Eliminar Redlofs, Quitar el gusano Redlofs

Como quitar este gusano Redlofs que se copia a todas las unidades a las que tiene acceso el sistema. En este post se establecen los pasos para eliminar este gusano Redlofs

El gusano Redlofs se copia a todas las unidades a las que tiene acceso el sistema. No infecta otros ficheros, pero si que se replica a través de las redes de ordenadores.

El gusano utiliza como icono el correspondiente a las carpetas para engañar al usuario. Busca directorios y activa el atributo de oculto, también activa ese atributo de oculto a los ficheros, además de ocultar las extensiones por defecto, y se copia a ese directorio con el nombre: [nombre de carpeta].exe

Para evitar este gusano Redfols ha de realizar lo siguiente:

  • Reinicie el ordenador en Modo Seguro, en modo A prueba de fallos.
  • Pase su Antivirus (en caso de no tener ningun antivirus, no dude en descargar la siguiente versión de prueba de MySecurity Center)
  • Elimine los siguientes ficheros
    • %Windir%\10.1.08.exe (Windir es el directorio de instalación de Windows)
    • %Windir%\1o.1.o8.exe (Windir es el directorio de instalación de Windows)
    • %Systemdrive%\10.1.08.exe (Systemdrive es la unidad donde está instalado Windows)
    • ¡Ojo! Deberá comprobar del archivo autorun.inf los archivos de todos los discos infectados (fijos, mapeados o extraibles)
  • Abrir el intérprete de comandos y escribir
    • reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ 
      Policies\System /v DisableRegistryTools
  • Editar el registro de windows:
    • Eliminar del registro la siguiente clave:
      Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\     
      Valor: "10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun"
      
      Clave: HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\     
      Microsoft\Windows\CurrentVersion\Run\     
      Valor: "1o.1.o8" = "C:\WINDOWS\1o.1.o8.exe hcurun"
      
      Clave: HKLM\SOFTWARE\Classes\     
      Valor: ".key" = "exefile"HKLM\SOFTWARE\Classes\.key
    • Restaurar las entradas del registro a sus valores por defecto:
      Clave: HKU\S-1-5-21-1172441840-534431857-1906119351-500\Software\    
       Microsoft\Windows\CurrentVersion\Policies\Explorer     
      Valor: "NoFolderOptions" = "0"
      
      Clave: HKU\S-1-5-21-1172441840-534431857-1906119351-500\Software\    
       Microsoft\Windows\CurrentVersion\Policies\System\     
      Valor: "DisableTaskMgr" = "0"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".bat" = "batfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".cmd" = "cmdfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".com" = "comfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".hta" = "htafile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".js" = "JSfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".JSE" = "JSEfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".msi" = "Msi.Package"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".pif" = "piffile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".reg" = "regfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".scr" = "scrfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".VBE" = "VBEfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".vbs" = "VBSfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".WSF" = "WSFfile"
      
      Clave: HKLM\SOFTWARE\Classes\
      Valor: ".WSH" = "WSHfile"
  • Eliminar los archivos temporales del ordenador.
  • Vaciar la papelera de reciclaje.

Resumen de Redlofs

Nombre completo: Worm.W32/Redlofs@US

Tipo: Gusano.

Plataforma: W32 – Ejecutable (.EXE, .SCR, .DLL) que corre en Windows de 32 bits

Alias: W32.Redlofs

Deje un comentario