Virus RECYCLER (0x6CF0D62D)

Resuelto/Cerrado
Diegouuw Message postés 10 Date d'inscription jueves, 27 de octubre de 2011 Estatus Miembro Última intervención viernes, 28 de octubre de 2011 - 27 oct 2011 a las 22:15
 josedarck - 5 ene 2015 a las 01:22
Hola Kioskea.net . Me comunico para pedirles su ayuda . Hace unos días coloqué mi PenDrive en la NetBook de un amigo y ahora tengo el famoso virus "RECYCLER" que oculta las carpetas y crea accesos directos . Yo quiero saber como quitar ese virus de la PC de mi amigo .
Yo ya se como recuperar los archivos de mi PenDrive , ya que lo he leído en este foro . Pero el problema es que yo coloco mi USB a diario en la PC de mi amigo y es incomodo realizar el proceso de limpieza una y otra vez en mi PenDrive .
El proceso que se encuentra en este foro , NO ME SIRVE . No se si es el mismo virus , o si es otro . Paso a contarles que es lo que hace este...

1) Crea accesos directos de las carpetas que contiene mi PenDrive .
2) Oculta carpetas como si fuesen carpetas y archivos del sistema .
3) Crea una carpeta llamada RECYCLER que contiene dentro una aplicación llamada 0x6CF0D62D que al ejecutarla lleva al disco extraíble nuevamente (Como si retrocediese) . Al analizar la carpeta RECYCLER con Avira Antiir Premium detecta lo siguiente: "TR/Agent.106548.A Trojan" .

Necesito que me recomienden un buen método efectivo y fácil , ya que este virus se propago a través de un "Chip" para el Counter Strike entre la mayoría de las NetBooks de mis compañeros y soy el único que sabe un poquito de informática como para ayudarlos a quitar este molesto virus .
Consulta también:

4 respuestas

usuario anónimo
27 oct 2011 a las 22:26
*Descarga y descomprime el siguiente archivo:
https://speedsmart.net/

*Arrastra el al archivo pclean a tu Memoria Usb.
*Ejecuta el archivo,pclean. (si tu sistema operativo es vista/7 ejecutalo como administarador).
*Aparcera una Ventana con letras azules,permite a que finalize la limpieza,al finalizar, la ventana se cerrara. <----Ahora recupera tus archivos(Memoria Usb).

*Si en tu escritorio existen carpetas con accesos directos,arrastra el archivo pclean a tu escritorio y ejecutalo.(si tu sistema operativo es vista/7 ejecutalo como administarador).

Por ultimo,descarga el siguiente archivo:

https://speedsmart.net/
arrastralo a tu Memoria USB y ejecutarlo(si tu sistema operativo es vista/7 ejecutalo como administarador)

Nota: "No! utilizar este archivo en tu escritorio"..


Comentar resultados
saludos
Pc-clean.
0
Diegouuw Message postés 10 Date d'inscription jueves, 27 de octubre de 2011 Estatus Miembro Última intervención viernes, 28 de octubre de 2011 2
27 oct 2011 a las 22:55
Gracias por tu respuesta Pc-clean . Baje los dos .bat e hice el proceso que me dijiste pero no solucionó nada .
Yo mismo limpié el PenDrive manualmente . Lo que necesito es saber como quitar el virus de la PC , es decir , que la PC deje de 'contagiar' el virus a todos los USB que se le conectan .
0
Como eliminar el virus Recycler

sOFTWARE NECESARIO
StartDreck (build 2.1.7) (Indispensable)
Unlocker v1.8.8 (Casi Indispensable)
AC USB Virus Killer v1.41 (No es Indispensable)

xxxxxxxxxxx PRIMER PASO - Con esto intentaremos que el virus no vaya de la papelera a otro lado.

