• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 17

    ¡Ayuda! Virus RECYCLER

    Pase una pelicula del ordenador al disco duro externo, conecte éste al televisor y vi una carpeta rara llamada $recycler.bin, no le di importancia. Pero cuando di a reproducir la pelicula no se veia (las ...

    1. #1
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Triste ¡Ayuda! Virus RECYCLER

      Pase una pelicula del ordenador al disco duro externo, conecte éste al televisor y vi una carpeta rara llamada $recycler.bin, no le di importancia. Pero cuando di a reproducir la pelicula no se veia (las otras peliculas del disco duro externo si se pueden ver en el TV) Investigue y me di cuenta del tema del virus recycler, el cual tambien tengo en el ordenador, tanto en el disco C como en D, ademas del disco duro externo (F) (tengo 4 discos duros externos, no mire si en los otros tambien esta)

      Hice el tema de intentar borrarlos desde el cmd, consegui borrar el $recycler.bin, pero las carpetas RECYCLER del ordenador y del disco duro externo no me deja borrarlas, me dice que estan protegidas. (dentro de cada carpeta hay el tipico icono de la papelera con nombre largo de numeros y letras)

      Con el winrar te deja ver si tienes esas carpetas, como digo, de momento se que en C:, D: y en F: (unidad disco duro externo) esta la dichosa carpeta y no la puedo borrar. Pase el ComboFix, se borro la de C: pero ya ha vuelto a aparecer (ya desinstale el combofix desde ejecutar

      Ayuda por favor, que veo que no es el primer caso.

      Tengo que decir que tngo windows XP y que soy bastante inutil en estos temas, asi que por favor no me hableis en lenguaje experto.

      Si alguien me va diciendo yo voy haciendo y acompaño de screenshots como va evolucionando la cosa.

      He leido el tema de que aunque los borres 1 vez luego pueden aparecer por el autorun y cosas asi de los discos duros externos, eso es importante, si lo llego a borrar que no vuelvan a aparecer al dia siguiente en cuanto reinicie el ordenador.

      Un saludo.

    2. #2
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      A ver, novedades:

      He borrado la carpeta RECYCLER en C:, D: y el disco duro externo de la siguiente manera: abri ejecutar, puse cmd, puse "attrib recycle" y "attrib recycle -s -h" para cada unidad, de manera que la carpeta se hace visible en windows, y despues simplemente hice shift+suprimir dicha carpeta.

      La pregunta es si este virus solo aparece en C: D: F: y no se esconde en carpetas mas profundas, y si con el metodo que he dicho ya el virus no vuelve a aparecer.

      He desactivado tambien el autorun, que seguramente por no tenerlo desactivado se me infecto el ordenador.

      Lo que creo que he perdido es algun documento, supongo, porque si el virus reemplazo algun documento (metiendolo dentro de la carpeta recycler) al borrar la carpeta pues imagino que se habra borrado.

      Por favor podeis responderme? Como me aseguro de que no vuelva a aparecer el virus? Como se que no tengo el virus (solo mirando C: D: F: sin entrar en carpetas vale?)

    3. #3
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      Nada, ha vuelto a aparecer en C: y D: la dichosa carpeta recycler
      Última edición por Box182 fecha: 06/04/13 a las 11:22:17

    4. #4
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.317

      Re: ¡Ayuda! Virus RECYCLER

      Hola Box182


      Realiza los siguientes pasos:

      Descarga pero no ejecutes todavía:
      Malwarebytes
      CCleaner

      1)
      • Instalas Malwarebytes y le das a actualizar
      • Realizas un análisis completo
      • Una vez finalizado, pulsa sobre "Mostrar los Resultados " y "Eliminar Seleccionadas", si se da el caso
      • En el caso de que te pida reiniciar, reinicia


      2) Descarga UsbFix by El Desaparecido

      *Nota* Para ejecutar UsbFix.exe, siga estos pasos:

