Infecciones de pc
Con los contenidos de sus revistas he aprendido basicamente todo lo que se de computacion lo cual me a permitido apoyar a una empresa de autoservicio local con varias sucursales en la implementacion de su sistema de administracion. bueno pero hoy requiero apoyo tengo 4 equipos creo infectados con un virus en los equipos con Windows Xp aparece un icono en todas las particiones que dice Recycler no lo detectan los antivirus ya intente con varios mas de 8 y no lo detectan trate con ms y logro borrarlos pero posteriormente reaparecen se me estan eliminando varios archivos y se me infectan mis presentaciones de power point.
en el equipo con Vista el archivo aparece con el nombre de $Recycle.bin tambienen todas las particiones, ya tengo ese problema extendido a los celulares de la familia en todas las memorias usb y en las memorias de las camaras ¿Que puedo hacer?
espero me puedan dar algun consejo.
Gracias
Anexo lo que encontre y ya realice pero sigo con el problema
Este dispositivo vino a sustituir al disco flexible, el cual nunca evoluciono para ofrecer una mayor capacidad de almacenamiento más allá de los 1.4M. Sin embargo, al igual que su predecesor, este dispositivo se esta convirtiendo en un nueva fuente de transmisión de virus. Hace poco me encontraba en un lugar que cuenta con varios locales para la venta de artículos electrónicos y me llamo la atención uno de los letreros en uno de los locales. En el letrero se encontraba escrito: “Se vacunan USBs”.
En los últimos meses me he encontrado con varios de estos dispositivos infectados, algunos no permiten el acceso a la unidad desplegando el mensaje que el acceso es negado. Otros permiten el acceso, pero el usuario no puede ver sus archivos de imágenes. Algunos más cargan ejecutables dentro del sistema, que después llevan a cabo otro tipo de operaciones dentro del sistema, por ejemplo borrar los archivos que se encuentran en el escritorio del sistema del usuario.
Entre los nombres de virus que utilizan este dispositivo para propagarse se encuentran Amvo, Avpo, Kavo, AdobeR.exe, Ravmon, Copy, Host, Svchost, etc. El principio de propagación es simple. El usuario introduce su dispositivo USB en una computadora infectada o con la infección activa. El sistema copia en el dispositivo USB archivos relacionados con la infección, estos archivos cuentan con los atributos ocultos y sistema activos. El primer atributo impide que los usuarios vean los archivos. En caso de que el usuario los encuentre por otros métodos, la segunda opción despliega un mensaje que indica que si se borran los archivos es posible que el sistema deje de funcionar correctamente (este es el mensaje típico que aparece cuando uno borra un archivo del sistema).
Los nombres de los archivos varían de acuerdo al tipo de infección, pero en la mayor parte de los casos encontraremos un archivo de nombre autorun.inf que permite la propagación del virus. Cuando uno inserta el USB infectado en un sistema sano, este último se vuelve un vector de propagación para todos los dispositivos USB que se conecten a él. Hasta este momento hemos hablado de dispositivos USB, pero el método de propagación aplica tanto a dispositivos de memoria, como a cámaras digitales, discos duros externos etc.
Entre las variantes encontramos el virus denominado USBWormA. Es un gusano que se propaga haciendo copias de si mismo sobre dispositivos de almacenamiento móviles como llaves USB. Copia dos archivos, autorun.inf y more.exe. El primero manda llamar el segundo. El gusano modifica el archivo desktop.ini para cambiar la apariencia de los directorios Windows, para después desplegar el mensaje “^_^Hello, I’m a hot body, but I am very cool^_^”. También intenta copiarse en el sistema, con nombres aleatorios y de insertarse en el archivo autorun.inf para poder ejecutare cada vez que el usurario presione el botón derecho sobre un elemento.
El elemento clave en todo el ciclo de propagación es el archivo autorun.inf. Dicho archivo es usado en los CDs y DVDs y se encuentra en el directorio raíz el dispositivo. El archivo presenta la siguiente sintaxis:
[autorun]
open=Nombre.extension
label=Etiqueta_Unidad
action=texto
action=descripción_acciones_a_llevar_a_cabo
icon=nombreicono.ico
shellexecute=archivo_no_ejecutable
shell\identificador_opcion_menu=texto_a_mostrar
shell\identificador_opcion_menu\command=comando_a_ ejecutar
Un caracter “;” al principio de la línea sirve como comentario. La línea que comienza con open asigna la ruta del archivo que se desea ejecutar. En la línea de icon se especifica el icono que se mostrará para identificar a la unidad. Las palabras reservadas label y action permiten definir un texto que se despliega debajo del icono. La opción shellexecute permite abrir archivos no ejecutables y que no se pueden ejecutar directamente. Con shell\identificador se definen las diferentes opciones a desplegar cuando un usuario presiona el botón derecho del ratón, y este se encuentra sobre el icono que representa al dispositivo.