Pulsamos el boton derecho del raton sobre la papelera de reciclaje y vamos a propiedades.
Marcamos "Utilizar una configuracion para todas las unidades"
y tambien marcamos:
"No mover archivoa a la papelera de reciclaje"
"Mostrar cuadro de dialogo para confirmar eliminacion"


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

xxxxxxxxxxx SEGUNDO PASO - AQUI BUSCAMOS CON UN HIJACK TODAS LAS ENTRADAS DEL PC

1 . Ejecutar "StartDreck (build 2.1.7)(Es gratis y portable)

Presenta un gran informe.
Vemos lo siguiente (Parte) en el mismo:
En >>Run

Djkwkz=c:\Documents and setting\Administrador\Datos de programa\Microsoft\Djkwkz.exe

Que hace esto aqui ¿Por que? (Sospechoso).

Bajamos y encontramos lo siguiente:

+712=C:\Windows\System32\mspaint.exe

Por que esta ejecutando un programa de dibujo (Otro sospechoso).

No logro ver mas nada raro.

Asi que elimino estas 2 lineas.

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

xxxxxxxxxxx TERCER PASO - AQUI MODIFICAREMOS WINDOWS PARA VER CARPETAS Y FICHEROS OCULTOS Y DE SISTEMA Y CREAREMOS
XXXXXXXXXXXXXXXXXXXXXXXXX aLGUNOS FICHEROS .BAT QUE NECESITAREMOS.

Ahora voy a dar informacion que encontre en una pagina de "Kioskea.net"
(Informacion de KIRO y PC-CLEAN ??????)

1- Ir a Inicio ,Click en Mi equipo (O abrir el explorer-Herramientas-Opciones de carpeta- ver y vas al punto 4)
2- Click en la Pestaña de organizar y después en Opciones de carpeta.
3- Click en la pestaña Ver.
4- Selecciona o ver "Mostrar archivos y carpetas ocultos".
5- Desmarcar la opción "Ocultar extensiones de archivo para tipos de archivo conocidos".
6- Desmarca casilla en "Ocultar archivos protegidos del sistema operativo".
7- Click en Aplicar, y después en Aceptar.<====En ese orden
8- Click derecho en tu escritorio,Click en Nuevo y escoge Documento de Texto,lo abrimos copia y pega lo siguiente:

@echo off
title VIRUS DE ACCESOS DIRECTOS por PC-Clean
color 1E
@echo ----------------------------------------------
@echo REPARACION DE ARCHIVOS USB
@echo ----------------------------------------------
@echo Mostrando Carpetas
Attrib /d /s -r -h -s *.*
@echo ----------------------------------------------
@echo Eliminado Accesos Directos
if exist *.lnk del *.lnk
@echo ----------------------------------------------
@echo Eliminado Autorun
if exist autorun.inf del autorun.inf
@echo ----------------------------------------------
@echo YA SE TERMINO...
@echo ----------------------------------------------
@echo ----------------------------------------------
@echo Por PC-Clean
@echo ----------------------------------------------
@echo ----------------------------------------------
@echo SALE PC-Clean

9.-En el Block de Notas, ir a archivo,Guardar como.
*Nombre: PC-Clean.BAT
*Tipo: Todos los archivos
*Guardar el archivo en su escritorio

10.- Conectar tu Device Extraible y arrastramos el archivo PC-Clean.BAT (Yo lo copie en todos los discos y devices)
(Devices extraibles==>Telefonos,MP3,IPOD,SDCard,Memorias USB,Discos duros EXTERNOS).

11.-(En el Caso que la Infeccion sea en nuestra PC)archivos y carpetas con simbolos MUY EXTRAÑOS <=== Arrastrar archivo .bat a tu escritorio y a tu disco C:(Leer mas abajo)


Con el paso siguiente crearas el fichero "Autorun.reg"

Para Prevenir Futuras Infecciones (Deshabilitar "AutoRun")

Click derecho en tu escritorio,Click en Nuevo,Documento de Texto,lo abrimos copia y pega lo siguiente

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

*Presionas click en la pestaña Guardar Como, y le colocas un nombre como autorun.reg y lo guardas en tu escritorio.



OJO.- CASIM.DAR en un informe dice que el "=dword:000000ff" debe ser ""=dword:03ffffff" en ambos casos (??????).





