h1

Recycler: posibles problemas

marzo 31, 2009


Video sobre cómo saber si tenemos USB infectado por RECYCLER u otros similares

Hace no mucho hicimos una sencilla aplicación para eliminar el troyano RECYCLER de las llaves USB y del disco duro y que puedes descargar directamente desde este enlace. Sin embargo podemos encontrarnos con alguna dificultad para eliminarlo totalmente. Hago, pues, una serie de consideraciones sobre estas dificultades:

1.- la aplicación no elimina el archivo hn.exe (y/o el resto): en algunos ordenadores encontramos que no eliminaba estos archivos. El porqué es fácil: el troyano había entrado con la cuenta abierta de otro usuario con más privilegios y, por lo tanto, no éramos propietarios de estos archivos por lo que no podíamos borrarlos ni modificarlos.

Para saber quién es el propietario de un archivo tenemos que ejecutar la siguiente instrucción dentro del símbolo del sistema (la pantalla negra que iniciamos con Inicio –> Ejecutar –> cmd)

dir /q    (esto muestra el propietario de los archivos normales)

dir /ah /q    (esto muestra el propietario de los archivos ocultos)

Una vez sabemos quién es el usuario que creó estos ficheros, entramos con ese usuario y ejecutamos la aplicación.

2.- El recycler viene con otros nombres ejecutables en el raíz: no sé si es propio o no del recycler pero encuentro gran variedad de nombres que se ejecutan desde el autorun.inf de las memorias USB y siempre quedan en el directorio raíz de la propia memoria y de los discos que infecta. En principio todos estos eliminando el autorun.inf no deberían ser problema porque nunca serían ejecutados, por lo que la aplicación ya escrita los invalida. De cualquier manera si se quieren “ver” y eliminar no hay más que hacer lo siguiente:

attrib     (para ver los ficheros ocultos y no ocultos)

Nos fijamos en aquellos que están etiquetados como SHR y que no son propios del sistema (CONFIG.SYS, IO.SYS, etc, son ficheros del raíz de C y que están bien así, no borrarlos nunca).

Ahora mismo estoy escribiendo en un ordenador que tiene lo siguiente: un fichero autorun.inf, otro 0bobed.exe y otro xsia.bat con atributos SHR y cuyo contenido (el contenido de un archivo de texto se ve así:  type autorun.inf) es el siguiente:
[Autorun]
open=0bcobed.exe
shell\open\Command=0bcobed.exe

es decir, que en el momento en el que se lee el disco llama a este ejecutable…

La manera de eliminarlos es así:
attrib -s -h -r autorun.inf
attrib -s -h -r 0bcobed.exe
attrib -s -h -r xsia.bat
del autorun.inf
del 0bcobed.exe
del xsia.bat

y… ya estaría.

3.- La consola no reconoce el comando taskkill: en este caso no es capaz de eliminar el proceso del explorer por lo que deberíamos hacerlo “manualmente”, es decir, con CTRL+ALT+SUPR eliminamos el proceso “explorer.exe” (lo cual elimina todas las ventanas del explorador de windows) y ejecutamos desde la consola el fichero borra_recycler.bat.

Anuncios

16 comentarios

  1. y no sabes como puedo volver a ver los archivos ocultos


  2. @Leonardo: no entiendo bien qué quieres decir. Los archivos del directorio se ven (es dedir, cuáles hay) con la instrucción attrib, si queremos ver todos los archivos del directorio y subdirectorios usamos attrib /s. Si se quieren ver directorio ocultos hay que usar la instrucción dir /adh .

    Si usaste la aplicación borra_recycler los archivos ocultos “sospechosos” los borra y ya no están.

    saludos,

    raúl


  3. no puedo borrar el 0bcobed.exe en mi memoria usb, veo los archivos shr, le escribo las ordenes que colocaste y no los encuentra, ni el autorun ni el 0bcobed


  4. @anderson Rodriquez: lo mejor es que te descargues y ejecutes (doble clic) al USB esta aplicación borra_recycler que hicimos:

    http://www.box.net/shared/801df3a9e3

    y la ejecutes desde tu usb.

    Debería funcionarte (salvo que estés entrando con un usuario con menos privilegios que desde el que se creó el archivo 0bcobed.exe).

