miércoles, 24 de septiembre de 2008

Eliminar Virus Recycler


Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, Este virus tiene las siguientes características:

1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013

y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.

Eliminación manual:

1. Abrir una consola de comandos (cmd.exe)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Se Procedio hacer un script que automatice el proceso. Para los que no quieren hacerlo manual con este script lo ejecutan y listo
Archivo matavirus Scrip



Nota: El matavirus Recycler lo he probado en 16 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB.
Tambien el Kasperky 2009 Lo elimina



38 comentarios:

  1. Hola, tengo la misma infección, sólo que en lugar de contener el virus \ise.exe tengo
    \S-1-5-21-1482476501-1644491937-682003330-1013\vmmgr.exe y me activa un proceso "planet.exe" alguna idea de cómo eliminarlo.
    GRacias!!

    ResponderEliminar
  2. Hola, tengo el mismo problema como elimino "planet.exe"

    ResponderEliminar
  3. Ambos comentarios les recomiendo mi post http://blogtonky.blogspot.com/2008/09/eliminar-megavirus-troyanospyware.html

    ResponderEliminar
  4. Saludos!!
    Tengo la infección pero algo diferente: primero, la carpeta se llama S-1-5-21-1004336348-839522115-1060284298-1004.
    y segundo, dentro de esta carpeta no existen los archivos ise.exe ni isee.exe, en su lugar hay uno llamado INFO2 y el desktop.ini. Yo hago todos los pasos pero en el registro no existe la clave mencionada entonces vuelven a aparecer la carpeta y los archivos. Como puedo hacer para eliminarlo!? nota curiosa: en todas las computadoras con el virus existen varias claves dentro de HKEY_USERS con el comienzo o la totalidad del nombre de la carpeta papelera falsa. Eso existe en todas o es parte de la infección? Gracias.

    ResponderEliminar
  5. HOLA
    QUISIERA QUE HICIERAS ALGUN COMENTARIO SOBRE "SYSFADER".
    ¿ES VIRUS?
    ¿QUE PUEDE HACERSE PARA ELIMINARLO?

    HE OBSERVADO EN EL ADMINISTRADOR DE TAREAS QUE CADA VEZ QUE SE EJECUTA ALGUN EXPLORADOR DE INTERNET O ALGUN PROGRAMA DE MESSENGER, ANTES SE EJECUTA ESTE "SYSFADER".

    GRACIAS POR LA INFORMACION QUE PUEDAS APORTAR AL RESPECTO.

    ResponderEliminar
  6. hola Tonky, acabo de eliminar el recycler con tus indicacionse GRACIAS!! eres un crack. El script no funciono, así que me lo cargue manualmente. Animo a todo el mundo que siga concienzudamente los pasos que indicas.
    Me queda una pregunta para ti Tonky. He eliminado del registro la entrada que citas en HKEY_LOCAL_MACHINE, pero aparte me aparecen dos entradas en HKEY_USER que son:
    HKEY_USER\S-1-5-21-746137067-152049717-839522115-1003 Y HKEY_USER\S-1-5-21-746137067-152049717-839522115-1003_Classes.

    Crees que corro algún peligro si decido eliminarlas??
    No se si leeras esto y llegarás a responderme, pero gracias igualmente

    ResponderEliminar
  7. Hola Tonky! No se si tengo el mismo virus recycler :(. Tu mata virus dice q lo eliminó, pero la carpeta recycler (q segun el mata recycler dice q ya puede ser eliminada) permanece ahí y no lo puedo borrar :'(

    Ademas, Avast me avisa que hay un virus (gusano) en el sistema, yo lo borro, pero nada, ahí sigue

    Gracias por tu ayuda!!!

