Vine aquí y creé este hilo, para contar mi encuentro hace 2 semanas con un virus, del tipo autorun/recycler. La historia comienza así:
Abr 21, 2012:
Llega a casa un chico para que vea su Notebook... también trae 2 pendrives.
Ejecuto un antivirus portable, y verifico sus pendrives. Resultado: 4 virus. Intento mover software a su notebook con mis propios pendrives (P1 y P2).
Tengo activo el "ver archivos y carpetas ocultas" en el Explorador de Windows. Así descubro que el (los) virus intervienen el archivo "Autorun.inf" de los pendrives, y crean una carpeta llamada "RECYCLER". Dentro de ella, algunos archivos ejecutables... incluso tienen ícono (un 7 y un rayo).
Los "autorun" hacen referencia a "svchost.exe"... proceso Windows que permite la ejecución de librerías dll.
En pánico, verifico mis propios pendrives.... Infectados. Borro los archivos autorun y las carpetas Recycler, en los pendrives y en mi PC... reaparecen... Borro, expulso y vuelvo a conectar los pendrives... Allí están otra vez.
Respaldo los pendrives de mi visita y pido formatear... El SO me niega el servicio... sin lugar a dudas el virus ha bloqueado esa opción.
Se me empieza a salir lo "indio"... me nublo y ya no recuerdo el orden de las cosas.... pero por aquí va.
Así, borro los archivos y carpetas de los pendrives... y ahora activo el restaurar sistema. Luego de unos minutos, verifico los pendrives. No aparecen esos archivos/carpetas... y además, ahora los puedo formatear. Formateo los de mi visita, los expulso y vuelvo a colocar... y no hay señales de nada. Ok, un avance.
Abr 22, 2012.
He pasado todo el día masticando la rabia de mi descuido... temprano en la noche, me siento a trabajar.
Coloco uno de mis pendrive (P2)... es mi repositorio. Sin piedad, lo formateo.
COn el otro la cosa cambia. P1 carga PortableApps, con varias aplicaciones y una variedad de documentos, enlaces y claves.
Lo abro... sorpresa. Los íconos de PortableApps han cambiado a íconos comunes de carpetas, con la flechita de "atajo". Doble clic para abrir las carpetas... y el sistema me alega que falta un ejecutable en la carpeta... "Recycler".
Pruebo con las otras carpeta... nada. Todo igual. ¿Y mis documentos, descargas... ¡¡el último tomo de Ippo!!?.
Me doy vueltas en el asunto... y me baja lo prehistórico... computacionalmente hablando. Se me ocurre trabajar en modo "comando" (modo DOS para los veteranos).
Me muevo por la ruta de P1, y entro en las carpetas. Ok. Los archivos están allí, el bloqueo solo afecta a Windows. Con comandos tipo DOS, me muevo respaldando gran parte de mis documentos.
Abr 23, 2012.
Donde un amigo, busco información en google y coloco "virus autorun recycler"... Ufff! aparece una montonera de enlaces... Empiezo a leer los relacionados al foro infoSpyware. Las noticias no son alentadoras... algunos llevan meses luchando...
En Taringa encuentro información a propósito de cómo protegerse sin antivirus... es una tontería, pero sale una recomendación interesante. El "Explorador de Windows", a pesar de encontrarse activo el mostrar "archivos y carpetas ocultas", no muestra Recycler ni otras carpetas protegidas por el SO... recomiendan utilizar WinRAR y usar su explorador.
Yo utilizo 7-ZIP... lo ocupo y también funciona... Navego por su File Manager y me muestra todo el contenido de las carpetas, protegidas o no, excepto una (es la carpeta con mayor protección del sistema... pero no importa, no pasa nada).
Bajo algunos antivirus gratuitos a otro pendrive (P3)... se me ocurre verlo en 7-Z... existe una carpeta Recycler, pero el autorun está sano. Quizás huellas de una infección anterior... Lo "descharcheto" inmediatamente.
Instalo Malwarebytes Anti-Malware, arranco en Modo Seguro y verifico el sistema y a P3. El sistema tiene visitas indeseables. Lo limpio. Mi pendrive pasa sin problemas.
Ejecuto regedit y busco entradas sospechosas... encuentro varias. Las busco en google, y no me gusta lo que encuentro. Las borro. Finalmente corro CCleaner y limpio todo lo que puedo del registro.
Vuelvo a pasar Malwarebytes en su computadora. Ok.
Información adicional: Vacunas USB.
Spoiler: |
Por la tarde le toca a mi "carcacha".
Con 7-Zip verifico P1. Puedo respaldar otra información moviendo íconos. Pero ya casi todo lo había hecho en modo DOS.
Información adicional: Papelera de reciclaje.
Spoiler: |
Ejecuto también CCleaner aquí, varias veces según voy revisando mi registro. Sin piedad, sin asco... y sin respaldo (respalden, respalden).
Finalmente formateo P1... lo expulso, lo pongo y lo vuelvo a expulsar. Nada. No aparece ningún autorun, ni recycler.
Al final del día, la cosa no se ve tan mal...
Abr 25, 2012.
Por la mañana creo un CD con antivirus gratuitos y otras chucherías...
Por la tarde, instalo Malwarebytes Anti Malware (MBAW)... verifiqué ayer que trae una base de virus en el instalador (tenía 20 días)... vital para quien no tiene internet para actualizarla.
Lo corro en modo flash y rápido. Nada.
Arranco en "Modo seguro" y ejecuto el escaneo completo... 2 virus (Backdoor.bot y Trojan.FakeMS) en dos carpetas especiales (_Restore y System Volume Information, ambas en el directorio raíz). Los pongo en cuarentena y los borro.
Lo vuelvo a revisar... nada. Limpio.
Abr 26, 2012.
Información adicional: Carpetas de sistema.
Spoiler: |
Reinstalo PortableApps en mi pendrive P1, cargo Spybot y ClamWin portables (antimalware) y los actualizo... debo verificar con otro software el contenido de mi PC.
Además, le instalo el Panda USB Vaccine. Inmunizo todos mis pendrives.
Se viene el fin de semana largo... Más tranquilo, me tomo las cosas con calma... pero por si acaso, sigo sin utilizar todos mis pendrives en mi PC... lo tengo en cuarentena.
Abr 28-May 1 Fin de semana largo (en Chile).
La cosa se ve bien... no hay nada especial pululando por allí... pero mi PC, con el antivirus y tanta instalación y desintalación es una tortuga... tiene más años que "bandá de loros" y esto no le ayuda mucho.
Mientras, instalo Panda USB Vaccine en mi PC también. Sin embargo, aún no uso todos mis pendrives aquí.
May 2-3, 2012.
Además, muevo mi PC donde mi amigo, lo conectamos a internet, actualizamos MBAM.
A todo esto, leo en FayerWayer una información... Chile (junto a Argentina, Ecuador y España) son "top ten" en la taza de PCs contaminados... No puedo dejar de esbozar una sonrisa irónica...
May 4, 2012.
Información adicional: Carpetas de sistema, Parte 2.
Spoiler: |
May 7, 2012.
Todo ok... sin mayores dificultades.
Mi PC es de arranque más lento que antes... por lo del anti-virus, pero mejoró bastante al borrar toda la basura acumulada.
Afortunadamente, y más importante, se siente estable.
Doy por terminado mi paso por el purgatorio... no salí tan mal. Quería evitar formatear mi PC y lo logré, pero a futuro creo que será inevitable. Tiene carpetas del año de la pera...
... Continuará