Denunciar

Virus RECYCLER (0x6CF0D62D) [Resuelto/Cerrado]

Haz una pregunta Diegouuw 10Publicaciones jueves, 27 de octubre de 2011Fecha de inscripción viernes, 28 de octubre de 2011 Última intervención - Última respuesta: 5 ene 2015 a las 01:22 por josedarck
Hola Kioskea.net . Me comunico para pedirles su ayuda . Hace unos días coloqué mi PenDrive en la NetBook de un amigo y ahora tengo el famoso virus "RECYCLER" que oculta las carpetas y crea accesos directos . Yo quiero saber como quitar ese virus de la PC de mi amigo .
Yo ya se como recuperar los archivos de mi PenDrive , ya que lo he leído en este foro . Pero el problema es que yo coloco mi USB a diario en la PC de mi amigo y es incomodo realizar el proceso de limpieza una y otra vez en mi PenDrive .
El proceso que se encuentra en este foro , NO ME SIRVE . No se si es el mismo virus , o si es otro . Paso a contarles que es lo que hace este...

1) Crea accesos directos de las carpetas que contiene mi PenDrive .
2) Oculta carpetas como si fuesen carpetas y archivos del sistema .
3) Crea una carpeta llamada RECYCLER que contiene dentro una aplicación llamada 0x6CF0D62D que al ejecutarla lleva al disco extraíble nuevamente (Como si retrocediese) . Al analizar la carpeta RECYCLER con Avira Antiir Premium detecta lo siguiente: "TR/Agent.106548.A Trojan" .

Necesito que me recomienden un buen método efectivo y fácil , ya que este virus se propago a través de un "Chip" para el Counter Strike entre la mayoría de las NetBooks de mis compañeros y soy el único que sabe un poquito de informática como para ayudarlos a quitar este molesto virus .
Vota
+0
plus moins
*Descarga y descomprime el siguiente archivo:
http://uploadingit.com/file/dogkxfdiec30qwax/pclean.rar

*Arrastra el al archivo pclean a tu Memoria Usb.
*Ejecuta el archivo,pclean. (si tu sistema operativo es vista/7 ejecutalo como administarador).
*Aparcera una Ventana con letras azules,permite a que finalize la limpieza,al finalizar, la ventana se cerrara. <----Ahora recupera tus archivos(Memoria Usb).

*Si en tu escritorio existen carpetas con accesos directos,arrastra el archivo pclean a tu escritorio y ejecutalo.(si tu sistema operativo es vista/7 ejecutalo como administarador).

Por ultimo,descarga el siguiente archivo:

http://uploadingit.com/file/lldmppagdgqrys7l/PCLEAN+2.bat
arrastralo a tu Memoria USB y ejecutarlo(si tu sistema operativo es vista/7 ejecutalo como administarador)

Nota: "No! utilizar este archivo en tu escritorio"..


Comentar resultados
saludos
Pc-clean.
Diegouuw 10Publicaciones jueves, 27 de octubre de 2011Fecha de inscripción viernes, 28 de octubre de 2011 Última intervención - 27 oct 2011 a las 22:55
Gracias por tu respuesta Pc-clean . Baje los dos .bat e hice el proceso que me dijiste pero no solucionó nada .
Yo mismo limpié el PenDrive manualmente . Lo que necesito es saber como quitar el virus de la PC , es decir , que la PC deje de 'contagiar' el virus a todos los USB que se le conectan .
Baruta- 27 abr 2013 a las 21:05
Como eliminar el virus Recycler

sOFTWARE NECESARIO
StartDreck (build 2.1.7) (Indispensable)
Unlocker v1.8.8 (Casi Indispensable)
AC USB Virus Killer v1.41 (No es Indispensable)

xxxxxxxxxxx PRIMER PASO - Con esto intentaremos que el virus no vaya de la papelera a otro lado.