Un ejemplo de código que se encontró en un dispositivo usb infectado es el siguiente:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\default=1
Este archivo ejecutara el programa ise32.exe que se encuentra almacenado dentro del mismo usb en la carpeta de reciclado, (recycler). El archivo ise32.exe tiene por objetivo el impedir el acceso a la unidad usb.
Entre las medidas a tomar para evitar infectarse de este tipo de virus, esta el deshabilitar la opción de autoejecución de los dispositivos móviles. Hay que tomar en cuenta que varias aplicaciones (en especial el itunes) desplegaran un mensaje de activación de esta característica cada vez que un CD se inserte en la computadora y se quiera escuchar.
Ahora bien, ¿que pasa si nuestro USB ya esta infectado? En este caso se puede recurrir a alguno de los locales para que vacune el USB, o uno mismo lo puede vacunar. Una de las primeras recomendaciones que uno encuentra es formatear el USB, lo cual borrará tanto los archivos malignos como nuestra información. Por lo cual hay es necesario respaldar la información contenida dentro del dispositivo antes de formatearlo. Hay que tener cuidado que entre los archivos respaldados no se encuentren los archivos malignos.
Algunas personas han desarrollado algunos scripts para vacunar los USBs, los cuales funcionan bien, pero no se puede garantizar que lo harán para todos los tipos de virus. Otra forma de eliminar estos archivos es a través de la línea de comandos de Windows, tecleando lo siguiente
attrib -s -h -r C:/autorun.inf
del C:/autorun.inf /f /q /a
El primer comando elimina los atributos de sistema y de sólo lectura del archivo autorun.inf. El segundo lo elimina del directorio, con la opción /f se forza el borrado, la opción /q evita el pedir confirmación y la opción /a indica que el archivo cuenta con atributos. El borrado del archivo también se puede hacer desde el explorer del sistema operativo, pero hay que habilitar la opción que nos permite ver los archivos ocultos y hacer caso omiso del mensaje de alerta de que se esta borrando un archivo del sistema. En algunos casos el virus dentro del USB deshabilita esta opción haciendo imposible el habilitar la opción desde el explorer, por la que la opción de la línea de comandos es una buena alternativa. Es importante tomar en cuenta que solo se esta borrando el archivo autorun.inf, no así el archivo del virus, tan solo estamos eliminando el medio de transmisión no el virus en sí. Para eliminarlo es necesario conocer el nombre de este, inspeccionando el archivo autorun.inf y borrarlo siguiendo los pasos anteriores.
La cantidad de información que se puede almacenar en este tipo de dispositivos (hasta 8 Gbytes) y el tamaño de estos los convierten en un excelente instrumento para el intercambio de información. Sin embargo, las mismas características los convierten en un buen elemento de transmisión de malware. Hay que tener cuidado donde insertamos los dispositivos USB y tener al día nuestros antivirus. Recordemos que fue con los discos flexibles que se empezó con la propagación de virus, aparentemente no aprendimos la lección y ahora son los dispositivos USB los portadores.
Señores buenas tardes, lamento no haber podido responder todos los correos que me escriben, agradezco también todos sus aportes, comentarios, sugerencias y agradecimientos.
Hace varios días he recibido pedidos referentes a un virus que también se propaga por medio de unidades de memoria USB que crea una carpeta que se llama RECYCLER, desde la cual se ejecuta. Agradezco a varias personas que me enviaron muestras del mencionado virus.
En este momento son las 13 horas y estoy en mi trabajo. He estado tan ocupado en lo referente a mi trabajo y a mis estudios que bueno, trato de seguir en contacto con ustedes y ayudándolos en lo que pueda.
Archivo matavirus subido el 17-06-08. Fase Alfa
Nota 17/06/08 : El matavirus Recycler lo he probado en 25 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB.
Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, lamento no poner imágenes del análisis que hice en este momento.Este virus tiene las siguientes características:
1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013
y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.
3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.
