Famoso virus que convierte carpetas en accesos directos

Aprende y comparte como combatir objetos maliciosos en computacion.
Mensaje
Autor
MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Famoso virus que convierte carpetas en accesos directos

#1 Mensajepor MikeLeRoi » Dom Abr 22, 2012 7:38 pm

Discúlpen, pero me sucedió una estupidéz al imprimir unos archivos en una computadora agena, la cual introdujo un virus raro, al aprecer inofensivo pero molesto y convirtió todas mis carpetas en la memoria en accesos directos y ocultó las carpetas originales, lo malo es que al conectar la memoria a mi ordenador automáticamente le hizo lo mismo a mis dos discos duros externos, en los cuales tengo miles de carpetas, encontré como reparar el problema y volver a tener visibles las carpetas, el problema es que queda visible en todos los dispositivos una carpeta llamada (Recycler) la cual contiene algunos accesos directos ocultos y bastante sospechoso, ya traté de eliminar manualmente esta carpeta pero me aparece "acceso denegado", intenté entrar y eliminar el contenido... se elimina, pero en un segundo vuelve a restaurarse, estoy seguro de que aun que resolví lo que el gusano hizo, ahí está aún y quisiera realmente eliminarlo, ya intenté analizando con spyboot al menos el sistema y no se encontró nada malo, analicé los dos dispositivos con nod32 y no encontró nada, empiezo a preocuparme y me gustaría acabar con esto lo antes posible. De antemano muchas gracias...

Avatar de Usuario
mr.x
Mensajes: 396
Registrado: Mar Ene 11, 2011 1:36 pm
Ubicación: Argentina
Contactar:

Re: Famoso virus que convierte carpetas en accesos directos

#2 Mensajepor mr.x » Dom Abr 22, 2012 8:51 pm

A mi me ha tocado lidiar con dicho virus.
Para eliminar la carpeta te recomiendo hacerlo desde un live cd de linux (live cd quiere decir que se ejecuta desde un cd y no hace falta instalarlo, aunque tambien tienes la opción), te recomiendo ubuntu. Puedes bajarlo desde acá http://www.ubuntu.com/download/ubuntu/download descarga la versión 10.04 que pide menos recursos que la 11.10 y para el caso no es necesario uno más nuevo.
Usalo con otros pendrives, discos externos, etc que hayas conectado a tu pc.

Para eliminarlo de tu pc puedes usar el malwarebytes desde modo seguro. Descargalo desde aca.
Para otros antivirus seria mejor que te recomienden los usuarios más experimentados del foro, porque hasa ahi llegue.

MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Re: Famoso virus que convierte carpetas en accesos directos

#3 Mensajepor MikeLeRoi » Lun Abr 23, 2012 1:03 am

Para eliminarlo de tu pc puedes usar el malwarebytes desde modo seguro. Descargalo desde aca.

Muchas gracias por responder... Ya accedí por medio de livecd y me permitió eliminar las carpetas "RECYCLED" de los dos discos duros, pero al iniciar de nuevo con el sistema operativo actual pasó lo mismo, todas las carpetas reemplazadas por accesos directos, esto solo sucede en (K) que es un disco externo conectado por USB por lo que veo que solo afecta a las unidades extraíbles por USB, entonces supongo que el gusano debe estar introducido en (C), lo que quiero saber exáctamente es si analizar en modo seguro con Malwarebytes (C) o la unidad afectada que es (K), esta pregunta es por que (K) es de 500 GB de las cuales tengo ocupado casi 4/5 parte del disco y el escaneo durará mucho y más en modo de prueba, entonces para evitar esto quisiera saber exáctamente que unidad analizar. De antemano muchas gracias por la ayuda otra vez, saludos...