    ResponderEliminar
  8. Hola, tengo la misma infección, sólo que tengo recycler, y dentro
    RECYCLER\S-1-6-21-2534576401-1844291947-600103340-1263. Hice los pasos y no se pierde, me sale un mensaje que ese archivo F:\RECYCLER\S-1-6-21-2534576401-1844291947-600103340-1263. no existe. Porfis un help urgente gracias

    ResponderEliminar
  9. Saludos,
    mi consulta es: con el programa mata_virus... propuesto en el blog, he eliminado dos papeleras con viruts dentro de la carpeta Recycler. Tengo una tercera que no ha desaparecido: S-1-5-21-2351751168-22541456-2755067259-500.
    No estoy seguro de que siga siendo un virús. He visto en la red que algunos de estos números terminados en -500 no son virus, pero no estoy.
    ¿Podría confirmármelo?
    Jose Carlos.

    ResponderEliminar
  10. Diferencias entre la Papelera de reciclaje y la carpeta Recycler

    Para Mas informacion refieranse a la pagina de Microsoft
    http://support.microsoft.com/kb/171694/es

    ResponderEliminar
  11. Les paso el link de el Virus Killer, es más efectivo que el kaspersky, eliminó por completo el virus recycler de mi pc y de mis pendrive (usb).
    Se los recomiendo, la contraseña para descomprimirlo con winrar es "viruskiller"
    http://www.geocities.com/trastelandia/viruskiller.html

    ResponderEliminar
  12. Hola tengo la misma infeccion pero el nombre es \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx y no aparece ninguna carpeta el matavirus no lo elimino y la forma manual dice q no reconoce el comando escrito o algo parecido q hago???????

    ResponderEliminar
  13. Cuando intento abrir el disco C: que actua de exclavo, me sale el siguiente mensaje de error:

    Windows no puede encontrar el archivo '‘RECYCLER\S-0-6-84-100027435-100016881-100008273-4652.com’. Asegúrese de que la ruta y el nombre de archivo están escritos correctamente y vuelva a intentarlo.Para buscar un archivo, haga clic en el botón Inicio y luego en Buscar.
    He intentado crear un acceso directo e algunas de las carpetas y no me deja vuelve a salir el mismo mensaje.

    ResponderEliminar
  14. Hola a todos. He probado todo lo que aquí se ha dicho y nada me ha funcionado.Tengo el Kaspersky y al principio decía que lo eliminaba pero sigue ahí. El problema es que no puedo entrar en C: con doble clik porque me sale el mensaje: "Windows no puede encontrar el archivo 'RECYCLER\S-9-5-15-100005280-100018347-100018239-6547.com'. Asegúrese de que la ruta y el nombre de archivo están escritos correctamente y vuelva a intentarlo. Para buscar un aarchivo, haga clic en el botón Inicio y luego en Buscar". Tengo que hacerlo desde el explorador pero no me aparece ninguna carpeta RECYCLER. Tengo la función de mostrar carpetas ocultas anulada y ya no sé qué hacer porque nada funciona, yo no soy una experta en ordenadoresy, para colmo, ya no sé si debo usa el pen o no porque antes salía como infectado.
    Por favor, si alguien me puede ayudar, os estaría eternamenteagradecida.

    ResponderEliminar
  15. buenas, anonimo. Puedes entrar en tus discos con boton derecho del raton y seleccionando "explorar". Es un coñazo, pero al menos entras.
    Salu2

    ResponderEliminar
  16. Conecte mi cel a una computadora y la memoria externa e interna se infecto con un RECYCLER, en el cellular le di laopcion de eliminar pero no se puede, lo he conectado en mi coputadora y abri las unidades externas en MiPc puedo ver todos mis archivos pero no se ve la carpeta de RECYCLER, tambien lo cheque con antivirus pero no detecta nada.
    Alguien sabe que puedo hacer??
    ayudenme
    Como elimino esas carpetas??