Eliminación manual:
Señores, como le comenté estoy aprovechando un tiempo aqui en mi trabajo y lo escribo de a pocos puesto que no creo que a mi jefe le guste ver que no estoy haciendo lo que me encomendó. Así que por el momento les doy la solución manual para deshacernos de este bicho. Más tarde haré un script que automatice este proceso. Espero comprendan. Aquí van los pasos:
1. Abrir una consola de comandos (cmd.exe)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.
Señores, sé que muchos no están familiarizados con la consola de comandos, y es por eso que más tarde cuando regrese de la Universidad haré un script que automatice el proceso.
Escribo este post de manera rápida para que los que me pidieron ayuda sobre este tema sepan que tomé en cuenta sus peticiones, tal vez no tan rápido pero siempre trato de ayudarlos a todos.
Bueno, debo salir a almorzar a casita.
Saludos,
Felipe
en el equipo con Vista el archivo aparece con el nombre de $Recycle.bin tambienen todas las particiones, ya tengo ese problema extendido a los celulares de la familia en todas las memorias usb y en las memorias de las camaras ¿Que puedo hacer?
espero me puedan dar algun consejo.
Gracias
Anexo lo que encontre y ya realice pero sigo con el problema
Este dispositivo vino a sustituir al disco flexible, el cual nunca evoluciono para ofrecer una mayor capacidad de almacenamiento más allá de los 1.4M. Sin embargo, al igual que su predecesor, este dispositivo se esta convirtiendo en un nueva fuente de transmisión de virus. Hace poco me encontraba en un lugar que cuenta con varios locales para la venta de artículos electrónicos y me llamo la atención uno de los letreros en uno de los locales. En el letrero se encontraba escrito: “Se vacunan USBs”.
En los últimos meses me he encontrado con varios de estos dispositivos infectados, algunos no permiten el acceso a la unidad desplegando el mensaje que el acceso es negado. Otros permiten el acceso, pero el usuario no puede ver sus archivos de imágenes. Algunos más cargan ejecutables dentro del sistema, que después llevan a cabo otro tipo de operaciones dentro del sistema, por ejemplo borrar los archivos que se encuentran en el escritorio del sistema del usuario.
Entre los nombres de virus que utilizan este dispositivo para propagarse se encuentran Amvo, Avpo, Kavo, AdobeR.exe, Ravmon, Copy, Host, Svchost, etc. El principio de propagación es simple. El usuario introduce su dispositivo USB en una computadora infectada o con la infección activa. El sistema copia en el dispositivo USB archivos relacionados con la infección, estos archivos cuentan con los atributos ocultos y sistema activos. El primer atributo impide que los usuarios vean los archivos. En caso de que el usuario los encuentre por otros métodos, la segunda opción despliega un mensaje que indica que si se borran los archivos es posible que el sistema deje de funcionar correctamente (este es el mensaje típico que aparece cuando uno borra un archivo del sistema).
Los nombres de los archivos varían de acuerdo al tipo de infección, pero en la mayor parte de los casos encontraremos un archivo de nombre autorun.inf que permite la propagación del virus. Cuando uno inserta el USB infectado en un sistema sano, este último se vuelve un vector de propagación para todos los dispositivos USB que se conecten a él. Hasta este momento hemos hablado de dispositivos USB, pero el método de propagación aplica tanto a dispositivos de memoria, como a cámaras digitales, discos duros externos etc.
Entre las variantes encontramos el virus denominado USBWormA. Es un gusano que se propaga haciendo copias de si mismo sobre dispositivos de almacenamiento móviles como llaves USB. Copia dos archivos, autorun.inf y more.exe. El primero manda llamar el segundo. El gusano modifica el archivo desktop.ini para cambiar la apariencia de los directorios Windows, para después desplegar el mensaje “^_^Hello, I’m a hot body, but I am very cool^_^”. También intenta copiarse en el sistema, con nombres aleatorios y de insertarse en el archivo autorun.inf para poder ejecutare cada vez que el usurario presione el botón derecho sobre un elemento.