Avatar de Usuario
paulofutre
Mensajes: 3652
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Famoso virus que convierte carpetas en accesos directos

#4 Mensajepor paulofutre » Lun Abr 23, 2012 3:22 am

Eso es porque no has eliminado al "bicho" amigo MikeLeRoi.
Lo que te dijo el gran Mr.x , ese procedimiento, va bastante bien para eliminar estas infecciones, pero primero hay que identificar donde se ubica el "bicho". :yahoommm
Los contenidos de la carpeta "RECYCLER" te las genera el "bicho", pero este se debe hayar en otra ubicaciòn, y hasta que no lo elimines, te va a seguir generando problemas.

1º.- Identificaciòn: Con Malwarebytes, por ejemplo, bajo windows en modo seguro, como bien se ha comentado.
Te fijas en el reporte de malwarebytes y te fijas en las rutas de ubicaciòn del "bicho". Las anotas .
2º.- Eliminaciòn: Arrancas con el LiveCD de UBUNTU. Vas las rutas anotadas y las eliminas todas

Algo parecido me sucediò hace bastante tiempo. Y lo eliminè con este mètodo:
viewtopic.php?f=24&t=2401

Por otro lado, para desinfecctar sin salir de windows, son muy buenas las herramientas que nos ofrecen los Antivirus:
La de Karpersky, que siempre nos recomienda el gran Katojc, està ampliamente contrastada por usuarios del foro:
http://www.kaspersky.com/antivirus-removal-tool?form=1

Pero hay muchas màs, que estàn recopiladas en este hilo:
viewtopic.php?f=24&t=1592&start=30

Y si tienes un rato, comenta como te fue. :yahD
Un saludo
Saludos y ♪Forzatleti♫

Avatar de Usuario
katojc
Mensajes: 723
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México
Contactar:

Re: Famoso virus que convierte carpetas en accesos directos

#5 Mensajepor katojc » Lun Abr 23, 2012 12:57 pm

No todas las carpetas RECYCLER son causa de virus, recuerden que el sistema utiliza estas carpetas ocultas para ahí almacenar lo que se va a la papelera de reciclaje, lo que pasa es que has de tener visibles los ocultos por el sistema, si aun asi quieres eliminar estas carpetas para estar mas tranquilo utiliza este método:

abre el simbolo de sistema MS DOS si es windows vista o 7 abrelo como administrador haciendo clic derecho sobre el acceso directo en Menu Inicio --> Accesorios

Teclea la letra que le corresponde al disco duro donde esta la carpeta a eliminar por ejemplo X: y da enter luego

attrib RECYCLER -h -s -r

y enter


Para tener el control de la carpeta y la puedas eliminar


NOTA: Es muy probable que la carpeta vuelva a aparecer ya que como mencione antes, el sistema utiliza esta carpeta
Ing. en Computación
Soporte Técnico a Equipo de Computo

Avatar de Usuario
zonesjm
Mensajes: 185
Registrado: Mié Feb 22, 2012 12:37 am
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a
Contactar:

Re: Famoso virus que convierte carpetas en accesos directos

#6 Mensajepor zonesjm » Lun Abr 23, 2012 3:02 pm

Para que no vuelva a suceder eso deberias desactivar el autorun del windows.

para windows xp:
    1: Menú Inicio > Ejecutar
    2: Escribir: gpedit.msc y pulsar "intro"
    3: En el arbol de la izquierda, seguir esta ruta:
    4: Directiva de equipo local > Configuración del equipo > Plantillas administrativas > Sistema
    5: Y en la ventana de la derecha, bajar hasta "Desactivar reproduccion automatica" (doble click)
    6: Pinchar en "Habilitar", y elegir la opción:
    7: Desactivar reproducción automática en: Todas las unidades.

