BANTAI USA EZRAEL AL MUKHLIS STUDIOS

Posted Enero 23, 2008

Después de dos meses luchando contra un virus (exactamente es un script, algo diferente a un virus) -BANTAI USA EZRAEL AL MUKHLIS STUDIOS- que se reproduce de forma incontrolable, y sobre todo mediante discos duros USB, tengo la solución que ningún antivirus de momento facilita. Tanto el comportamiento del virus como la solución que propongo ha sido probada en 12 ordenadores, con éxito.

Jesús Vélez

 Por cierto, podéis dejar comentarios con los resultados de la solución, o si tenéis otra mejor. Gracias

¿Cómo sé si estoy infectado o no?

  1. Si en la barra superior de Internet Explorer aparece el siguiente mensaje BANTAI USA EZRAEL AL MUKHLIS STUDIOS.
  2. Si al entrar en mi PC y hacer doble click sobre cualquiera de las unidades que aparecen ahí, no ocurre nada.
  3. Si tu USB, cuando le das a Extraer, y siempre te dice: no se pudo extraer en este momento (esto no ocurre en el 100% de los casos).

 No te preocupes, aquí vas a encontrar la solución.

Lo primero, es explicar un poco el comportamiento del virus:

Se contagia cuando ejecutamos la aplicación de Reproducción Automática, que se abre sola al insertar el USB, también cuando hacemos doble click sobre el icono del disco que sea dentro de mi PC. Por tanto, lo interesante es cerrar esa ventana automática y para abrir el disco, usar botón derecho y “abrir”, nunca dobles “clicks”.

Otro dato curioso es que el virus no contagia un ordenador completo, sino solo al usuario que lo ejecuta.

Para quitar el virus de un USB:
Inicio, ejecutar, escribe CMD y pulsar enter. Ahí pones el nombre de las unidades que quieres desinfectar seguidas de dos puntos, (por ejemplo: c:  d:  …) y pulsas enter de nuevo. Una vez dentro del directorio a limpiar, escribe: attrib -s -h *.*
Luego vas dentro del explorador de windows a mi PC y le das a f: (botón derecho y abrir), y ves los archivos, tienes que borrar el win31 vbs y el autorun.inf, y cualquier otro archivo oculto que no reconozcas como tuyo. En algún caso el win31 vbs ha originado otro archivo llamado key.exe y cuyo icono es una mariposa (la del msn explorer)

PARA QUITAR EL VIRUS de los discos duros fijos:

El proceso es el mismo que el de un USB, con la diferencia de que después de repetir el proceso para quitarlo de un USB para eliminar unos archivos, es necesario modificar el registro de Windows.

  1. Tienes que descargar e instalar el HijackThis. Una vez instalado, lo ejecutas, pulsas la opción System Scan Only y tienes que eliminar las siguientes entradas (las seleccionas y luego pulsas sobre Fix Checked)
    1. win31dll.vbs
    2. Mcafee
    3. nerocheck.exe
    4. Por último y evidentemente, también borras una entrada que aparece al principio que pone BANTAI USA EZRAEL AL MUKHLIS STUDIOS.
  2. Para evitar la entrada de nuevo del script, e inmunizar tu ordenador para que aunque conectes un usb infectado no se te instale en tu PC, hay que deshabilitar el Windows Script, una aplicación interna de Windows que ejecuta cosas varias sin pedir permiso. Para eso vamos a descargar el NoScript, un programilla -totalmente gratuito y legal, como el anterior- que lanzó Symantec para protegernos de este tipo de aplicaciones dañinas. Una vez que le hayas dado a deshabilitar (DISABLE) , no es necesario volver a hacer nada, ya que el registro, queda modificado hasta que lo vuelvas a cambiar.

Jesús Vélez

Continúa en http://jesusvelez.wordpress.com/2008/04/03/desinfectar-memoria-usb-bantai-news/

48 comentarios hasta ahora

  1. afectado on Enero 26, 2008

    gracias. funciona muy bien. Problema solucionado.