El elemento clave en todo el ciclo de propagación es el archivo autorun.inf. Dicho archivo es usado en los CDs y DVDs y se encuentra en el directorio raíz el dispositivo. El archivo presenta la siguiente sintaxis:
[autorun]
open=Nombre.extension
label=Etiqueta_Unidad
action=texto
action=descripción_acciones_a_llevar_a_cabo
icon=nombreicono.ico
shellexecute=archivo_no_ejecutable
shell\identificador_opcion_menu=texto_a_mostrar
shell\identificador_opcion_menu\command=comando_a_ ejecutar
Un caracter “;” al principio de la línea sirve como comentario. La línea que comienza con open asigna la ruta del archivo que se desea ejecutar. En la línea de icon se especifica el icono que se mostrará para identificar a la unidad. Las palabras reservadas label y action permiten definir un texto que se despliega debajo del icono. La opción shellexecute permite abrir archivos no ejecutables y que no se pueden ejecutar directamente. Con shell\identificador se definen las diferentes opciones a desplegar cuando un usuario presiona el botón derecho del ratón, y este se encuentra sobre el icono que representa al dispositivo.
Un ejemplo de código que se encontró en un dispositivo usb infectado es el siguiente:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
shell\open\default=1
Este archivo ejecutara el programa ise32.exe que se encuentra almacenado dentro del mismo usb en la carpeta de reciclado, (recycler). El archivo ise32.exe tiene por objetivo el impedir el acceso a la unidad usb.
Entre las medidas a tomar para evitar infectarse de este tipo de virus, esta el deshabilitar la opción de autoejecución de los dispositivos móviles. Hay que tomar en cuenta que varias aplicaciones (en especial el itunes) desplegaran un mensaje de activación de esta característica cada vez que un CD se inserte en la computadora y se quiera escuchar.
Ahora bien, ¿que pasa si nuestro USB ya esta infectado? En este caso se puede recurrir a alguno de los locales para que vacune el USB, o uno mismo lo puede vacunar. Una de las primeras recomendaciones que uno encuentra es formatear el USB, lo cual borrará tanto los archivos malignos como nuestra información. Por lo cual hay es necesario respaldar la información contenida dentro del dispositivo antes de formatearlo. Hay que tener cuidado que entre los archivos respaldados no se encuentren los archivos malignos.
Algunas personas han desarrollado algunos scripts para vacunar los USBs, los cuales funcionan bien, pero no se puede garantizar que lo harán para todos los tipos de virus. Otra forma de eliminar estos archivos es a través de la línea de comandos de Windows, tecleando lo siguiente
attrib -s -h -r C:/autorun.inf
del C:/autorun.inf /f /q /a
El primer comando elimina los atributos de sistema y de sólo lectura del archivo autorun.inf. El segundo lo elimina del directorio, con la opción /f se forza el borrado, la opción /q evita el pedir confirmación y la opción /a indica que el archivo cuenta con atributos. El borrado del archivo también se puede hacer desde el explorer del sistema operativo, pero hay que habilitar la opción que nos permite ver los archivos ocultos y hacer caso omiso del mensaje de alerta de que se esta borrando un archivo del sistema. En algunos casos el virus dentro del USB deshabilita esta opción haciendo imposible el habilitar la opción desde el explorer, por la que la opción de la línea de comandos es una buena alternativa. Es importante tomar en cuenta que solo se esta borrando el archivo autorun.inf, no así el archivo del virus, tan solo estamos eliminando el medio de transmisión no el virus en sí. Para eliminarlo es necesario conocer el nombre de este, inspeccionando el archivo autorun.inf y borrarlo siguiendo los pasos anteriores.
La cantidad de información que se puede almacenar en este tipo de dispositivos (hasta 8 Gbytes) y el tamaño de estos los convierten en un excelente instrumento para el intercambio de información. Sin embargo, las mismas características los convierten en un buen elemento de transmisión de malware. Hay que tener cuidado donde insertamos los dispositivos USB y tener al día nuestros antivirus. Recordemos que fue con los discos flexibles que se empezó con la propagación de virus, aparentemente no aprendimos la lección y ahora son los dispositivos USB los portadores.
Señores buenas tardes, lamento no haber podido responder todos los correos que me escriben, agradezco también todos sus aportes, comentarios, sugerencias y agradecimientos.
Hace varios días he recibido pedidos referentes a un virus que también se propaga por medio de unidades de memoria USB que crea una carpeta que se llama RECYCLER, desde la cual se ejecuta. Agradezco a varias personas que me enviaron muestras del mencionado virus.
En este momento son las 13 horas y estoy en mi trabajo. He estado tan ocupado en lo referente a mi trabajo y a mis estudios que bueno, trato de seguir en contacto con ustedes y ayudándolos en lo que pueda.
