Recycler, me lo infecta todo (SOLUCIONADO)

[mimelita]

Hola a todos!!!

Tengo un problema en el ordenador que cada vez parece ir a más :s ¡ME ESTOY VOLVIENDO LOCA! :48:

Sin saberlo, contagié mi pincho con el RECYCLER y lo introduje en el portátil. Cuando me di cuenta, como no quería perder los datos del usb, copié lo necesario al portátil y lo formateé. Hasta allí todo muy bien porque lo revisé y no había ni rastro del dichoso RECYCLER, pero resulta que al día siguiente metí el usb al portátil y allí estaba de nuevo!!! Probé con otro usb que no utilizaba hace tiempo (en principio limpio porque lo comprobé en otro pc antes) y al meterlo el RECYCLER estaba allí!!! :52:

La pregunta es ¿está mi portátil infectado? Porque por más que reviso y busco no encuentro la carpeta del RECYCLER en mi ordenador (esta activado lo de ver archivos y carpetas ocultos) sin embargo no me explico como se infectan distintos usb cada vez que los conecto al portátil.

Otras cosas raras que están ocurriendo:
- No puedo entrar a ninguna página web de antivirus
- El internet explorer no me funciona y el chrome hay veces que va y otras no

Por favor, ayuda!!! No quiero perder mis archivos y es que encima si los copio a mi disco duro externo es probable que el RECYCLER lo infecte.

Estaré a la espera de alguna respuesta.

Un saludo a todos los foreros y gracias por adelantado!!!

 

[razor]

Hola mimelita, bienvenida al foro y gracias por registrarte.

Nuestra moderadora dunanea explico un dia como eliminar Recycler: http://www.razorman.net/forodeinfor...minar-virus/5926-eliminar-virus-recycler.html

Cualquier duda, preguntala por favor. Salu2

 

[mimelita]

Muchas gracias razor por tan pronta respuesta!!!

Voy a mirar el post y sino lo consigo seguiré dando la lata.

Un saludo!:12:

 

[mimelita]

Hola Razor

El problema es que no encuentro carpeta alguna del RECYCLER, sin embargo, pincho que conecto al portátil, pincho que se infecta :36:

Y luego están todas esas cosas raras que ocurren en el pc
He pasado el antivirus que tengo (El McAfee) pero no encuentra nada

No me lo explico

 

[indy]

Hola mimelita!

Realiza lo siguiente, descarga a tu escritorio:

UsbFix
Malwarebytes Antimalware
Ccleaner

Ejecuta UsbFix (si tienes windows Vista o 7, botón derecho y "Ejecutar como administrador")

Se abrirá la ventana principal, lanza el programa pulsando el botón "Supresión"
Aparecerá un mensaje de aviso para que conectes todos tus dispositivos usb (Pendrive\Micro SD, etc)
Comenzará el proceso, durante éste, el escritorio puede desaparecer momentáneamente, ésto es normal. Si te pide reiniciar, lo haces
Al finalizar, UsbFix generará un informe que puedes localizar en C:\USBFix.txt

Reinicia, instala, actualiza y ejecuta Malwarebytes, realiza un análisis completo. Elimina lo que encuentre pulsando en "Mostrar resultados", y a continuación en "Eliminar elementos seleccionados". Si te pide reiniciar, lo haces.

Instala y ejecuta Ccleaner, realiza una limpieza utilizando sus dos modos, limpiador y registro.

Reinicia, en tu próximo mensaje pega los reportes de UsbFix y Malwarebytes (este último lo puedes encontrar en la pestaña "Registros" de la ventana principal del programa). Nos comentas cómo va el ordenador.

Un saludo!

 

[mimelita]

Lo he pasado!!!