Click derecho en tu escritorio, Click en Nuevo y escoge Documento de Texto,lo abrimos copia y pega lo siguiente:

attrib -s -h -r RECYCLER
rd /s /q RECYCLER

Y guardalo como BR.bat (Borrar Recycler)

Otra vez click derecho en tu escritorio, Click en Nuevo y escoge Documento de Texto,lo abrimos copia y pega lo siguiente:

attrib /S /D -s -h -r "System Volume Information"
rd /s /q "System Volume Information"

Y guardalo como SVI.bat (Borrar system volume informacion)


Copia los ficheros Pc-Clean.bat, Br.bat y Svi,bat en cada disco duro, pendrive, etc..

PC-Clean puede tardar un poco dependiendo de la cantidad de carpetas, subcarpetas y ficheros que tengas en la unidad,
ya que debe cambiarle los atributos a todos.

Ejecuta 1.- PC-Clean.bat (Elimina los atributos de ficheros y carpetas, elimina accesos directos y ficheros autorun)
2.- br.bat (Elimina los atributos de recycler y lo borra)
3.- Svi.bat (Elimina los atributos de System Volume Information y lo borra)
(Esta carpeta no se borra pero elimina todo su contenido)


Ejecuta cada fichero en cada uno de los discos duros, pendrive, etc y elimina si encuentras todos los
".Trashes", "autorun.inf"
, Y un archivo con un nombre parecido a esto: "CzYJwsxrIWbYxpg.exe" de 144 Kb (o 146944 bytes).
Al intentar eliminarlo te dira que es un archivo de sistema y que no se puede borrar o que esta siendo usado por otra persona o programa.

Yo recomiendo usar el unlocker para desbloquear este fichero (es gratis y muy bueno).

Busca Unlocker v1.8.8, instalalo (es pequeño y rapido).
Pulsando sobre el archivo a desbloquear y pulsando el boton derecho del raton, veras una especie de varita magica con el nombre Unlocker.
Pulsala y aparecera una ventana nueva elige la opcion "Desbloquear todo" y ahora puedes borrar el archivo tranquilamente.

Ahora ejecuta Autorun.reg este fichero modificara en el registro el autorun, es decir, no permite la instalacion
de programas en el arranque del equipo (No lo puedo verificar)


xxxxxxxxxxx CUARTO PASO - AQUI MODIFICAREMOS WINDOWS PARA OCULTAR CARPETAS Y FICHEROS OCULTOS Y DE SISTEMA
Por ultimo realizar los cambios en la configuracion.


1- Ir a Inicio ,Click en Mi equipo (O abrir el explorer-Herramientas-Opciones de carpeta- ver y vas al punto 4)

2- Click en la Pestaña de organizar y después en Opciones de carpeta.
3- Click en la pestaña Ver.
4- Selecciona o ver "Mostrar archivos y carpetas ocultos".
5- Marcar la opción "Ocultar extensiones de archivo para tipos de archivo conocidos".
6- Marca casilla en "Ocultar archivos protegidos del sistema operativo".
7- Click en Aplicar, y después en Aceptar.<====En ese orden

xxxxxxxxxxx QUINTO PASO - RESTAURAREMOS LA PAPELERA DE RECICLAJE (SI QUIERES).

Pulsamos el boton derecho del raton sobre la papelera de reciclaje y vamos a propiedades.
Marcamos "Utilizar una configuracion para todas las unidades"
Desmarcamos "No mover archivoa a la papelera de reciclaje"
Marcamos "Mostrar cuadro de dialogo para confirmar eliminacion"


XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Tal vez necesites instalar de nuevo tu sistema operativo.

Analize mi PC con el AVIRA, AVAST, ESET NOD, McAffe y el Malwarebytes y ninguno de ellos lo detecto, por lo
que te recominendo que instales el AC USB Virus Killer.
Este pequeño programa evita que te infecten tus pendrives, discos externos etc...


Baruta
0
lo mas simple que puedes hacer es solo aparecer la carpeta con los attributos del cmd
attrib /s /d -h -r -s *.*
despues eliminas la carpeta y te vas a la appdata y eliminas de ahy y asi de facil
0