Un virus oculto tus archivos en la usb
Páginas: 5 (1172 palabras)
Publicado: 8 de marzo de 2012
¿Un Virus Ocultó tus archivos en la USB ?
Manual paso a paso para recuperar los archivos ocultos
(sin instalar nada)
Necesitarás:
1. Windows (cualquier versión)
2. Consola de DOS (todas las versiones de windows lo traen)
Instrucciones:
1. Inserta la memoria afectada en el equipo
2. Verifica la letra de la Unidad en la que se montó el dispositivo (F: / H:/ X:/)
3. Ejecutar laconsola de DOS de windows
Windows 98 - 2000 - XP : Inicio --> Ejecutar --> CMD (aceptar)
Windows Vista - 7 : inicio --> CMD (Click derecho sobre el programa y ejecutar como administrador)
4. Escribir: (respetando espacios y signos)
x: (donde X es la letra de la unidad USB)
attrib *.* -s -h -r /s /d (elimina los atributos de archivo de sistema -S, archivo oculto -H y archivo de sólolectura -R. /S procesa archivos en Subcarpetas y /D procesa archivos en carpetas)
5. Cuando el proceso termine Escribir:
del *.lnk /s /q (elimina los archivos de acceso directo .lnk que se crearon con los nombres de los archivos originales en todas las carpetas /s y sin pedir confirmación /q )
5.1 Pueden repetir el paso 5 cambiando la extensión .lnk por .exe , .bat , .com, vbs.
6. Ya está listo,ahora solo debes eliminar manualmente las carpetas:
Recycler
Recicled
Recycled Bin
Restore
O cualquiera que no pertenezca a tus carpetas habituales. Si has utilizado la memoria en un computador MAC adicionalmente puedes encontrar carpetas ._Spootlight o _Dstore, que también pueden ser eliminadas
Nota: Dependiendo de la cantidad de información en la memoria, este proceso toma entre 10segundos y 5 minutos.
Nota2: Sobra aclarar que si su computador YA está infectado, al retirar la memoria y volverla a conectar, los archivos quedarán ocultos nuevamente. Este tipo de troyanos solo se inyectan al introducir la memoria , ya que el verdadero virus es es que ustedes se llevan y ejecutan cuando intentan abrir alguno de los archivos (accesos directos al virus)
Dudas, comentarios,sugerencias ?
Comenten !
---------------------------------------------------------------------------
Información del troyano:
Esta infección está compuesta por dos archivos, un troyano residente y uno portatil. El residente es sencillo de eliminar, por lo general tiene un ejecutable escondido en c:\documents and settings\users\(tu usuario)\.
Adicionalmente se tiene a él mismo agregado dentro delregistro de windows para ejecutarse al inicio.
El troyano portatil es el archivo que se copia a sus memorias, para evitar ser detectado por los AV, se copia como oculto y evita la ejecución automática (muchos AV actualizados ya interceptan el autorun.inf), es por esto que TODOS los accesos directos creados, apuntan al mismo archivo infectado.
Inicialmente el troyano parece no hacer nada mássino ocultar archivos y copiarse dentro de la memoria; el peligro reside en que estos troyanos también suelen abrir puertos o modificar el archivo de host para redireccionar a páginas dónde puedan descargar virus o hacerlos víctimas de phising.
Acabando con el enemigo:
Si tienen algo de tiempo pueden hacerle ingeniería inversa, que consiste en:
1. Averigua el nombre del archivo infectado; siel antivirus lo detecta entonces ya conoces su ubicación exacta (Ej. mivirus.exe). NO LO ELIMINES AÚN !
1.1 Si tu antivirus NO lo detecta, CAMBIA DE ANTIVIRUS !. Yo trabajo con AntivirPRO y lo detecta sin problemas.
2. Abre el administrador de tareas de windows (este virus no lo deshabilita, si lo tienes deshabilitado es posible que tengas más de un virus en tu PC), búsca el proceso quecoincida con el nombre del archivo infectado y termina su ejecución y termina todos los procesos que te parezcan sospechosos Espera unos segundos para ver si el proceso vuelve a aparecer
2.1 Si el proceso no vuelve a aparcer, significa que no está siendo controlado por otro ejecutable, ni por un servicio, así que la eliminación será muy sencilla.NO LO ELIMINES AÚN !
2.2 Si el proceso vuelve a...
Manual paso a paso para recuperar los archivos ocultos
(sin instalar nada)
Necesitarás:
1. Windows (cualquier versión)
2. Consola de DOS (todas las versiones de windows lo traen)
Instrucciones:
1. Inserta la memoria afectada en el equipo
2. Verifica la letra de la Unidad en la que se montó el dispositivo (F: / H:/ X:/)
3. Ejecutar laconsola de DOS de windows
Windows 98 - 2000 - XP : Inicio --> Ejecutar --> CMD (aceptar)
Windows Vista - 7 : inicio --> CMD (Click derecho sobre el programa y ejecutar como administrador)
4. Escribir: (respetando espacios y signos)
x: (donde X es la letra de la unidad USB)
attrib *.* -s -h -r /s /d (elimina los atributos de archivo de sistema -S, archivo oculto -H y archivo de sólolectura -R. /S procesa archivos en Subcarpetas y /D procesa archivos en carpetas)
5. Cuando el proceso termine Escribir:
del *.lnk /s /q (elimina los archivos de acceso directo .lnk que se crearon con los nombres de los archivos originales en todas las carpetas /s y sin pedir confirmación /q )
5.1 Pueden repetir el paso 5 cambiando la extensión .lnk por .exe , .bat , .com, vbs.
6. Ya está listo,ahora solo debes eliminar manualmente las carpetas:
Recycler
Recicled
Recycled Bin
Restore
O cualquiera que no pertenezca a tus carpetas habituales. Si has utilizado la memoria en un computador MAC adicionalmente puedes encontrar carpetas ._Spootlight o _Dstore, que también pueden ser eliminadas
Nota: Dependiendo de la cantidad de información en la memoria, este proceso toma entre 10segundos y 5 minutos.
Nota2: Sobra aclarar que si su computador YA está infectado, al retirar la memoria y volverla a conectar, los archivos quedarán ocultos nuevamente. Este tipo de troyanos solo se inyectan al introducir la memoria , ya que el verdadero virus es es que ustedes se llevan y ejecutan cuando intentan abrir alguno de los archivos (accesos directos al virus)
Dudas, comentarios,sugerencias ?
Comenten !
---------------------------------------------------------------------------
Información del troyano:
Esta infección está compuesta por dos archivos, un troyano residente y uno portatil. El residente es sencillo de eliminar, por lo general tiene un ejecutable escondido en c:\documents and settings\users\(tu usuario)\.
Adicionalmente se tiene a él mismo agregado dentro delregistro de windows para ejecutarse al inicio.
El troyano portatil es el archivo que se copia a sus memorias, para evitar ser detectado por los AV, se copia como oculto y evita la ejecución automática (muchos AV actualizados ya interceptan el autorun.inf), es por esto que TODOS los accesos directos creados, apuntan al mismo archivo infectado.
Inicialmente el troyano parece no hacer nada mássino ocultar archivos y copiarse dentro de la memoria; el peligro reside en que estos troyanos también suelen abrir puertos o modificar el archivo de host para redireccionar a páginas dónde puedan descargar virus o hacerlos víctimas de phising.
Acabando con el enemigo:
Si tienen algo de tiempo pueden hacerle ingeniería inversa, que consiste en:
1. Averigua el nombre del archivo infectado; siel antivirus lo detecta entonces ya conoces su ubicación exacta (Ej. mivirus.exe). NO LO ELIMINES AÚN !
1.1 Si tu antivirus NO lo detecta, CAMBIA DE ANTIVIRUS !. Yo trabajo con AntivirPRO y lo detecta sin problemas.
2. Abre el administrador de tareas de windows (este virus no lo deshabilita, si lo tienes deshabilitado es posible que tengas más de un virus en tu PC), búsca el proceso quecoincida con el nombre del archivo infectado y termina su ejecución y termina todos los procesos que te parezcan sospechosos Espera unos segundos para ver si el proceso vuelve a aparecer
2.1 Si el proceso no vuelve a aparcer, significa que no está siendo controlado por otro ejecutable, ni por un servicio, así que la eliminación será muy sencilla.NO LO ELIMINES AÚN !
2.2 Si el proceso vuelve a...
Leer documento completo
Regístrate para leer el documento completo.