      • Inicie en Modo Seguro
      • Conecta todos los dispositivos extraibles.
      • Haga doble Click sobre USBFix
      • Seguido teclee la opción Supresión
      • Aparecerá una advertencia para que conecte sus Usb) (Dispositivos extraibles, Pendrive\Micro SD, etc.), pulse en Aceptar
      • Durante el análisis el escritorio puede desaparecer, esto es normal, si USBFix le pide reiniciar el sistema acepte y reinicie su equipo.
      • USBFix, genera un reporte, el cual se encuentra generalmente en C:\USBFix.txt


      Nota: UsbFix creará una carpeta oculta llamada "$RECYCLE.BIN" "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones.
      3)
      • Instala Ccleaner
      • Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador
      • clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad
      • Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.


      Peganos los reportes de Malwarebytes y USBFix y comentas si ya no aparece.

      Un saludo

    5. #5
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      Reporte de Malware una vez di a lo de eliminar seleccionados



      Malwarebytes Anti-Malware (Versión de Prueba) 1.70.0.1100
      Malwarebytes : Free anti-malware download

      Versión de la Base de Datos: v2013.04.06.06

      Windows XP Service Pack 3 x86 NTFS
      Internet Explorer 8.0.6001.18702
      USUARIO :: PC [administrador]

      Protección: Habilitado

      07/04/2013 0:07:33
      mbam-log-2013-04-07 (00-07-33).txt

      Tipos de Análisis: Análisis Completo (C:\|D:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 333902
      Tiempo transcurrido: 2 hora(s), 10 minuto(s), 34 segundo(s)

      Procesos en Memoria Detectados: 1
      C:\Documents and Settings\All Users\Datos de programa\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> 1856 -> Se eliminarán al reiniciar.

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 2
      HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> En cuarentena y eliminado con éxito.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Updater Service (PUP.InstallBrain) -> En cuarentena y eliminado con éxito.

      Valores del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 1
      C:\Documents and Settings\All Users\Datos de programa\IBUpdaterService (PUP.InstallBrain) -> Se eliminarán al reiniciar.

      Archivos Detectados: 2
      C:\Documents and Settings\All Users\Datos de programa\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Se eliminarán al reiniciar.
      C:\Documents and Settings\All Users\Datos de programa\IBUpdaterService\repository.xml (PUP.InstallBrain) -> En cuarentena y eliminado con éxito.

      fin)
      Voy con el USBFix ahora... Una cosa, tengo 4 discos duros externos, 1 de ellos lo use recientemente y se que tiene el virus, los otros no lo comprobe (por miedo aque al conectarlos pase del PC al disco duro externo)

    6. #6
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      Conecte el disco duro externo y pase el USBFix, acabo el programa de hacer lo suyo, reinicie (con el disco duro todavia metido) Me puso al intentar reiniciar que "attempting boot from usb device. Falta NTLDR. Ctrl+Alt+Supr para reiniciar" Debe ser que no deja reiniciar con el disco duro externo aun enchufado, asi que lo desconecte y ya me dejo reiniciar el ordendor.

      Decir que las carpetas RECYCLER siguen estando tanto en C: como D: (lo miro con el winrar), fotos (las dos carpetas estan con esas papeleras dentro) Adjunto foto solo de :C, en :D ocurre igual:





      Voy a pasar el CCleaner, para ello vuelvo a enchufar el disco duro externo (F:) al ordenador (veo que sigue infectado, he puesto foto de F: justo encima)

      Copio el reporte del USBFix:

      ############################## | UsbFix V 7.120 | [Supresión]

      Usuario: Administrador (Administrador) # PC
      Actualizado el 30/03/2013 por El Desaparecido
      Comenzó a 02:44:50 | 07/04/2013

      Sitio web: SosVirus
      Upload Malware: Upload SosVirus
      Contacto: [email protected]

      PC: Hewlett-Packard (HP Compaq dc5700 Small Form Factor) (X86-based PC)
      CPU: Intel(R) Core(TM)2 Duo CPU E6300 @ 1.86GHz (1862)
      RAM -> [Total : 3583 | Free : 3305]
      BIOS: Default System BIOS
      BOOT: Fail-safe boot