    Coméntame si te funcionó o no.

    saludos,

    raúl


  5. Hola amigos, la solucion es usar el KiyoScanner, mata mas de 60 tipos de virus de memorias usb:
    W32/Perlovga (copy.exe | host.exe)
    VBS_RESULOWS.A (Hacked by Godzilla, Hacked by Moozilla)
    Bha.dll.vbs
    w32automa worm (Autorun.vbs)
    Trojan.Win32.VB.atg | Win32/Dzan | Worm_vb.bnr (tel.xls.exe | mmc.exe)
    W32/RJump.worm (RavMonE)
    Worm.Win32.Delf.bf | W32.Fujacks (spoclsv.exe)
    W32.Fujacks.BH (Fucker.vbs)
    WORM_AGENT.PGV (soundmix.exe)
    W32/Hakaglan.worm (RVHost.exe)
    Trojan.Win32.VB.ayo [AVP] (Macromedia_Setup.exe)
    Trojan.VBS.DeltreeY.b#1 (Destrukto!!! | destrukto.vbs), etc.

    Entre ellos el recycler, el restore, el autorun.inf
    Ademas regresa tu memoria a su estado normal, abre normalmente y se le kita el icono de la carpeta :D!

    No deja rastros y super rapido en escanear, solo 4 segundos por unidad de almacenamiento!

    El scanner esta en su version 0.2Beta por lo que aun no lo subo al internet pero funciona correctamente bajo mis indicaciones..

    Para mas info mandenme un correo a: charlie@kiyo.com.mx


  6. Por lo que puedo ver el RECYCLER se asocia con el contenido de la carpeta c: System Volume Information (donde solo deberia existir informacion de restauracion). Buteando con linux puedo eliminar ambas carpetas pero al cabo de un tiempo las mismas regresan. Grrrr!!! Ya pienso q este recycler es cosa e mandinga. Ruego me informen sobre cualquier novedad ya q vengo lideando con este tema desde ya hace mucho tiempo. saludos cordiales. Ulises


  7. tengo un usb mirray con el 0bocobed y el itsduel, pero mi nod no puede borrarlo porque esta protegido contra escritura, y este usb no tiene ninguna muesca ni nada parecido a lo que tenian los diskettes antiguos, como puedo desprotegerlo y asi poder borrar estos virus? pero ambos virus estan solo en el usb, mi antivirus (vigente) no lo deja entrar a mi pc


  8. hola sabes yo rengo ese dichoso recycle que sale como carpeta fantasma y tambien pasa en el de volumen baje el borra_recicler pero nada ,me podes ayudar explicando despacio porque no entiendo nada de compus.gracias


  9. a tengo windowas xp


  10. mi pc tiene el virus recycler y e intentado eliminarlo por medio de shif+supr y se elimina pero al volver a reiniciarlo vuelve a aparecer; y el mata recycler no me funciono,cuando ingreso un usb mi anti virus detecta al recycler, lo elimino y luego al volver a escanearlo me aparece que esta limpio pero al abrirlo esta la carpeta recycler la elimino con el procedimiento anterior y despues de retirar la usb de mi pc y volverla a ingresar vuelve a pasar lo mismo que explique anteriormente, quisiera que me ayudaran a eliminarlo por completo gracias a sus experiencias y sus resultados positivos. estare esperando su ayuda gracias y suerte.


  11. como puedeo eliminar el virus recycler de mi usb, celular, camara de fotos y todos mis dispositivos de almacenamiento.


  12. Me pasa lo mismo que a Selvin, hago todo y los elimino pero al ingresar una memoria vuelve a aparecer ahí. Alguien sabe como borrarlo por completo??


  13. @Carlos: el archivo borra_recycler deberías ejecutarlo desde el propio USB: copialo al USB y ejecútalo desde ahí. Si has mirado ya el resto de cosas que comento cuando no se elimina y no funciona quizás es que algo quede en el registro de Windows.

    saludos,

    raúl


  14. te agradezco la ayuda Raul tu informacion me ha servido pero lamentablemente como lo explicas lienas arriba tengo que entrar como usuario de las carpetas que tienen el nombre de la infestacion, te aggradecere mucho si tienes el kiyo escaner o a donde puedo dirigirme para conseguirlo porque no existe la pagina que se indica.
    Gracias nuevamente men.


  15. @Martin: pues el kiyo escaner no tengo ni idea. De todas formas yo creo que las últimas versiones en la versión gratuita del antivirus Avast (http://www.avast.com/es-ww/index) eliminan sin problemas el recycler.

    Saludos y suerte,

    Raúl


  16. El virus recycler hay muchas variantes algunas se pueden eliminar otras no en mi caso tengo un recycler q ni fomateando se elimina lo he formateado a bajo nivel he comprado un disco duro y nada … al parecer ese virus NO ESTA EN EL DISCO DURO!!!! el unico lugar donde puede estar infectado y luego infectar al disco duro es la BIOS tal vez reeinstalando la Bios y luego formateando al disco a bajo nivel es posible q ese virus ya este eliminado….ojo formatear la bios .. debe ser hecho con mucho cuidado porque pueden dejar inutilizado su pc…



Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s