  2. miguel on Enero 28, 2008

    gracias todo ok

  3. Rodrigo on Enero 28, 2008

    Hola he seguido las instrucciones ya no me aparece Bantai Usa… en el internet explorer pero al entrar en mi pc y hacer doble click en c: me aparece el mensaje “No existe ningun motor de secuencia de comandos para la extension de archivo “.vbs”.”
    ¿Que debo hacer?Gracias.

  4. Tabike on Enero 30, 2008

    Si funciona bien pero yo le he tenido que pasar el CCleaner para funcionara bien ya que me aparecia de nuevo al reiniciar

  5. jose on Febrero 1, 2008

    Oyo chico esto funciona de perlas. Pero cada vez que intento abrir una unidad de disco con doble click me aparece: “No existe ningún motor de secuencia de comandos para la extensión “.vbs”.

    Muchas gracias.

  6. AFECTADA352 on Febrero 2, 2008

    hola no encuentro los archivos, donde suelen estar he mirado en c\: carpeta por carpeta pero no lo encuentro ¿que podria hacer? muchas gracias

  7. Yo on Febrero 3, 2008

    Funciona Ok, alguno de esos ficheros no los tenía pero ha dado igual.
    Gracias

  8. sandro on Febrero 3, 2008

    a mi tambien me aparece “No existe ningún motor de secuencia de comandos para la extensión “.vbs”.

    aber si encontrais alguna solucion gracias.

  9. Sergio on Febrero 4, 2008

    Muchas gracias Jesús, ha funcionado perfectamente.

  10. pepa on Febrero 4, 2008

    Jesús, he seguido tus instrucciones y en la barra de Internet explorer, tampoco aparece Bantai…, pero me ocurre lo mismo que a otros, al dar doble clip sobre d: y e: (mis dos particiones), me aparece “no existe ningun motor de secuencia de comandos para la extension de archivos “vbs”. ¿todavía está el virus?. ¿Hay alguna forma de solucionarlo?.Tengo pocas nociones de informática. Muchas Gracias anticipadas

  11. andrea on Febrero 4, 2008

    Gracias

  12. enrique gisbert villegas on Febrero 5, 2008

    a mi se me quita o de bantai y eso.. pero se me vuelve a poner

  13. Xavi on Febrero 6, 2008

    Muchas gracias, llevaba como 4 meses con el jodido bantai. estas hecho un crack

  14. Xavi on Febrero 6, 2008

    pero me aparece el mismo problema, de que ” no existe ningun motor de secuencia de comandos para la extension de archivos “vbs” que hago?

  15. miguelangel79 on Febrero 6, 2008

    Fantastico Jesús, muchas gracias eres un fenomeno. GRACIAS

  16. pablinha on Febrero 6, 2008

    Gracias a Dios, llevo todo el dia enloquecida y todo por unos files de un usb ajeno. Todo parecía tan inocente.

  17. Jesús on Febrero 7, 2008

    Una cosa que está por probar es la solución para el script BANTAI, para Windows Vista. Si alguien sabe cómo eliminarlo se lo agradecería, ya que es el único matiz que me falta por solucionar.

  18. Xavi on Febrero 7, 2008

    Hice lo que sugieres al inicio de la pagina con mi disco duro portatil y ahora no lo reconoce. Podrias darme una solución?. Gracias por todo

  19. mvgp on Febrero 10, 2008

    al ejecutar el programa que dices en el primer paso para quitar el virus de un disco duro fijo no m salen los archivos que tu dices que hay que seleccionar y eliminar nosé que hacer!!

  20. Manuel on Febrero 10, 2008

    Muchas gracias, parece que funciona.

  21. DESESPERADO on Febrero 11, 2008

    a mi me sigue apareciendo el mismo error que el usuario Rodrigo: “No existe ningun motor de secuencia de comandos para la extension de archivo “.vbs”.”