Imagen

en windows 7 creo que ya viene por defecto desactivado el autorun del usb.
pero si quieres desactivar el autorun de todas las unidades sigue los pasos que muestran en esta web:
http://tecnologia21.com/21085/usb-deshabilitar-reproduccion-automatica-windows-7

me olvidaba dejo una utilidad que hice. usa comandos del MS DOS. Sirve para desocultar todos los archivos y carpeta de la unidad que le indiques.
tambien elimina los accesos directos. Tambien la carpeta recycler y derivados.
El archivo no pesa mucho. Comprimido 28.2 kb Descomprimido 81.0 kb
http://www.mediafire.com/?7wi4s0gwwbrkm3c
Blog donde colocan programas freeware o shareware
http://letheonline.net/foro/viewtopic.php?f=12&t=5108


SI DESEAN REIRSE UN BUEN RATO MIREN ESTE VIDEO :D
http://letheonline.net/foro/viewtopic.php?f=16&t=5081

MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Re: Famoso virus que convierte carpetas en accesos directos

#7 Mensajepor MikeLeRoi » Lun Abr 23, 2012 3:13 pm

[quote="katojc"]No todas las carpetas RECYCLER son causa de virus, recuerden que el sistema utiliza estas carpetas ocultas para ahí almacenar lo que se va a la papelera de reciclaje, lo que pasa es que has de tener visibles los ocultos por el sistema, si aun asi quieres eliminar estas carpetas para estar mas tranquilo utiliza este método:

abre el simbolo de sistema MS DOS si es windows vista o 7 abrelo como administrador haciendo clic derecho sobre el acceso directo en Menu Inicio --> Accesorios

Teclea la letra que le corresponde al disco duro donde esta la carpeta a eliminar por ejemplo X: y da enter luego

attrib RECYCLER -h -s -r

y enter


Gracias otea vez... Bueno, ya he intentado lo siguiente: al notar que el disco duro está en ese estado producido por el gusano lo que hago es abrir cmd y ejecutar este comando en (K) "Attrib /d /s -r -h -s *.*", lo que hace es reestablecer los atributos de carpetas, subcarpetas y archivos en general, lo que después del proceso me deja todo visible de nuevo en (K), lo que hago es tomar todos los accesos que reemplazaban a las carpetas y los elimino, pero sorpresa, ahora noto que hay tres carpetas nuevas que no deberían estar visibles si no desactivo la opción de "ocultar carpetas y archivos del sistema", estas son: información del volumen de la unidad, RECYCLER y Recycled de las cuales solo RECYCLER e información del volumen de la unidad pueden eliminarse, antes de eliminarlas comprobé las fechas de creación y la única que fue creada hoy mismo es Recycled las otras tienen la fecha correcta del disco duro y si se pueden eliminar pero Recycled no, me dice "error, acceso denegado", entro al contenido y lo elimino pero vuelve a aparecer. He comprobado esto mismo activando "mostrar archivos y carpetas ocultos" y desactivando "ocultar archivos y carpetas del sistema" para ver si esta carpeta llamada Recycled aparece en los otros discos y no es así, solo aparece información del volumen de dispositivo y RECYCLER, por lo que empiezo a sospechar que el único infectado puede ser la unidad (K). Por ahora trabajaré pasando los antivirus que tengo al menos en (K) y (C) en modo seguro a ver que sucede, muchas gracias por la atención...

MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Re: Famoso virus que convierte carpetas en accesos directos

#8 Mensajepor MikeLeRoi » Lun Abr 23, 2012 3:16 pm

me olvidaba dejo una utilidad que hice. usa comandos del MS DOS. Sirve para desocultar todos los archivos y carpeta de la unidad que le indiques.
tambien elimina los accesos directos. Tambien la carpeta recycler y derivados.
El archivo no pesa mucho. Comprimido 28.2 kb Descomprimido 81.0 kb
http://www.mediafire.com/?7wi4s0gwwbrkm3c[/quote]

Muchas gracias, lo probaré en seguida...

MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Re: Famoso virus que convierte carpetas en accesos directos

#9 Mensajepor MikeLeRoi » Lun Abr 23, 2012 3:43 pm

Dicúlpen mi ignoráncia, pero no puedo ver el menú de recuperación de windows para activar el inicio en modo seguro, en pantalla inicial me dice que es F10 pero no sucede nada, ya intenté también con F8 y nada, estoy usando XP con service pack 3, quisiera saber si exíste alguna otra tecla que me lleve al menú de recuperación...