Archivo matavirus subido el 17-06-08. Fase Alfa
Nota 17/06/08 : El matavirus Recycler lo he probado en 25 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB.
Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, lamento no poner imágenes del análisis que hice en este momento.Este virus tiene las siguientes características:
1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013
y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.
3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.
Eliminación manual:
Señores, como le comenté estoy aprovechando un tiempo aqui en mi trabajo y lo escribo de a pocos puesto que no creo que a mi jefe le guste ver que no estoy haciendo lo que me encomendó. Así que por el momento les doy la solución manual para deshacernos de este bicho. Más tarde haré un script que automatice este proceso. Espero comprendan. Aquí van los pasos:
1. Abrir una consola de comandos (cmd.exe)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.
Señores, sé que muchos no están familiarizados con la consola de comandos, y es por eso que más tarde cuando regrese de la Universidad haré un script que automatice el proceso.
Escribo este post de manera rápida para que los que me pidieron ayuda sobre este tema sepan que tomé en cuenta sus peticiones, tal vez no tan rápido pero siempre trato de ayudarlos a todos.
Bueno, debo salir a almorzar a casita.
Saludos,
Felipe
Usuario Registrado
Fecha de Ingreso: nov-08
Mensajes: 1
Gracias dadas: 0
Agradecido 0 veces en 0 Mensajes
Re: Infecciones de pc
¿Estas hablando de la papelera de reciclaje? :confundido
Super Moderador
Fecha de Ingreso: ago-06
Mensajes: 4,640
Gracias dadas: 1
Agradecido 2 veces en 2 Mensajes
Re: Infecciones de pc
No de la papelera en sí, sino de una carpeta que se genera con el mismo nombre "Recycler" generalmente con el atributo de oculto. Me ha pasado con un pendrive, y no te deja borrar dicha carpeta ni desde Windows ni Linux en entorno gráfico. Lo que pensaba en probar (no sé si va a resultar, pero es una idea) primero en cambiarle los atributos de acceso desde la consola en alguna distro Linux y probar ahí en borrar... simplemente una idea de un novato (yo) pero espero que les sirva de algo.
__________________
Great ideas often receive violent opposition from mediocre minds.
Las grandes ideas a menudo encuentran la oposición de las mentes mediocres.
-Albert Einstein
Great ideas often receive violent opposition from mediocre minds.
Las grandes ideas a menudo encuentran la oposición de las mentes mediocres.
-Albert Einstein
Usuario Novato
Fecha de Ingreso: jun-07
Mensajes: 117
Gracias dadas: 0
Agradecido 0 veces en 0 Mensajes
Re: Infecciones de pc
Fua que largo pero interesante, porque no agarran y formatean el pendrive (se entiende que tienen que tener una copia de todo) y formatean el pendrive desde el dos???digo yo .tambien soy novato y no se mucho.
__________________
Intel Pentium 4 1500 Mhz
Ati 9550/x1050 Series
512 RAM
MS Windows XP SP3
Fan de Half-Life
Fan de Portal
Fan de Warcraft III
Fan de Halo
Fan de ...
Intel Pentium 4 1500 Mhz
Ati 9550/x1050 Series
512 RAM
MS Windows XP SP3
Fan de Half-Life
Fan de Portal
Fan de Warcraft III
Fan de Halo
Fan de ...
Usuario Normal
Fecha de Ingreso: nov-08
Mensajes: 203
Gracias dadas: 0
Agradecido 0 veces en 0 Mensajes
Re: Infecciones de pc
Con Linux podés borrarlos sin problemas, tal vez estés usando una LiveCD que solo te permite acceder a las particiones de Windows (NTFS o FAT) en modo solo lectura.
Hace poco se puso un post en dode se explicaba como acceder a todas tus particiones como Root, en donde podés hacer lo que quieras (borrar, crear, modificar, etc.)
http://www.redusers.com/foros/window...te-de-windows/
Hay otras distribuciones, para este tipo de cosas me gusta Puppy.
El tema es que como bien dices, podrás borrar lo que quieras, pero si no has podido remover el virus, al iniciar Windows se crearán o descargarán nuevamente las carpetas ocultas, con los archivos infectados.
Deberías limpiar los discos, iniciando en "Modo Seguro" con Antivirus actualizado, o desde una LiveCD de Windows o Linux con Antivirus, o desde otro Windows Limpio con antivirus, pero cuidado, deberás desactivar la reproducción automática de unidades, como también se explicó en:
http://www.redusers.com/foros/window...revenir-virus/
o correrías riesgos de infectar el sistema limpio.
Probablemente tengas que reinstalar para estar tranquilo, en cuyo caso te aconsejo que hagas un respaldo o imagen de la partición en donde está el Sistema Operativo y los programas, con PARTITION SAVING (freeware) o cualquier otro "clonador".
Creeme que demora menos recuperar desde una imagen que andar lidiando con virus, espías y todo ese malware que anda en la vuelta.
Obviamente para esto, tendrías que tener los Datos Personales en otra particion diferente a la del Sistema Operativo y los Programas.
Ya que estamos, y dedicado a mis amigos del foro, las PC no se infectan, los que se infectan son los Sistemas Operativos (algunos más y otros menos
)
Saludos y nos leemos.
(también los quiero)
Hace poco se puso un post en dode se explicaba como acceder a todas tus particiones como Root, en donde podés hacer lo que quieras (borrar, crear, modificar, etc.)
http://www.redusers.com/foros/window...te-de-windows/
Hay otras distribuciones, para este tipo de cosas me gusta Puppy.
El tema es que como bien dices, podrás borrar lo que quieras, pero si no has podido remover el virus, al iniciar Windows se crearán o descargarán nuevamente las carpetas ocultas, con los archivos infectados.
Deberías limpiar los discos, iniciando en "Modo Seguro" con Antivirus actualizado, o desde una LiveCD de Windows o Linux con Antivirus, o desde otro Windows Limpio con antivirus, pero cuidado, deberás desactivar la reproducción automática de unidades, como también se explicó en:
http://www.redusers.com/foros/window...revenir-virus/
o correrías riesgos de infectar el sistema limpio.
Probablemente tengas que reinstalar para estar tranquilo, en cuyo caso te aconsejo que hagas un respaldo o imagen de la partición en donde está el Sistema Operativo y los programas, con PARTITION SAVING (freeware) o cualquier otro "clonador".
Creeme que demora menos recuperar desde una imagen que andar lidiando con virus, espías y todo ese malware que anda en la vuelta.
Obviamente para esto, tendrías que tener los Datos Personales en otra particion diferente a la del Sistema Operativo y los Programas.
Ya que estamos, y dedicado a mis amigos del foro, las PC no se infectan, los que se infectan son los Sistemas Operativos (algunos más y otros menos
)Saludos y nos leemos.
(también los quiero)
Superusuario
Fecha de Ingreso: jun-05
Mensajes: 8,202
Gracias dadas: 0
Agradecido 6 veces en 6 Mensajes
Re: Infecciones de pc
Algunos de estos virus (creo que era éste) aparte de infectar el pendrive, desactivan una clave en el registry que hace que no se puedan ver los archivos ocultos (obviamente el virus es un archivo oculto).
Si abrís un explorador de Windows y vas al menú Herramientas > Opciones de Carpeta > Solapa Ver vas a notar que no se puede cambiar la opción "No Mostrar todos los archivos y carpetas ocultos". O mejor dicho, se puede cambiar, pero al cerrar y volver a abrir el explorer, siempre queda en "No Mostrar...".
Para solucionar esto hay que abrir el registry (tipear "regedit" en el cuadro ejecutar del menú de inicio), ubicar la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, y borrar el valor CheckedValue, luego crear nuevamente un valor con el mismo nombre pero de tipo DWORD y modificar establecer el contenido en 1.
Con eso ya se pueden volver a ver los archivos ocultos.
Saludos
Si abrís un explorador de Windows y vas al menú Herramientas > Opciones de Carpeta > Solapa Ver vas a notar que no se puede cambiar la opción "No Mostrar todos los archivos y carpetas ocultos". O mejor dicho, se puede cambiar, pero al cerrar y volver a abrir el explorer, siempre queda en "No Mostrar...".
Para solucionar esto hay que abrir el registry (tipear "regedit" en el cuadro ejecutar del menú de inicio), ubicar la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, y borrar el valor CheckedValue, luego crear nuevamente un valor con el mismo nombre pero de tipo DWORD y modificar establecer el contenido en 1.
Con eso ya se pueden volver a ver los archivos ocultos.
Saludos
__________________
a bonis ad meliora
a bonis ad meliora
Usuario Normal
Fecha de Ingreso: ago-01
Mensajes: 841
Gracias dadas: 0
Agradecido 0 veces en 0 Mensajes
Mode Lineal
