Eliminar Redlofs, Quitar el gusano Redlofs
El gusano Redlofs se copia a todas las unidades a las que tiene acceso el sistema. No infecta otros ficheros, pero si que se replica a través de las redes de ordenadores.
El gusano utiliza como icono el correspondiente a las carpetas para engañar al usuario. Busca directorios y activa el atributo de oculto, también activa ese atributo de oculto a los ficheros, además de ocultar las extensiones por defecto, y se copia a ese directorio con el nombre: [nombre de carpeta].exe
Para evitar este gusano Redfols ha de realizar lo siguiente:
- Reinicie el ordenador en Modo Seguro, en modo A prueba de fallos.
- Pase su Antivirus (en caso de no tener ningun antivirus, no dude en descargar la siguiente versión de prueba de MySecurity Center)
- Elimine los siguientes ficheros
- %Windir%\10.1.08.exe (Windir es el directorio de instalación de Windows)
- %Windir%\1o.1.o8.exe (Windir es el directorio de instalación de Windows)
- %Systemdrive%\10.1.08.exe (Systemdrive es la unidad donde está instalado Windows)
- ¡Ojo! Deberá comprobar del archivo autorun.inf los archivos de todos los discos infectados (fijos, mapeados o extraibles)
- Abrir el intérprete de comandos y escribir
-
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ Policies\System /v DisableRegistryTools
-
- Editar el registro de windows:
- Eliminar del registro la siguiente clave:
Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Valor: "10.1.08" = "C:\WINDOWS\10.1.08.exe hlmrun" Clave: HKEY_USERS\S-1-5-21-1172441840-534431857-1906119351-500\Software\ Microsoft\Windows\CurrentVersion\Run\ Valor: "1o.1.o8" = "C:\WINDOWS\1o.1.o8.exe hcurun" Clave: HKLM\SOFTWARE\Classes\ Valor: ".key" = "exefile"HKLM\SOFTWARE\Classes\.key
- Restaurar las entradas del registro a sus valores por defecto:
Clave: HKU\S-1-5-21-1172441840-534431857-1906119351-500\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer Valor: "NoFolderOptions" = "0" Clave: HKU\S-1-5-21-1172441840-534431857-1906119351-500\Software\ Microsoft\Windows\CurrentVersion\Policies\System\ Valor: "DisableTaskMgr" = "0" Clave: HKLM\SOFTWARE\Classes\ Valor: ".bat" = "batfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".cmd" = "cmdfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".com" = "comfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".hta" = "htafile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".js" = "JSfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".JSE" = "JSEfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".msi" = "Msi.Package" Clave: HKLM\SOFTWARE\Classes\ Valor: ".pif" = "piffile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".reg" = "regfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".scr" = "scrfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".VBE" = "VBEfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".vbs" = "VBSfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".WSF" = "WSFfile" Clave: HKLM\SOFTWARE\Classes\ Valor: ".WSH" = "WSHfile"
- Eliminar del registro la siguiente clave:
- Eliminar los archivos temporales del ordenador.
- Vaciar la papelera de reciclaje.
Resumen de Redlofs
Nombre completo: Worm.W32/Redlofs@US
Tipo: Gusano.
Plataforma: W32 – Ejecutable (.EXE, .SCR, .DLL) que corre en Windows de 32 bits
Alias: W32.Redlofs