      OS: Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3
      WB: Windows Internet Explorer 8.0.6001.18702

      SC: Security Center Service [Enabled]
      WU: Windows Update Service [Enabled]
      FW: Windows FireWall Service [Enabled]

      C:\ (%systemdrive%) -> Disco fijo # 174 Gb (39 Mb libre(s) - 23%) [] # NTFS
      D:\ -> Disco fijo # 59 Gb (59 Mb libre(s) - 100%) [] # NTFS
      F:\ -> Disco fijo # 112 Gb (17 Mb libre(s) - 15%) [Películas] # NTFS
      J:\ -> CD-ROM
      O:\ -> CD-ROM

      ################## | El Desaparecido Section |

      HKLM\SOFTWARE | Run : [RTHDCPL] - RTHDCPL.EXE
      HKLM\SOFTWARE | Run : [NvCplDaemon] - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      HKLM\SOFTWARE | Run : [nwiz] - nwiz.exe /install
      HKLM\SOFTWARE | Run : [NvMediaCenter] - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      HKLM\SOFTWARE | Run : [APSDaemon] - "C:\Archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe"
      HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
      HKLM\SOFTWARE | Run : [QuickTime Task] - "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
      HKLM\SOFTWARE | Run : [iTunesHelper] - "C:\Archivos de programa\iTunes\iTunesHelper.exe"
      HKLM\SOFTWARE | Run : [HP Software Update] - C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe
      HKLM\SOFTWARE | RunOnce : [] -
      HKU\S-1-5-21-1993962763-261478967-725345543-500\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
      HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

      ################## | Procesos Parados |

      Parado! C:\WINDOWS\Explorer.EXE (868)

      ################## | Archivos # Carpetas infectadas |

      Suprimido ! C:\WINDOWS\Tasks\At1.job
      Suprimido ! C:\WINDOWS\Tasks\At2.job
      Suprimido ! C:\WINDOWS\Tasks\At3.job
      Suprimido ! C:\WINDOWS\Tasks\At4.job
      Suprimido ! C:\scu.dat

      (!) Archivos temporales suprimido.

