. Tambien debemos eliminar la carpeta RECYCLER. si esta aparece. OJO. NO
ELIMINAR LA/S CARPETA/S RECYCLER DE NUESTO/S DISCO/S RIGIDO/S.
Yendo al menu Edicion -~ Pegar crearemos una carpeta autorun.inf barrera en nuestro dispositivo USB.
Desplazar esta barra hacia la
derecha para poder ver el
nombre de las claves de
Iorma completa
Buscar entre estos elementos
Ya podemos quitarles la propiedad de ocultas a nuestras carpetas originales y con clic del boton derecho del
mouse y pisando Propiedades desmarcamos el atributo Oculto. Damos Aceptar.
Es imprescindible repetir este proceso con cada uno de nuestros dispositivos de memoria USB.
Cuando hayamos terminado con todos nuestros dispositivos USB reiniciamos el equipo y veriIicamos
nuevamente desde la Configuracion del sistema (como se explica al Iinal del punto 6) la ausencia del virus.
Si este apareciera nuevamente repetimos el punto 6 completamente.
Cada vez que coloquemos nuestros dispositivos en una computadora inIectada apareceran las carpetas .exe
pero el archivo malicioso autorun.inf no podra hacerlo debido a la barrera que creamos anteriormente y que
es importante mantener. Asimismo cuando conectemos estos inIectados a nuestra computadora limpia no
correremos el riesgo de traspaso del virus siempre que no abramos las carpetas .exe que luego quitaremos.
En conclusion: si volvemos a inIectar nuestros dispositivos USB en otras maquinas no contagiaremos la
nuestra si nos maneiamos como se indico previamente. pero tendremos que tomarnos el trabaio de restaurar
las carpetas cada vez que eso suceda.