Ah, una curiosidad, esto del bicho me acaba de pasar ayer por la tarde, estaba pensando... que sucederá si restauro el sistema un par de horas antes de introducir la USB que inició todo esto, estaba viendo y noto que tengo un punto de restauración activo que fue al instalar un programa unas horas antes de que me sucediera esto, ¿creen que restaurando la configuración se resuelva el problema?

Gracias de nuevo...

Avatar de Usuario
katojc
Mensajes: 723
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México
Contactar:

Re: Famoso virus que convierte carpetas en accesos directos

#10 Mensajepor katojc » Lun Abr 23, 2012 4:16 pm

Si lo que quieres es una alternativa para iniciar en modo seguro intenta esto:

1.- Da clic en Inicio --> ejecutar

2.- Escribe "msconfig" sin comillas y da enter

3.- te aparecerá la ventana siguiente con varias pestañas (tabs) selecciona la que dice BOOT.INI

4.- Selecciona la opción que dice /SAFEBOOT

Imagen

5.- Aplicar, aceptar, y al reiniciar iniciara en modo seguro

6.- Para volver a arrancar en modo normal, repite estos pasos pero ahora quita la seleccion de /SAFEBOOT


En cuanto a lo de restaurar sistema puede que la computadora recupere su estado anterior aunque no es una garantía, y el disco duro tendrías que limpiarlo manualmente para mejores resultados
Ing. en Computación
Soporte Técnico a Equipo de Computo

Avatar de Usuario
zonesjm
Mensajes: 185
Registrado: Mié Feb 22, 2012 12:37 am
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a
Contactar:

Re: Famoso virus que convierte carpetas en accesos directos

#11 Mensajepor zonesjm » Lun Abr 23, 2012 4:55 pm

katojc escribió:Si lo que quieres es una alternativa para iniciar en modo seguro intenta esto:

1.- Da clic en Inicio --> ejecutar

2.- Escribe "msconfig" sin comillas y da enter

3.- te aparecerá la ventana siguiente con varias pestañas (tabs) selecciona la que dice BOOT.INI

4.- Selecciona la opción que dice /SAFEBOOT

Imagen

5.- Aplicar, aceptar, y al reiniciar iniciara en modo seguro

6.- Para volver a arrancar en modo normal, repite estos pasos pero ahora quita la seleccion de /SAFEBOOT


En cuanto a lo de restaurar sistema puede que la computadora recupere su estado anterior aunque no es una garantía, y el disco duro tendrías que limpiarlo manualmente para mejores resultados


no sabia que con el boot.ini se podia pogramar el modo seguro
casi siempre paro entrando a la utilidad de configuración del sistema pero solo uso lo de la pestaña inicio.
no me atrevia a cambiar nada más por que quizas desestabilizaba el sistema.

buena info.
Blog donde colocan programas freeware o shareware
http://letheonline.net/foro/viewtopic.php?f=12&t=5108


SI DESEAN REIRSE UN BUEN RATO MIREN ESTE VIDEO :D
http://letheonline.net/foro/viewtopic.php?f=16&t=5081

MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Re: Famoso virus que convierte carpetas en accesos directos