Hola Indy,

Muchísimas gracias por responder a la llamada de auxilio.
Hice todos los pasos que me dijiste, pasé los tres programillas, aunque me costó bajar el del Malware porque el google Chrome no me dejaba entrar (AHORA SI!!! :29

El resutado de UsbFix es:

############################## | UsbFix 7.044 | [Supresión]

Usuario: P@^^ (Administrador) # PC-PAM [Acer Aspire 5735]
Actualizado el 25/04/2011 por TeamXscript
Comenzó a 03:54:19 | 26/04/2011
Sitio web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contacto: [email protected]

CPU: Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz
Microsoft Windows 7 Home Premium (6.1.7601 32-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Firewall de Windows: Habilitado
RAM -> 3001 Mb
C:\ (%systemdrive%) -> Disco fijo # 228 Gb (127 Mb libre(s) - 56%) [ACER] # NTFS
D:\ -> Disco fijo # 228 Gb (106 Mb libre(s) - 46%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disco fijo # 250 Mb (63 Mb libre(s) - 25%) [MUSTAFÁ] # FAT
I:\ -> Disco extraíble # 4 Gb (4 Mb libre(s) - 100%) [BURUNDANGA] # FAT32

################## | Archivos # Carpetas infectadas |


Suprimido ! C:\$RECYCLE.BIN\S-1-5-21-1553762033-4126800929-191308530-1000
Suprimido ! D:\$RECYCLE.BIN\S-1-5-21-1553762033-4126800929-191308530-1000
Suprimido ! D:\$RECYCLE.BIN\S-1-5-21-3425460510-4189690464-618768475-1000
Suprimido ! D:\$RECYCLE.BIN\S-1-5-21-3425460510-4189690464-618768475-500

################## | Registro |

Suprimido ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Suprimido ! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|google update

################## | Mountpoints2 |


################## | Listing |

[26/04/2011 - 03:57:56 | SHD ] C:\$RECYCLE.BIN
[26/11/2009 - 00:15:36 | D ] C:\Acer
[05/12/2009 - 21:41:44 | D ] C:\Application Data
[22/11/2009 - 13:30:17 | D ] C:\Archivos de programa
[10/06/2009 - 23:42:20 | N | 24] C:\autoexec.bat
[26/11/2010 - 16:39:35 | D ] C:\BC31
[03/12/2008 - 07:02:51 | D ] C:\Book
[25/02/2011 - 09:07:11 | SHD ] C:\Boot
[20/11/2010 - 14:40:07 | RASH | 383786] C:\bootmgr
[03/12/2009 - 20:58:40 | RASH | 8192] C:\BOOTSECT.BAK
[22/04/2011 - 03:01:44 | SHD ] C:\Config.Msi
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[22/11/2009 - 13:32:43 | D ] C:\Elements
[26/04/2011 - 00:13:05 | ASH | 2359975936] C:\hiberfil.sys
[15/09/2010 - 17:38:10 | D ] C:\Hotspot Shield
[25/02/2010 - 00:06:48 | D ] C:\Intel
[04/12/2009 - 16:13:22 | N | 0] C:\IO.SYS
[26/03/2011 - 02:08:02 | D ] C:\Lop SD
[26/03/2011 - 02:10:27 | N | 13512] C:\lopR.txt
[20/04/2010 - 22:07:59 | D ] C:\MATLAB7
[04/12/2009 - 16:13:22 | N | 0] C:\MSDOS.SYS
[07/05/2008 - 22:45:12 | RHD ] C:\MSOCache
[03/12/2009 - 19:21:24 | D ] C:\OEM
[26/04/2011 - 00:13:07 | ASH | 3146637312] C:\pagefile.sys
[21/10/2008 - 20:42:54 | N | 3600] C:\Patch.rev
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[03/12/2008 - 07:02:49 | N | 148] C:\preload.rev
[15/04/2011 - 04:23:04 | D ] C:\Program Files
[26/03/2011 - 02:13:02 | HD ] C:\ProgramData
[01/04/2011 - 00:06:44 | D ] C:\Recovered Files
[03/12/2009 - 21:16:32 | SHD ] C:\Recovery
[02/12/2008 - 21:31:24 | N | 651] C:\RHDSetup.log
[22/04/2011 - 03:00:38 | SHD ] C:\System Volume Information
[03/05/2010 - 02:39:07 | D ] C:\tsol
[26/04/2011 - 03:57:56 | D ] C:\UsbFix
[26/04/2011 - 03:54:22 | A | 3286] C:\UsbFix.txt
[03/12/2009 - 21:16:44 | D ] C:\Users
[26/04/2011 - 00:13:04 | D ] C:\Windows
[26/04/2011 - 03:57:56 | SHD ] D:\$RECYCLE.BIN
[03/03/2011 - 00:27:42 | D ] D:\Controladores Acer Aspire 5735
[22/10/2010 - 03:03:31 | D ] D:\Descargas provisionales
[24/01/2011 - 01:22:24 | D ] D:\English
[11/10/2010 - 04:28:34 | D ] D:\Music
[27/03/2011 - 14:13:22 | D ] D:\Pam
[16/04/2010 - 02:44:11 | D ] D:\PFiles
[02/12/2008 - 21:20:39 | SHD ] D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vacuna creada por UsbFix (TeamXscript)
D:\Autorun.inf -> Vacuna creada por UsbFix (TeamXscript)



