Pgina Principal

Rss feed
Follow me

Eliminar virus .Trashes, recupera tus

archivos ocultos
Posted by Juan Vctor Gomez Sanchez on 10:34 p. m.

18
Si te han infectado con el "virus" que te esconde tus archivos en una carpeta llamada
".Trashes" en tu memoria USB y/o equipo, sabras que por el momento (19/10/2014) ningun,
antivirus lo reconoce y mucho menos te lo elimina.

Este malware me infecto la computadora de el cyber-caf que atiendo, alentando mucho el

equipo y escondiendo todos mis archivos de los pendrives.

Caracteristicas del virus:

Te crea un directorio en "C:\Users\User\AppData\Roaming\" llamado "oygecjf"

Dentro
ejecutables.

de

este

directorio

te

genera

varios

archivos

entre

ellos

sus

(Los nombres de los ejecutables pueden variar debido que cada vez que infecta
crea distintos nombres. En el administrador de procesos encontraras 3 de ellos en
ejecucion.)

amdsys.exe

cmdproc.exe

hphost64.exe

intelmonitor.exe

msupdater.exe

Dentro de los dispositivos extraibles infectados, encontraras un archivo llamado

"pjypxr.js". Este es el virus, el mismo que va infectando los demas equipos.

Como puedes notar, el archivo es un JS, con un codigo que ejecuta el archivo
wscript.exe de windows, generando apartir de este otros archivos executables.

Si crees que tu caso es similar al que describo, puedes intentar los pasos con los que elimin
esta amenaza de mi sistema SIN FORMATEAR (Solo probado en Windows 8).
(En algunos foros recomiendan formatear )

Forma automatica
Este metodo puede que no funcione, ya que el archivo por lotes que hice, solo fue probado en
mi equipo (Windows 8), y no te aseguro que funcione, cabe aclarar que si lo pruebas no
daara tu sistema ya que solo se enfoca en eliminar el virus y no intenta eliminar nada de tu
computadora.

1.

Copia y pega el siguiente codigo en un editor de texto plano, asignale un nombre y

ponle al final del nombre la extension ".bat" (sin las comillas). Ej: desinfectarme.bat
@echo off
pushd C:\Users\User\AppData\Roaming\oygecjf
FOR %%A IN (*.exe) do (
tasklist /FI "IMAGENAME eq %%A" 2>NUL | find /I /N "%%A">NUL
if "%ERRORLEVEL%"=="0" taskkill /f /im %%A
)

rd /s /Q C:\Users\User\AppData\Roaming\oygecjf

for /F "usebackq tokens=1,2,3,4 " %%i in (`wmic logicaldisk get

caption^,description^,drivetype 2^>NUL`) do (
if %%l equ 2 (
cd /d %%i\.Trashes
attrib /s /d -r -s -h -a *.*
rd /s /Q 662
for %%p in (*) do move "%%p" %%i\
for /d %%t in (*) do move "%%t" %%i\
rd /s /Q %%i\.Trashes
del /Q %%i\*.lnk
)
)

taskkill /F /im wscript.exe

pause

2.

Ejecuta el archivo que acabas de crear, dando doble click sobre el mismo. Si no
funciona

prueba dando click derecho sobre el archivo y selecciona la opcion "Ejecutar

como administrador".
Este script eliminar el virus de tus memorias usb y de tu equipo.

Si despues de realizar esto sigues teniendo este molesto malware sigue los siguientes pasos.

Forma manual
Este metodo se ajustara mas a las caracteristicas de tu equipo.

1.

Inserta las Memorias USB que esten infectadas, (una vez limpio el equipo si insertas
una memoria infectada es muy posible que se vuelva a infectar, si no tienes ninguna no hay
inconveniente, solo saltate los pasos en que se incluya una memoria USB)
2.

3.

Ejecuta el administrador de tareas (Ctrl + Alt + Supr)

Busca los procesos con nombres de imagen "Microsoft Windows Based Script
Host"
4.

Da click derecho sobre alguno de ellos y selecciona "Propiedades"

5.

Copia la direccion que te aparece en "Ubicacion:" Se parecer a

"C:\Users\User\AppData\Roaming\oygecjf"

6.

Termina los procesos con nombres de imagen "Microsoft Windows Based Script
Host" que buscaste en el administrador de tareas.
7.

Borra el contenido de la carpeta, de la direccion que copiaste, o puedes borrar la

carpeta entera que contiene estos archivos, es decir la carpeta "oygecjf" este nombre siempre
es el mismo.
8.
9.

ejecuta el simbolo del sistema (Windows + R y despues escribes CMD y enter)

Dependiendo que letra tengan asignadas las memorias USB escribe estos comandos

en la consola, para cada memoria (para el ejemplo la letra de la unidad sera "F" sustituye esta
por la tuya).
o
o

attrib /s /d -r -s -h -a *.*
o

10.

cd F:

del *.lnk

Ahora entra a tu memoria usb, aparecera una carpeta llamada .Trashes dentro de

ella, en esta carpeta deberas borrar otra carpeta llamada 662 ya que ahi es donde se aloja el
virus y no queremos que reviva
11.

Corta los demas archivos y pegalos en la raiz de la unidad.

12.

elimina la carpeta .Trashes

Bueno eso es todo, ojala y te sirva, un saludo

- See more at: http://jvmxgs.blogspot.com/2014/10/eliminar-virustrashes.html#sthash.JcHTMXFS.dpuf