#12 Mensajepor MikeLeRoi » Lun Abr 23, 2012 9:45 pm

Muchas gracias por la info, me funcionó lo del inicio en modo seguro desde (mscongif). Bueno, al parecer se resolvió el problema... lo que hice fue primero iniciar en modo seguro (antes de esto deshabilité la reproducción automática de todos los dispositivos como dijo "zonesjm") y pasé por todas las unidades de disco conectadas el "Malwarebytes actualizado" y encontró algo en los archivos del volúmen de los discos extraíbles, acepté eliminación y reinicié igual en modo seguro para pasar de igual forma ahora "spyboot search & destroy" y no encontró nada, por último pasé "nod32" en análisis profundo y sacó otro par de archivos que supongo no tenían nada que ver pero igual los eliminé, después se me ocurrió correr el "Startupmanager" para ver todas las entradas que tiene windows al inicio y pimba! noté una entrada nueva que tenía este nombre: "Whvqvm.exe", copié la ubicación y accedcé, era en (C:/Documents and settings/Usuario//Datos de programa) y encontré ese ejecutable que se había creado apenas hoy justo cuando encendí la máquina y un archivo de configuración haciendo referencia al mismo archivo y los eliminé, después eliminé la entrada en "startupmanager" y reinicié con el livecd. Por último desde livecd ejecuté el comando en cdm que reestablece los atributos a todas las carpetas, sub carpetas y archivos, eliminé todos los accesos directos a las carpetas que quedaron y entré a cada uno de los discos en la carpeta RECYCLER y eliminé su contenido, después entré a "Información del volumen" y analicé manualmente todos los archivos en cada carpetas que fueron creados entre ayer y hoy y los eliminé, me pasé casi toda la tarde en esto pero al aprecer funcionó, ya conecté los dispositivos y no han presentado problemas, seguiré revisando espero haber eliminado ese molesto bicho, muchas gracias otra vez por la información y la excelente ayuda... :plano1

Aprovecharé de paso para preguntar... lo que pasa es que tengo como residente a "NOD32", pero ya hace tiempo que no se actualiza, al parecer es ya una versión muy vieja es la 2.7, quisiera saber aprovechando que instalé el "Malwarebytes" cuál de estos dos antivirus resultaría mejor como residente o si me aconsejarían un mejor antivirus para ponerlo como residente, olvidé que también tengo "spybot search destroy" y su "tea timer", quisiera saber cuál sería mejor. Gracias...

Avatar de Usuario
paulofutre
Mensajes: 3652
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Famoso virus que convierte carpetas en accesos directos

#13 Mensajepor paulofutre » Mar Abr 24, 2012 1:44 am

Muchas gracias por reportar tan detalladamente tu experiencia, amigo MikeLeRoi. De seguro nos servirà a los demàs :plano1

TEMA ANTIVIRUS:
Personalmente, no soy partidario de antivirus "crackeados", "medicados",etc. Ya ese tema lo hemos tratado mucho en este foro.
Soy partidario de los antivirus gratuitos. Yo personalmente estoy instalando AVG 2012 FREE con resultados muy satisfactorios, y mis clientes y amigos incluso se sorprenden de lo bien que funciona un antivirus gratuito:
http://free.avg.com/es-es/inicio

Otra opciòn que tambien me gusta es la del AVIRA. Del AVAST me hablan bien pero no me termina de convencer a mi personalmente por sus problemas a la hora de desinstalar:
viewtopic.php?f=10&t=4058

Un saludo.
Saludos y ♪Forzatleti♫

MikeLeRoi
Mensajes: 102
Registrado: Jue Mar 01, 2012 6:56 pm
¿Cuanto es 2 + 2 ?: 4
¿Cual es la primera letra del alfabeto?: a

Re: Famoso virus que convierte carpetas en accesos directos

#14 Mensajepor MikeLeRoi » Mar Abr 24, 2012 4:22 pm

Personalmente, no soy partidario de antivirus "crackeados", "medicados",etc. Ya ese tema lo hemos tratado mucho en este foro.
Soy partidario de los antivirus gratuitos. Yo personalmente estoy instalando AVG 2012 FREE con resultados muy satisfactorios, y mis clientes y amigos incluso se sorprenden de lo bien que funciona un antivirus gratuito:
http://free.avg.com/es-es/inicio

Un saludo.[/quote]

Muchas gracias por la recomendación, sin duda lo probaré, se habla muy bien de ese antivirus. Gracias en verdad por toda la ayuda sin sus consejos ahora no podría trabajar por cuelpa de los problemas con ese virus, realmente agradecido, muchos saludos...


Volver a “Infecciones y Soluciones - Virus, Trojanos, Spyware, Rogue, Malware, etc.”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado