ELIMINAR VIRUS .

TRASHES, VIRUS DE ACCESOS DIRECTOS, RECUPERA TUS

ARCHIVOS OCULTOS

Si te han infectado con el "virus" que te esconde tus archivos en una

carpeta llamada ".Trashes" en tu memoria USB y/o equipo, en su lugar
crea accesos directos, sabrs que por el momento (19/10/2014) ningn,
antivirus lo reconoce y mucho menos te lo elimina.
CARACTERSTICAS DEL VIRUS:

o
o
o
o
o

Te crea un directorio en "C:\Users\User\AppData\Roaming\"

llamado "oygecjf"
Dentro de este directorio te genera varios archivos entre ellos sus
ejecutables.
(Los nombres de los ejecutables pueden variar debido que cada
vez que infecta crea distintos nombres. En el administrador de
procesos encontraras 3 de ellos en ejecucin.)
amdsys.exe
cmdproc.exe
hphost64.exe
intelmonitor.exe
msupdater.exe
Dentro de los dispositivos extrables infectados, encontraras un
archivo llamado "pjypxr.js". Este es el virus, el mismo que va infectando
los dems equipos.
Crea accesos directos en tu memoria USB, escondiendo tus
archivos originales.
Como puedes notar, el archivo es un JS, con un cdigo que ejecuta
el archivo wscript.exe de windows, generando a partir de este otros
archivos ejecutables.
Si crees que tu caso es similar al que describo, puedes intentar los pasos
con los que elimin esta amenaza de mi sistema SIN FORMATEAR (Solo
probado en Windows 8). (En algunos foros recomiendan formatear).

FORMA AUTOMTICA:
Este mtodo puede que no funcione, ya que el archivo por lotes que
hice, solo fue probado en mi equipo (Windows 8), y no te aseguro que
funcione, cabe aclarar que si lo pruebas no daara tu sistema ya que
solo se enfoca en eliminar el virus y no intenta eliminar nada de tu
computadora.
1.
2.
3.
4.
5.
6.
7.

Copia y pega el siguiente codigo en un editor de texto plano.

Abre el administrador de tareas.
Busca un proceso llamado "Microsoft Windows Based Script
Host"
Da click derecho sobre el y selecciona propiedades.
Copia
el
valor
de
"Ubicacin:
"(debe
parecerce
a
"C:\Users\User\AppData\Roaming\oygecjf")
Sustituye "C:\Users\User\AppData\Roaming\oygecjf" por el valor
que copiaste anteriormente, observa que hay dos lneas en las que
tienes que cambiar el directorio que copiaste.
Guarda ese archivo, asgnale un nombre y ponle al final del
nombre la extensin ".bat" (sin las comillas). Ej: desinfectarme.bat
@echo of
pushd C:\Users\User\AppData\Roaming\oygecjf
FOR %%A IN (*.exe) do (
tasklist /FI "IMAGENAME eq %%A" 2>NUL | find /I /N "%%A">NUL
if "%ERRORLEVEL%"=="0" taskkill /f /im %%A
)
rd /s /Q C:\Users\User\AppData\Roaming\oygecjf
for /F "usebackq tokens=1,2,3,4 " %%i in (`wmic logicaldisk get
caption^,description^,drivetype 2^>NUL`) do (
if %%l equ 2 (
cd /d %%i\.Trashes
attrib /s /d -r -s -h -a *.*
rd /s /Q 662
for %%p in (*) do move "%%p" %%i\
for /d %%t in (*) do move "%%t" %%i\
rd /s /Q %%i\.Trashes

del /Q %%i\*.lnk
)
)
taskkill /F /im wscript.exe
pause
8.

Ejecuta el archivo que acabas de crear, dando doble click sobre el

mismo. Si no funciona
prueba dando click derecho sobre el archivo y
selecciona la opcin "Ejecutar como administrador".
Este script eliminar el virus de tus memorias USB y de tu equipo.
Si despus de realizar esto sigues teniendo este molesto malware sigue
los
siguientes
pasos.
FORMA MANUAL: ESTE METODO SE AJUSTARA MAS A LAS
CARACTERISTICAS
DE
TU
EQUIPO.

1.

Inserta las Memorias USB que estn infectadas, (una vez limpio el
equipo si insertas una memoria infectada es muy posible que se vuelva
a infectar, si no tienes ninguna no hay inconveniente, solo sltate los
pasos en que se incluya una memoria USB)
2.
Ejecuta el administrador de tareas (Ctrl + Alt + Supr)
3.
Busca los procesos con nombres de imagen "Microsoft
Windows Based Script Host"
4.
Da click derecho sobre alguno de ellos y selecciona
"Propiedades"
5.
Copia la direccin que te aparece en "Ubicacion:" Se parecer a
"C:\Users\User\AppData\Roaming\oygecjf"
6.
Ve a esa ubicacin, y mantn abierta esa carpeta.
7.
Termina los procesos con nombres de imagen "Microsoft
Windows Based Script Host" que buscaste en el administrador de
tareas.
8.
Borra el contenido de la carpeta, de la direccin que copiaste, o
puedes borrar la carpeta entera que contiene estos archivos, es decir la
carpeta "oygecjf" este nombre no siempre es el mismo.
9.
Ejecuta el smbolo del sistema (Windows + R y despus escribes
CMD y enter)
10.
Dependiendo que letra tengan asignadas las memorias USB
escribe estos comandos en la consola, para cada memoria (para el
ejemplo la letra de la unidad ser "F" sustituye esta por la tuya).
o
cd F:
o
attrib /s /d -r -s -h -a *.*
o
del *.lnk
11.
Ahora entra a tu memoria usb, aparecer una carpeta llamada
.Trashes dentro de ella, en esta carpeta debers borrar otra carpeta

llamada 662 (esta carpeta puede llamarse diferente, generalmente el

nombre es un numero de tres cifras) ya que ahi es donde se aloja el
virus y no queremos que reviva
12.
Corta los dems archivos y pegalos en la raiz de la unidad.
13.
elimina la carpeta .Trashes, y todo lo que compruebes que no sea
tuyo.
14.
Ten cuidado si encuentras algn archivo .exe, .bat, .js. No los
ejecutes si nos son tuyos, elimnalos de inmediato.