Pulsamos el boton derecho del raton sobre la papelera de reciclaje y vamos a propiedades.
Marcamos "Utilizar una configuracion para todas las unidades"
y tambien marcamos:
"No mover archivoa a la papelera de reciclaje"
"Mostrar cuadro de dialogo para confirmar eliminacion"


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

xxxxxxxxxxx SEGUNDO PASO - AQUI BUSCAMOS CON UN HIJACK TODAS LAS ENTRADAS DEL PC

1 . Ejecutar "StartDreck (build 2.1.7)(Es gratis y portable)

Presenta un gran informe.
Vemos lo siguiente (Parte) en el mismo:
En >>Run

Djkwkz=c:\Documents and setting\Administrador\Datos de programa\Microsoft\Djkwkz.exe

Que hace esto aqui ¿Por que? (Sospechoso).

Bajamos y encontramos lo siguiente:

+712=C:\Windows\System32\mspaint.exe

Por que esta ejecutando un programa de dibujo (Otro sospechoso).

No logro ver mas nada raro.

Asi que elimino estas 2 lineas.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxx TERCER PASO - AQUI MODIFICAREMOS WINDOWS PARA VER CARPETAS Y FICHEROS OCULTOS Y DE SISTEMA Y CREAREMOS
XXXXXXXXXXXXXXXXXXXXXXXXX aLGUNOS FICHEROS .BAT QUE NECESITAREMOS.

Ahora voy a dar informacion que encontre en una pagina de "Kioskea.net"
(Informacion de KIRO y PC-CLEAN ??????)

1- Ir a Inicio ,Click en Mi equipo (O abrir el explorer-Herramientas-Opciones de carpeta- ver y vas al punto 4)
2- Click en la Pestaña de organizar y después en Opciones de carpeta.
3- Click en la pestaña Ver.
4- Selecciona o ver "Mostrar archivos y carpetas ocultos".
5- Desmarcar la opción "Ocultar extensiones de archivo para tipos de archivo conocidos".
6- Desmarca casilla en "Ocultar archivos protegidos del sistema operativo".
7- Click en Aplicar, y después en Aceptar.<====En ese orden
8- Click derecho en tu escritorio,Click en Nuevo y escoge Documento de Texto,lo abrimos copia y pega lo siguiente:

@echo off
title VIRUS DE ACCESOS DIRECTOS por PC-Clean
color 1E
@echo ----------------------------------------------
@echo REPARACION DE ARCHIVOS USB
@echo ----------------------------------------------
@echo Mostrando Carpetas
Attrib /d /s -r -h -s *.*
@echo ----------------------------------------------
@echo Eliminado Accesos Directos
if exist *.lnk del *.lnk
@echo ----------------------------------------------
@echo Eliminado Autorun
if exist autorun.inf del autorun.inf
@echo ----------------------------------------------
@echo YA SE TERMINO...
@echo ----------------------------------------------
@echo ----------------------------------------------
@echo Por PC-Clean
@echo ----------------------------------------------
@echo ----------------------------------------------
@echo SALE PC-Clean

9.-En el Block de Notas, ir a archivo,Guardar como.
*Nombre: PC-Clean.BAT
*Tipo: Todos los archivos
*Guardar el archivo en su escritorio

10.- Conectar tu Device Extraible y arrastramos el archivo PC-Clean.BAT (Yo lo copie en todos los discos y devices)
(Devices extraibles==>Telefonos,MP3,IPOD,SDCard,Memorias USB,Discos duros EXTERNOS).

11.-(En el Caso que la Infeccion sea en nuestra PC)archivos y carpetas con simbolos MUY EXTRAÑOS <=== Arrastrar archivo .bat a tu escritorio y a tu disco C:(Leer mas abajo)


Con el paso siguiente crearas el fichero "Autorun.reg"

Para Prevenir Futuras Infecciones (Deshabilitar "AutoRun")

Click derecho en tu escritorio,Click en Nuevo,Documento de Texto,lo abrimos copia y pega lo siguiente

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

*Presionas click en la pestaña Guardar Como, y le colocas un nombre como autorun.reg y lo guardas en tu escritorio.



OJO.- CASIM.DAR en un informe dice que el "=dword:000000ff" debe ser ""=dword:03ffffff" en ambos casos (??????).





Click derecho en tu escritorio, Click en Nuevo y escoge Documento de Texto,lo abrimos copia y pega lo siguiente:

attrib -s -h -r RECYCLER
rd /s /q RECYCLER

Y guardalo como BR.bat (Borrar Recycler)

Otra vez click derecho en tu escritorio, Click en Nuevo y escoge Documento de Texto,lo abrimos copia y pega lo siguiente:

attrib /S /D -s -h -r "System Volume Information"
rd /s /q "System Volume Information"

Y guardalo como SVI.bat (Borrar system volume informacion)


Copia los ficheros Pc-Clean.bat, Br.bat y Svi,bat en cada disco duro, pendrive, etc..

PC-Clean puede tardar un poco dependiendo de la cantidad de carpetas, subcarpetas y ficheros que tengas en la unidad,
ya que debe cambiarle los atributos a todos.

Ejecuta 1.- PC-Clean.bat (Elimina los atributos de ficheros y carpetas, elimina accesos directos y ficheros autorun)
2.- br.bat (Elimina los atributos de recycler y lo borra)
3.- Svi.bat (Elimina los atributos de System Volume Information y lo borra)
(Esta carpeta no se borra pero elimina todo su contenido)


Ejecuta cada fichero en cada uno de los discos duros, pendrive, etc y elimina si encuentras todos los
".Trashes", "autorun.inf"
, Y un archivo con un nombre parecido a esto: "CzYJwsxrIWbYxpg.exe" de 144 Kb (o 146944 bytes).
Al intentar eliminarlo te dira que es un archivo de sistema y que no se puede borrar o que esta siendo usado por otra persona o programa.

Yo recomiendo usar el unlocker para desbloquear este fichero (es gratis y muy bueno).

Busca Unlocker v1.8.8, instalalo (es pequeño y rapido).
Pulsando sobre el archivo a desbloquear y pulsando el boton derecho del raton, veras una especie de varita magica con el nombre Unlocker.
Pulsala y aparecera una ventana nueva elige la opcion "Desbloquear todo" y ahora puedes borrar el archivo tranquilamente.

Ahora ejecuta Autorun.reg este fichero modificara en el registro el autorun, es decir, no permite la instalacion
de programas en el arranque del equipo (No lo puedo verificar)


xxxxxxxxxxx CUARTO PASO - AQUI MODIFICAREMOS WINDOWS PARA OCULTAR CARPETAS Y FICHEROS OCULTOS Y DE SISTEMA
Por ultimo realizar los cambios en la configuracion.


1- Ir a Inicio ,Click en Mi equipo (O abrir el explorer-Herramientas-Opciones de carpeta- ver y vas al punto 4)

2- Click en la Pestaña de organizar y después en Opciones de carpeta.
3- Click en la pestaña Ver.
4- Selecciona o ver "Mostrar archivos y carpetas ocultos".
5- Marcar la opción "Ocultar extensiones de archivo para tipos de archivo conocidos".
6- Marca casilla en "Ocultar archivos protegidos del sistema operativo".
7- Click en Aplicar, y después en Aceptar.<====En ese orden

xxxxxxxxxxx QUINTO PASO - RESTAURAREMOS LA PAPELERA DE RECICLAJE (SI QUIERES).

Pulsamos el boton derecho del raton sobre la papelera de reciclaje y vamos a propiedades.
Marcamos "Utilizar una configuracion para todas las unidades"
Desmarcamos "No mover archivoa a la papelera de reciclaje"
Marcamos "Mostrar cuadro de dialogo para confirmar eliminacion"


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Tal vez necesites instalar de nuevo tu sistema operativo.

Analize mi PC con el AVIRA, AVAST, ESET NOD, McAffe y el Malwarebytes y ninguno de ellos lo detecto, por lo
que te recominendo que instales el AC USB Virus Killer.
Este pequeño programa evita que te infecten tus pendrives, discos externos etc...


Baruta
josedarck- 5 ene 2015 a las 01:22
lo mas simple que puedes hacer es solo aparecer la carpeta con los attributos del cmd
attrib /s /d -h -r -s *.*
despues eliminas la carpeta y te vas a la appdata y eliminas de ahy y asi de facil
Vota
+0
plus moins
Descarga los siguiente programas:
Descarga e instala Ccleaner http://www.filehippo.com/es/download_ccleaner/download/8d74e9f2d23827db70cde78abd199236/

*Descarga e Instala Malwarebytes. <---Durante la instalacion,Permite que Malwarebytes actualize sus bases de Deteccion ó verificalo haciendo click en la opcion de acualizacion y de esta forma sabra si malwarebytes cuanta con todas sus bases de deteccion instaladas. <-----"IMPORTANTE"!
http://www.techspot.com/downloadget.php?id=4716&file=1&evp=cdc6288e28b307c15a306309bcab59be

*En windows,Activa ver "Archivos ocultos" <----------------"IMPORTANTE!"
*En windows,"Desactiva Restaurar Sistema"<--------------- "IMPORTANTE!"

*Nota*: si tiene alguna duda en los 2 puntos anterirores,al final de mi escrito explico como realizarlo.
=======================================================
*Ahora configuraremos Ccleaner:

*Abrir Ccleaner,ira la columna del lado izqu.,activa todas las casillas y deja unicamente desactivada la ultima""Borrar espacio libre",Durante la activacion de las casillas posiblemete te aparesca una ventana de advertencia,cada vez que aparesca "oprime ok".

*En esa misma columna,arriba,haz click en programas,activa todas las casillas.

*Click en opciones,avanzadas y desactiva la 2da casillas(solo borrar de las carpetas Temp de windows los archivos de mas de 24 horas etc)

*Cerrar Programa..

=======================================================
"INGRESAR A MODO A PRUEBA DE FALLOS O MODO SEGURO"
*Reincia tu Equipo,oprime repetidas veces la "Tecla F8" hasta que aparesca una ventana Negra con Un menu de opciones,con la ayuda de las flechas de te teclado,ve hacia abajo y escoge la opcion "Modo a Prueba de Fallos o lo que significa lo mismo Modo seguro",opriema enter y permite a que inicie y finalize el booteo,si tiene una cuenta como administrador,escriba su password y oprima enter,dentro de modo seguro realizar lo siguiente:


*Para windows XP:Ir a Incio,run y escribe %temp% oprime la tecla enter o intro.
Para Windows 7:Inicio y en el rectangulo de busqueda de programas y archivos escribe %temp%

*Nota*: escribir correctamente %temp%

*Aparecera la Ventana de templorales.
*Selecciona todos los archivos y carpetas todo!!,hacer click derecho y escoge "ELIMINAR".
*Realiza el mismo procedimiento,cuantas veces sea necesario,hasta que no aparesca ningun archivo o carpeta.
*Si existen,1,2,3 etc archivos o folders que no pueda borrar,salte al siguiente punto.


*Ejecuta Ccleaner,opcion limpiador,oprime opcion analizar,permite a que finalize el analisis.

*una vez finalizado,click en ejecutar limpiador,realiza esa operacion cuantas veces sea necesario,hasta que no te muestre ningun archivo pendiente por remover o borrar.

*Haz click en opcion Registro,click en buscar problemas,una vez finalizado,haz click en reparar seleccionadas,te aparecera una ventana,haz click en"No",aparecera otra ventana,haz click en "Reparar Todas las Seleccionadas"click en cerrar,realiza el mismo procedimiento cuantas veces sea necesario hasta que no exista ningun "Registro" a Reparar.

*Cerrar Ccleaner.

=======================================================

*Ejecute Malwarebytes,escoga "Scan Completo",aparecera una ventana:

*Active o habilite,la casilla de su Disco duro,Por default es el "C"(disco duro del sistema).

*Si su equipo cuenta con mas Disco duros o Particiones de respaldo,active sus casillas correspondientes.

*Click en scan.

*Al finalizar el scan,Malwarebytes le mostrara la cantidad de infecciones detectadas.(Si muestra (0) cero,quiere decir que su sistema se encuentra libre de infecciones).

*En caso que Malwarebytes haya detectado infecciones,oprimir la opcion "Mostrar resultados".

*Verifique que todas las casillas de las infecciones detectadas,se encuentren activadas o habilitadas.<-----IMPORTANTE!

*oprimir la opcion,"Remover o borrar todo lo seleccionado".