    Por favor es urgente es un ordenador del trabajo que esta en produccion, os lo agradeceria.

  22. jose on Febrero 12, 2008

    Yo he tenido el problema… un latazo, …, he leído mucho… y de momento con el pandaantivirus online, acaba quitando el virus (verificado con kaspersky y mcfee y eset nod32 (dejo enlaces de panda y eset)… eso si, tuve que pasarlo dos veces …

    Lo del BAnzai lo tengo aún.. hay que tocar el registro pero en foros como foroespyware.com lo explican muy bien como hacerlo…

    Aun no me he metido con el tema de los pen… creo que la solución que dan aquí puede ser util… en caso de que el antivirus online no sea efectivo o no lea la unidad que todo es posible…

    Suerte con este rollo…

    http://www.pandasecurity.com/spain/homeusers/solutions/activescan/?

    http://www.eset-la.com/online-scanner/eset-online-scanner-en-su-sitio.php

  23. Paco on Febrero 18, 2008

    me ha pasado lo mismo que a enrique gisbert villegas, lo quite pero al poner el internet explorer por 2º ve me salio otra vez lo del bantai…

  24. Nuria on Febrero 19, 2008

    ¡Muchas gracias! Ha sido mano de santo. Problema resuelto.

  25. marie on Febrero 20, 2008

    muchissimas gracias jesus!! eres genial!!!

  26. dilueiras on Febrero 21, 2008

    lo repetiis todo de nuevo (todos los pasos)
    hasta que al reiniciar ya no os sale
    muchas gracias por la info
    fue bien!!!!!

  27. Javier on Febrero 23, 2008

    Eliminado, me tenía un poco mosqueao este virus
    Gracias

  28. Antonio on Febrero 27, 2008

    Muchas Gracias Jesús, llevo una semana buscando por internet y al fín encuentro la solución. Buen trabajo, mis felicitaciones por tu labor de investigación.

  29. Carlitos on Febrero 28, 2008

    Muchas gracias x vuestra ayuda, m ha sido muy util, aunque me sucede lo mismo q algunos de vosotros : al intentar abrir alguna unidad de disco con doble click aparece “No existe ningun motor de secuencia de comandos para la extension de archivo “.vbs”.”
    Gracias de todos modos y a ver si podemos arreglar esto. Chao

  30. alberto on Marzo 1, 2008

    Desde la estepa de siberia…gracias de nuevo Mr. Velez. Por aqui mucho frio y mucho Bantai.

  31. miryam on Marzo 8, 2008

    Me ocurre lo que a otros al intentar abrir alguna unidad de disco con doble click aparece “No existe ningun motor de secuencia de comandos para la extension de archivo “.vbs”.”
    Que solución tiene

  32. napoleon on Marzo 9, 2008

    k bueno lo probare y espero sea todo un exito con mi usb

  33. Ivan on Marzo 12, 2008

    Perfecto!! Eliminado.
    Para aquellos que al intentar abrir alguna unidad de disco con doble click les aparece “No existe ningun motor de secuencia de comandos para la extension de archivo “.vbs”.” Tienen que borrar el fichero autorun.inf del directorio C:\ (o de la unidad afectada)

  34. Pini on Marzo 12, 2008

    Hola. Muchas gracias por tus instrucciones. Ha funcionado a la perfección. Virus eliminado.

  35. Juan Carlos on Marzo 15, 2008

    Muchas gracias, he solucionado el problema con tus recomendaciones. Un gesto que dice mucho de tu parte el ponerlo en la web disponible para todos, gracias de verdad sinceramente. Espero que tengas suerte y si te hace falta algo por canarias da un toque al correo electronico.