      ################## | Registro |

      Suprimido ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools

      ################## | Mountpoints2 |


      ################## | Listing |

      [07/04/2013 - 00:02:44 | D ] C:\Archivos de programa
      [29/12/2009 - 20:44:07 | N | 0] C:\AUTOEXEC.BAT
      [23/11/2012 - 14:09:21 | N | 211] C:\Boot.bak
      [23/11/2012 - 18:55:15 | N | 327] C:\boot.ini
      [24/09/2002 - 14:00:00 | N | 4952] C:\Bootfont.bin
      [26/10/2010 - 23:11:21 | N | 11498] C:\CLJ1600.log
      [23/11/2012 - 14:34:06 | D ] C:\cmdcons
      [04/08/2004 - 00:00:00 | N | 260272] C:\cmldr
      [20/03/2011 - 19:26:54 | D ] C:\col3927
      [06/04/2013 - 02:05:34 | N | 18761] C:\ComboFix.txt
      [31/03/2013 - 15:37:45 | D ] C:\Config.Msi
      [29/12/2009 - 20:44:07 | N | 0] C:\CONFIG.SYS
      [07/04/2013 - 02:42:07 | D ] C:\Documents and Settings
      [06/03/2010 - 04:06:17 | D ] C:\fa23e22159948f26f91fec
      [01/01/2010 - 16:22:28 | D ] C:\Impresora
      [29/12/2009 - 21:23:50 | D ] C:\Intel
      [29/12/2009 - 20:44:07 | N | 0] C:\IO.SYS
      [29/12/2009 - 20:44:07 | N | 0] C:\MSDOS.SYS
      [30/12/2009 - 17:30:57 | RD ] C:\MSOCache
      [03/08/2004 - 22:38:34 | N | 47564] C:\NTDETECT.COM
      [29/12/2009 - 20:56:48 | N | 251168] C:\ntldr
      [17/02/2011 - 20:45:32 | D ] C:\NVIDIA
      [07/04/2013 - 02:41:23 | ASH | 2145386496] C:\pagefile.sys
      [07/04/2013 - 02:51:22 | SHD ] C:\RECYCLER
      [01/01/2010 - 01:47:29 | D ] C:\SAVE
      [16/11/2012 - 18:48:42 | D ] C:\spoolerlogs
      [07/04/2013 - 02:30:29 | SHD ] C:\System Volume Information
      [07/04/2013 - 02:51:22 | D ] C:\UsbFix
      [07/04/2013 - 02:51:41 | A | 4023] C:\UsbFix [Clean 1] PC.txt
      [13/10/2012 - 01:38:59 | N | 3398] C:\user.js
      [07/04/2013 - 02:41:32 | D ] C:\WINDOWS
      [10/04/2012 - 23:49:16 | N | 14096] C:\{085401B1-DF6B-4819-BE19-F5B05A1DB265}
      [14/04/2012 - 0210 | N | 15680] C:\{313EC78B-A009-4D0D-9EAA-BBFF950C48F9}
      [23/03/2012 - 23:06:24 | N | 12480] C:\{B10695B3-BCBE-42EC-8A8B-966F46B439BC}
      [19/04/2012 - 22:01:20 | N | 13296] C:\{E4FBF1A2-51B7-41A9-8A1A-FAE597582B56}
      [07/04/2013 - 02:51:22 | SHD ] D:\RECYCLER
      [06/04/2013 - 17:14:29 | SHD ] D:\System Volume Information
      [11/03/2013 - 23:17:28 | N | 787755488] F:\Argo.mp4
      [01/02/2013 - 03:08:16 | N | 105138] F:\Argo.srt
      [01/01/2010 - 23:39:31 | D ] F:\Back To The Future
      [24/01/2010 - 03:50:22 | D ] F:\Batman
      [01/01/2010 - 23:39:26 | D ] F:\Die Hard
      [11/01/2013 - 23:48:06 | D ] F:\Dollars Trilogy
      [01/01/2010 - 23:39:36 | D ] F:\Edgar Wright
      [11/01/2013 - 23:48:08 | D ] F:\Guy Ritchie
      [01/01/2010 - 23:39:42 | D ] F:\Indiana Jones
      [05/04/2013 - 23:35:07 | D ] F:\Kevin Smith
      [11/01/2013 - 23:41:51 | D ] F:\Matthew Vaughn
      [22/02/2013 - 21:30:01 | D ] F:\Otras
      [11/01/2013 - 23:48:12 | D ] F:\Porky's
      [09/09/2012 - 03:43:16 | D ] F:\Quentin Tarantino
      [07/04/2013 - 02:51:22 | SHD ] F:\RECYCLER
      [27/11/2010 - 22:36:09 | D ] F:\Star Wars
      [01/01/2010 - 23:40:08 | SHD ] F:\System Volume Information
      [11/01/2013 - 23:56:44 | ASH | 4096] F:\Thumbs.db
      [11/01/2013 - 23:41:43 | D ] F:\Toy Story

      ################## | Vaccin |

      C:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)
      D:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)
      F:\Autorun.inf -> Vacuna creada por UsbFix (El Desaparecido)

      ################## | E.O.F | SosVirus |
      Última edición por Box182 fecha: 06/04/13 a las 21:41:23

    7. #7
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      Ultimo paso, con CCleaner:

      Hice lo de analizar + ejecutar limpiador:




      Hice tambien lo de buscar problemas, tras "reparar seleccionadas" 2 veces ya no encuentra ninguno.


      SIGUEN APARECIENDO las carpetas recycler y dentro las carpetas las carpetas de la papelera de reciclaje, adjunto fotos:










      Lei que el USBfix crea archivos $recycle.bin, pero ahi no aparece ninguno, ¿a lo mejor creó las carpetas RECYCLER y las que aparecen son las creadas por el programa y no el virus? Como se cual es cual? El autorun.inf si lo ha creado que antes no aparecian.
      Última edición por Box182 fecha: 06/04/13 a las 21:44:02

    8. #8
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      Nada, si borro la carpeta manualmente (haciendola visible y borrandola con lo que puse en el segundo mensaje) sigue reapareciendo inmediatamente. Que asco de virus.