El resultado de Malwarebytes' Anti Malware, es:


Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Versión de la Base de Datos: 6444

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

26/04/2011 10:53:23
mbam-log-2011-04-26 (10-53-23).txt

Tipos de Análisis: Análisis Completo (C:\|D:\|H:\|I:\|)
Objetos examinados: 434181
Tiempo transcurrido: 2 hora(s), 24 minuto(s), 29 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 27

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ybokoi (Trojan.Agent) -> Value: Ybokoi -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
c:\Users\P@^^\AppData\Roaming\Ybokoi.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\1069.tmp (Backdoor.CTick) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\1CB7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\245D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\260C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\42A3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\4776.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\5A61.tmp (Backdoor.CTick) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\664D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\68A3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\6ED2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\74F0.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\857A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\9C61.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\A4E9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\AB73.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\BC1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\C2A8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\C99.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\D170.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\D17B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\DFAA.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\E4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\ED66.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\P@^^\AppData\Roaming\FC81.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
h:\RECYCLER\0xa02f70d.exe (Trojan.Agent) -> Quarantined and deleted successfully.
i:\RECYCLER\0xa02f70d.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Cuando realicé el UsbFix introduje los dos pinchos que además estaban en el resultado, aunque se ve en el informe.

Todavía no he probado si al meter un usb se vuelve a contagiar. Lo probaré en las siguientes horas.

Muchas gracias nuevamente por echarme un cable :12:, ya me contarás que significa todo lo que pone el informe.

Un saludo,

 

[mimelita]

Sigue en el pincho

Acabo de conectar el USB al portátil y el RECYCLER sigue allí :52:

Pensé que los programas anteriores lo habían borrado, pero nada!!!

NO se que hacer :'(

 

[razor]

Vamos a probar con el programa Matarecycler: http://www.mygeekside.com/downloads/2008/06/MataRecycler.zip

Bajalo, instalalo y ejecutalo EN TU PC Y EN TODOS TUS DISPOSITIVOS USB.

Salu2

 

[Win]

Importante la carpeta recicler no solo es el virus sino tambien la papelera de reciclaje del sistema operativo Windows, es por ello que a veces se confunde.

Comprueba que la carpeta dentro del recicler acaba en 1013, en caso contrario y sobretodo con la terminacion 1003 no es el virus

 

[indy]

Hola!

UsbFix y Malwarebytes han realizado un buen trabajo y aparentemente han eliminado la infección. Ojo a lo que comenta el compañero Win un mensaje arriba de éste

En el post inicial comentas una serie de problemas como el no poder acceder a las webs de antivirus, o el mal funcionamiento de Chrome, dinos por favor si estos síntomas persisten, o se han solucionado.

Bien, ahora tocaría asegurarnos. Ejecuta de nuevo UsbFix, escoge esta vez la opción "Desinstalar", con ésto se deberían borrar todos los archivos creados por el programa, incluída la cuarentena, sólo quedaría el ejecutable. Puedes eliminar también el ejecutable, vacía la papelera de reciclaje.

Ahora vamos a realizar un análisis con ActiveScan 2.0 (preferiblemente desde Internet Explorer). Realiza un análisis completo, al final del mismo se nos generará un informe, no olvides guardar dicho informe pulsando en "Exportar a:"

Pega el reporte en tu próxima respuesta, un saludo!

 

[mimelita]

Estoy en ello...