    Un saludo

  36. Nera on Marzo 28, 2008

    Hola Jesus, yo soy bastante paquetilla en este tema pero estoy también con la bromita del Bantai y intentando Ejecutar + CMD + attrib -s -h *.* en c: o d: no me da nada. De echo no puedo acceder a f!
    Jo jo jo, tan novata soy o es que hay algo que no chuta?
    Gracias por aclarar mi linterna

  37. Heriberto on Abril 1, 2008

    El error de:
    “No existe motor de secuencia de comandos para la extensión de archivo .vbs”
    Se soluciona haciendo clic derecho y despues instalar en el archivo “wsh.inf” en el directorio
    “C:\WINDOWS\inf”.

  38. Desinfectar memoria USB (bantai news) « Jesús Vélez on Abril 3, 2008

    [...] Desinfectar memoria USB (bantai news) Posted Abril 3, 2008 Este post, es una continuación del de: bantai-usa-ezrael-al-mukhlis-studios. [...]

  39. carlo on Abril 9, 2008

    muchas gracias desde galicia. todo funciona perfectamente y muy facil ya se lo paso a toda la gente , que esta bastante difundido este virus

  40. pez on Abril 12, 2008

    hola jesús!

    muchísimas gracias por tu gran ayuda!!
    eres un crack, estaba a punto de formatear, menos mal que he visto tu blog..

    un saludo!!!

  41. arranzca on Abril 12, 2008

    Fantástico, despué sde intentar buen montón de consejos y recetas, esta funciona realmente, qué descanso! Gracias

  42. eva on Abril 16, 2008

    Gracias por todo! Lo único es que desde que tuve el virus me aparecían un montón de pop-ups, spams o publicidad cada vez que abría una página web…no sé si tiene que ver con el Bantai pero me sigue sucediendo aunque ya no tenga el nombre de Bantai USA en el explorer…si alguien entiende de esto por favor que me diga qué puedo hacer!!! Otra cosa que me sucede es que al intentar descargar el antivirus Pandasecurity mi antivirus me dice que ese archivo (Panda)tiene un virus jajajaja!

  43. depresor on Abril 18, 2008

    genial, ha funcionado perfectamente, muchas gracias Vélez ;)

  44. Alfredo on Abril 28, 2008

    Estimado Jose, he realizado los pasos que indicabas y naturalmente ( la informatica y yo no somos muy compatibles) y no sale ningun win31dll.vbs
    Mcafee
    nerocheck.exe

    solo sale el BANTAI … en una tercera linea al final de todo.

    Quiza tenga que ver con un error que ha dado.

    De todas formas gracias

  45. Teresa on Mayo 10, 2008

    Jesús, muchisimas gracias por tu información, quiero que sepas que tengo instalado el antivirus Panda Security 2008 y no me quitaba el problema del BANTAI, ni tampoco el servicio técnico, que me había mandado varios correos con diferentes instrucciones, pero seguía el problema. Eres un crak. Dice mucho de ti el que hayas puesto tu ayuda.

  46. javier redondo lorenzo on Mayo 10, 2008

    MUCHAS GRACIAS POR EL CONSEJO! MUY UTIL!

  47. Rockertz on Mayo 11, 2008

    Me ha ido de perlas, pero igual que alguien comentaba por ahí al entrar haciendo doble click me saltaba una ventana con un mensaje que decía “No existe ningun motor de secuencia de comandos para la extension de archivo “.vbs”.”. Sin embargo, tras reiniciar lo solucioné bien, gracias.

  48. Mariquitos on Mayo 14, 2008

    Gracias, me ha funcionado. Despues de hacer todo el proceso, me salia un mensaje de error al darle al doble click sobre la unidad de la unidad de USB afectada. Lo soluciné desenchufando y volviendo enchufar, aunque reiniciando el pc también vale.

    De todas formas la unidad afectada era un disco duro portatil USB, intenté hacer la primera de las soluciones y no me dejaba eliminar el .vbs. Asi que intenté la segunda (la de los discos duros fijos) y ya me funcionó. Supongo que aunque sea USB hay que realizar tmb el 2º proceso como si fuera un disco duro fijo

Leave a reply