      A ver si alguien puede darme otra solucion, gracias.

    9. #9
      Moderadora Gral.
      Avatar de @Daniela
      Registrado
      abr 2011
      Ubicación
      España
      Mensajes
      23.317

      Re: ¡Ayuda! Virus RECYCLER

      Hola Box182

      Las carpetas de esa unidad usb se convirtieron en accesos directos?

      Realiza los siguientes pasos:

      1) Descarga >> AT-Destroyer (by InfoSpyware) | InfoSpyware

      • Cierra TODOS los programas que tengas abiertos, y >> Desactiva temporalmente el Antivirus y/o Antispyware.
      • Ejecuta AT-Destroyer. (Si usas Windows Vista o 7 presiona clic derecho y selecciona "Ejecutar como Administrador.")
      • En el menú pulsa sobre la opción "Buscar y Destruir".
      • AT-Destroyer desconectará el escritorio momentáneamente.
      • Si detecta infecciones se te indicara y pulsas en Aceptar.
      • Al finalizar el proceso te pedirá Reiniciar, pulsa para Aceptar.
      • Al Iniciar de nuevo Windows se te abrirá un reporte/informe, que deberás copiar en tu próxima respuesta, comentando cómo funciona el sistema.(También puedes encontrarlo en C:\AT-Destroyer.txt)



      2) Descarga AdwCleaner.exe a tu escritorio.

      • Deshabilita temporalmente tu antivirus. y cierra todos los programas abiertos.
      • Ejecuta AdwCleaner.exe (En Windows Vista o 7, presiona clic derecho sobre el ícono y elige Ejecutar como Administrador)
      • Presiona Supresión.
      • AdwCleaner.exe generará un reporte en C:\AdwCleaner[R1].txt


      3) Realiza el proceso a la inversa de como indican en este enlace, para que los archivos queden ocultos.

      Ver archivos ocultos en todos los Windows

      4) Revisa este enlace Recycler, diferencia entre Gusano y Papelera

      Pegas los reportes de At-Destroyer y AdwCleaner y comentas como va todo.

      Un saludo

    10. #10
      Usuario Avatar de Box182
      Registrado
      abr 2013
      Ubicación
      españa
      Mensajes
      31

      Re: ¡Ayuda! Virus RECYCLER

      Antes de hacer nada, he mirado el punto 4) y me parece que C: y D: estan limpios, creo que el virus se ha eliminado. Adjunto fotos de la situacion actual de C: y D:, que viendo el punto 4) parecen estar bien (las carpetas creadas creo que las creo el USBFix) (¿la carpeta system volume information puede ser virus tambien?)

      FOTOS DE C:









      Fotos de D:





      La carpeta autorun.ing de C: tiene el mismo archivo USBfix que esta de D:







      Si esto esta limpio tengo miedo de meter el F: y que pase el virus del disco duro externo al ordenador. Si quito el autorun ¿creo que lo tengo quitado, (como lo compruebo?) es posible que el virus pase igual de F: a C:/D:?

      Viendo estas fotos, ¿hago igualmente los pasos 1) 2) 3) ? ¿Esos pasos se hacen con el disco duro externo metido en el ordenador (puede que solo tenga infectado F:)?

      Recuerdo que estas fotos son de ahora, y que aun no he hecho esto ultimo que me pediste no vaya a ser que el virus ya este eliminado. Si es asi entonces solo queda el tema de F:, el cual puedo poner fotos de como esta actualmente para que me digais si hay virus o no, y si como hago para que si lo haya y meto conecto el usb al ordenador no me infecte tambien el ordenador si se ha desinfectado.
      Última edición por Box182 fecha: 07/04/13 a las 14:22:45

    Página 1 de 2 12 ÚltimoÚltimo