*Si Malwarebytes le pide reiniciar,antes de hacerlo Guarde el reporte(en el reporte,ir a archivo,guardar como,si lo desea puede escribir algun nombre,escoga su escritorio y por ultimo oprimir en la opcion Guardar.)

*Reiniciar.

En tu siguiente respuesta,copia y pega el reporte de Malwarebytes..

Saludos
Pc-clean
=======================================================

"Para Activar Ver Archivos Ocultos":

Para configurar Windows XP

1- Haga clic en Mi PC.
2- Haga clic en el menú Herramientas, y después en Opciones de carpeta.
3- Haga clic en la pestaña Ver.
5- Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".
6- En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".
7- Quite la marca en "Ocultar archivos protegidos del sistema operativo".
8- Haga clic en Aplicar, y después en Aceptar.

Para Desactivar Restaurar Sistema:
Windows XP

En el panel de Inicio pulse sobre Mi PC
Haga clic en "Ver información del sistema"
Seleccione la etiqueta "Restaurar sistema"
Marque la casilla "Desactivar Restaurar sistema en todas las unidades" y pulse en "Aplicar".
El sistema le preguntará si está seguro de querer deshabilitarlo. Confírmelo pulsando en SÍ.
La opción que muestra el estado de los discos en la ventana "Configuración de la unidad" aparecerá deshabilitada (todo gris). Pulse en el botón Aceptar.
Vota
+0
plus moins
descarguense avast free antivirus escanea la netbook y libre del virus
ANTIVIRUS- 27 oct 2011 a las 23:32
descarguense avast es facil escaneen su compu cuando metan su memoria el antivirus ya detecta el virus y luego si te llegara a aparecer como acceso directo las carpetas de tu memoria elimina los accesos directos como lo has hecho y adios virus espero les sirva
usuario anónimo - 28 oct 2011 a las 00:34
Si se refiere a utilizar un CD bootable como ,Avira ,DrWeb,Kapersky,estaria de acuerdo.

Pero si se refiere a desinsatar un antivirus cuando el sistema se encuentra infectado,eso no tiene sentido,despues de desinfectado el sistema si podria instalar otro antivirus(si lo desea)...
Diegouuw 10Publicaciones jueves, 27 de octubre de 2011Fecha de inscripción viernes, 28 de octubre de 2011 Última intervención - 28 oct 2011 a las 03:51
No utilizo Avast AntiVirus ni ninguno de sus productos porque no me parecen seguros y he tenido malas experiencias con ellos . Solo confío en Avira , COMODO , USB-AV y SUPERAntiSpyware . Igual , gracias por la respuesta .
Vota
+0
plus moins
YA ENCONTRÉ LA SOLUCIÓN

Primero , descargamos la "Píldora Digital" llamada DP_Recycle.exe ( Link de Descarga: http://www.mediafire.com/?w6l9a4ecnhuxbyt ) . Una vez que tenemos la aplicación portable descargada , la ejecutamos y clickeamos sobre Escanear PC y luego sobre Escanear USB . De esta manera , el virus ha sido removido de la PC y de los USB infectados .
obelizco- 31 oct 2011 a las 14:35
Dejame decirte amigo que este archivo no sirve absolutamente para nada, tengo tres memorias USB con el virus las analiza y dice que ninguna lo tiene.
sin embargo te gradezco la itencion de colaborar con la causa
karen- 2 jun 2014 a las 06:59
el archivo ya fue eliminado de Media fire...aunque ya pasaron tres años...alguno tiene solucion para el problema este, mi pendrive convirtió los archivos en accesos directos, desde la compu puedo abrirlos, pero Guardarlos no, los guardo pero no los veo en ningun lado del escritorio. Como hago para saber si este Virus esta en mi maquina o solo en el pendrive? Porque es la compu de mi hno y se la infecte, me revienta! jaja Mil gracias

Los miembros obtienen más respuestas que los usuarios anónimos.

Ser miembro te permite llevar un seguimiento detallado de tus consultas.

Ser miembro te permite disfrutar de opciones adicionales.

¿Todavía no eres usuario?

¡Inscríbete, es gratis y toma menos de un minuto!