Estoy siguiendo todos los pasos!
Cuando termine cuelgo lo que obtengo.

Muchas gracias a todos :14:

 

[mimelita]

Hola!

- Ya puedo acceder a páginas web de antivirus.
- El internet explorer ya me funciona
- Hasta ahora el Chrome no me da ningún problema, ni me sale ningún mensaje de error.
- UNA COSA IMPORTANTE: Comenté antes que cuando metía los pinchos al portátil y accedía a ellos, el RECYCLER seguía allí, pero he entrado en dichas carpetas y ESTABAN VACÍAS!!! De todas formas he formateado ambos usb (después de haber copiado la información que no quería perder) y además he hecho todo lo que me han dicho: instalado el Matarecycler, desinstalar el UsbFix y pasar el Active Scan.


EL RESULTADO DEL ACTIVE SCAN ES EL SIGUIENTE:


;***********************************************************************************************************************************************************************************
ANALYSIS: 2011-04-27 06:07:12
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
McAfee Anti-Virus y Anti-Spyware Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
03074964 Trj/CI.A Virus/Trojan No 0 Yes No d:\pam \juegos para el móvil\juegos n-gage para nokia n81 todos en español y *****eados.zip[install.exe]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No d:\pam \programas\útiles\internet_video_converter_1.50 (para editar vídeos).exe
05912004 W32/Autorun.JJI.worm Virus/Worm No 0 Yes No c:\usbfix_upload_me\c\$recycle.bin\s-1-5-21-1553762033-4126800929-191308530-1000\$rqt4bdt\autorun.inf.vir
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================


¿¿¿¿ENTONCES QUÉ HAGO????
Son peligrosos los archivos que ha encontrado???
Para eliminarlos, Le doy a "Consejo de Desinfección"????


Parece que esto poco a poco se va arreglando. NUEVAMENTE MUCHAS GRACIAS A TODOS POR VUESTROS CONSEJOS!!! Estaré a la espera de respuestas sobre cuál es el siguiente paso.


Un saludo!

 

[indy]

Bien, parece que has realizado un buen trabajo

Ahora tan sólo quedaría eliminar lo que te marca ActiveScan, busca y elimina manualmente los siguientes archivos:

d:\pam \juegos para el móvil\juegos n-gage para nokia n81 todos en español y *****eados.zip

d:\pam \programas\útiles\internet_video_converter_1.50 (para editar vídeos).exe

Borra además esta carpeta:

c:\usbfix_upload_me

Comentanos si presentas ya algún problema o podemos ir cerrando el tema, un saludo!

 

[razor]

Un ultimo detalle: cuidado con lo que bajas de algunas paginas, pues traen "regalito" como puedes ver... cuidado

 

[mimelita]

¿Borro también esto?

Al buscar esta carpeta para borrarla:

c:\usbfix_upload_me

Encontré también esta :| (ARCHIVO ADJUNTO)

¿¿¿La borro???


Nuevamente gracias!!!!

 

[razor]

No veo ningun archivo adjunto....

 

[mimelita]

Ahora sí

No veo ningun archivo adjunto....

Jeje no conseguía subirlo, acabo de hacerlo!!

 

[razor]

Si, borrala tambien. Salu2

 

[mimelita]

¡¡¡muchÍsimas gracias!!!

Parece que ya no me da problemas y los usb ya no se contaminan

Quería agradecer a todos los que me han estado echando un cable, de veras que me han ayudado muchísimo :22:

¡¡¡Un saludo enorme!!!:29:

Desde luego un foro para recomendar :28:

 

[razor]

Ok, ¿te has pasado por el apartado de PRESENTACIONES DEL FORO?

Te invito a que participes en nuestros concursos: puedes ganar premios informaticos muy importantes, echales un vistazo y participa ya en la porra de Moto GP:

http://www.razorman.net/forodeinfor...il-participa-y-gana-un-fantastico-premio.html

y Porra Mundial Formula 1:

Porra Mundial Formula 1 2011 - Foros de Informatica - Foro de Windows 7, Foro de ayuda, Noticias de Informatica, Windows 7 y Windows Vista

Espero tu participacion!