1.- la aplicación no elimina el archivo hn.exe (y/o el resto): en algunos ordenadores encontramos que no eliminaba estos archivos. El porqué es fácil: el troyano había entrado con la cuenta abierta de otro usuario con más privilegios y, por lo tanto, no éramos propietarios de estos archivos por lo que no podíamos borrarlos ni modificarlos.
Para saber quién es el propietario de un archivo tenemos que ejecutar la siguiente instrucción dentro del símbolo del sistema (la pantalla negra que iniciamos con Inicio –> Ejecutar –> cmd)
dir /q (esto muestra el propietario de los archivos normales)
dir /ah /q (esto muestra el propietario de los archivos ocultos)
Una vez sabemos quién es el usuario que creó estos ficheros, entramos con ese usuario y ejecutamos la aplicación.
Hace algún tiempo ya había comentado que Nelson, alumno de 4º ESO estaba haciendo (al igual que otros alumnos de informática) un videojuego programado con GameMaker. En este video se recoge un extracto del resultado final.
Video sobre cómo saber si tenemos USB infectado por RECYCLER u otros similares
Hace no mucho hice una entrada sobre un troyano que pululaba (y pulula) por nuestras salas de ordenadores y algunas memorias USB de sus usuarios. La tarea de eliminarlo la escribí en aquella entrada. Como el proceso es muy repetitivo hicimos un pequeño archivo BAT para eliminarlo de manera automática. En principio, no habría más que descargarse el archivo borra_recycler.bat a la memoria USB y ejecutarlo. Este archivo para eliminar el troyano puede descargarse desde aquí. El archivo (de momento) queda así (en realidad luego añadí c: y copié todo para que después de borrar los archivos indeseables de la memoria USB también lo haga con la partición c: del disco duro del ordenador):
echo EJECUTABLE PARA ELIMINAR ALGUNOS RASTROS DEL RECYCLER
echo QUE PULULAN POR ALGUNA DE LAS SALAS DE ORDENADORES
echo la primera linea mata el proceso del explorador
echo que es con quien se asocia hn.exe
echo esto hace que se desaparezca el escritorio y ventanas abiertas
taskkill /f /im explorer.exe
echo las siguientes 3 lineas van al directorio de hn.exe
cd \
cd recycler
cd k-1-3542-4232123213-7676767-8888886
echo las siguientes 3 lineas quita atributos de oculto
echo de sistema y solo lectura y borra los archivos
attrib hn.exe -s -h -r
attrib desktop.ini -s -h -r
del hn.exe
del desktop.ini
echo las siguientes 3 lineas borra el directorio del recycler
cd..
attrib -s -h -r k-1-3542-4232123213-7676767-8888886
rmdir k-1-3542-4232123213-7676767-8888886
echo a partir de aqui vamos al origen y borramos muchos ficheros
echo que he comprobado suelen estar de vez en cuando
cd ..
attrib autorun.inf -s -h -r
del autorun.inf
attrib gy.exe -s -h -r
del gy.exe
attrib x2csvg.exe -s -h -r
del x2csvg.exe
attrib w98.com -s -h -r
del w98.com
attrib 8.bat -s -h -r
del 8.bat
attrib m2nl.bat -s -h -r
del m2nl.bat
attrib h3.bat -s -h -r
del h3.bat
attrib iqe68o.bat -s -h -r
del iqe68o.bat
attrib j60osk9.cmd -s -h -r
del j60osk9.cmd
attrib 6fnlpetd.exe -s -h -r
del 6fnlpetd.exe
attrib ncyrf.bat -s -h -r
del ncyrf.bat
echo finalmente volvemos a abrir explorer (las ventanas)
explorer
exit
Actualización (03-05-2009)
Además de incorporar algún otro archivo ya comentado en otra entrada, ahora elimina el fichero olhrwef.exe y su clave de registro, pues me encontré con un caso en el que después de haber eliminado 0bcobed.exe, autorun.inf y el resto de archivos molestos, al reiniciar el equipo volvían a aparecer estos.
Encontré esta solución después de buscar sobre olhrwef.exe y encontrarme esta fabulosa entrada sobre este particular.
Actualización (03-06-2009)
Me encontré con un archivo vwewav8.com y un comportamiento anómalo del ordenador: al sacar la consola del símbolo del sistema no se veía el texto y el bloc de notas se situaba siempre al final del archivo que hubiera abierto. Añado un par de líneas para eliminar este archivo.
Actualización (12-06-2009)
Me encontré estos archivos en la carpeta c:\windows\system32 con estos nombres: nmdfgds0.dll, nmdfgds1.dll, así que los incorporo para eliminarlos también.
Actualización (15-06-2009)
Me encontré con un fichero eyt.exe y el internet explorer que se cerraba solo (y otros navegadores también). Lo eliminé y se eliminó (de momento) el problema, así que lo añado al fichero.
Actualización (15-09-2009)
Me encontré con un fichero herss.exe que también tocaba el registro al igual que con olhrwef.exe, así que decido borrar esta línea del registro esté olhrwef.exe o no.
Actualización (26-09-2009)
Me encontré con el virus fun.xls.exe. Con el método anterior (eliminar proceso de explorer, cambiar atributos y borrar) no era capaz de eliminarlo. Para hacerlo hay que eliminar otros procesos de la memoria: algsrvs.exe, msfun80.exe y msime82.exe. También escribe algunas claves en el registro que hay que modificar. En principio el archivo ya elimina este fun.xls.exe.
El blog de tecnología 