    ResponderEliminar
  17. Hola
    Pues yo utilize el kiyoscanner y me elimino el recycler, y siempre lo uso, pues tengo el problema de que tengo ke conectar la memoria en mi trabajo y esas maquinas estan infectadas y por lo tanto infectan mi memoria, solo le paso con el scan del kiyoscanner y me los elimina en 3 segundos :D

    la pagina es un foro: http://kiyo.com.mx/kiyoscanner

    ResponderEliminar
  18. tengo un usb que esta infectado con mbroot.k trojan y no lo puedo borrar con nada he probado de todo pero ni un asi no lo puedo borrar .
    esta en el sector del sistema del usb cuando solamente esta conectado ala pc infecta y cuando no esta conectado esta libre de trojanos mi pc solamente infecta al mbroot de todos mis discos c:\ y d:\ CONTESTENME AM CORREO ms. shared2025@gmail.com

    ResponderEliminar
  19. hola :
    buen post, xD mira espero me puedas ayudar tengo un problema,eh intentado elimarlo de ambas formas eh cambiado de nombre a carpeta pero cuanto activo explorer.exe no me muestra la carpeta recycler, abro el directorio y sigue ahi, en unos intentos me salieron doc ptm.txt ptm0.txt use el regedit hkeylocal, lo elimino y al enceder la pc sigue ahi, espero me ayudes = (

    ResponderEliminar
  20. HOLA!

    HACER CORRER EN LA COMPU UN LIVE-CD DE UBUNTU (O CUALQUIER DISTRO LINUX), Y DESDE AHI BUSCAD CON SU EXPLORADOR DE ARCHIVOS, P.EJ. “RECYCLER” O AUTORUN.INF” O LO QUE SEA, ¡NO TIENEN DONDE ESCONDERSE, Y ADEMÁS EN LINUX NO SE PUEDEN EJECUTAR (PQ ES LENGUAJE PARA WINDOWS), SOLO ENCUENTRAS Y LE DAS A “BORRAR” ¡SIN PIEDAD!

    EL LIVE-CD SE DESCARGA GRATIS EN LAS WEBS, COMO http://www.ubuntu.com

    ResponderEliminar
  21. NO SEAS COPION, AL MENOS DALE LA CREDIBILIDAD DE QUIEN REALMENTE ESCRIBIO LAS CARACTERISTICAS DEL VIRUS. ME REFIERO A LA PAGINA WEB WWW.MYGEEKSIDE.COM, ESTAS COPIANDO FIELMENTE LA INFORMACION DE LA PAGINA ATRIBUYENDOTE EL ANALISIS A TI MISMO, COMO SI LO HUBIESES ESCRITO, ESO ES PLAGIO, EN LA PAGINA MYGEEKSIDE.COM ESO ESTA DESDE EL 5 DE MAYO DE 2008 Y LA TUYA DEL 24 DE SEPTIEMBRE DEL MISMO AÑO, NO HAY QUE SER EISTEIN PARA SABER QUIEN LO PUBLICO PRIMERO. SI QUIERES QUE A TU BLOG LE LLEGUEN MAS VISITAS, PON ALGO INTERESANTE O ALGUNOS TIPS, PERO POR FAVOR RESPETA EL DERECHO DE AUTOR DE OTRAS PAGINAS, COPION

    ResponderEliminar
  22. Y funciona eso del Live CD de UBUNTU??

    porque io tengo ese recycler hace como un año y medio... creo ke no hace nada en el sistema... solo ese acceso directo a la papelera que es una lata...
    usaba el KAV y encontro virus en un proceso del recycler elimino el proceso pero la carpeta se kedo ahi forever... no la puedo eliminar con nada.... pa colmo tengo mi disco particionado y la wea esta en las dos particiones, baje ese Scrip de MYGEEKSIDE... pero la carpeta tiene otro nombre y no le kita los atributos... cambie el Scrip para que reconociera a la carpeta por su nombre.... me cambio los atributos y aparecieron esos cochinos archivos... los elimino... pero vuelven a aparecer... creo yo que se debe a ke tambien se encuentra en la otra particion... en fin... el fuckin archivo es inmortal... ahora ultimo me he dado cuenta de que en la carpeta RECYCLER se han creado varios iconos de la papelera... todos con nombres distintos.. T_T y me estoy entrando a preocupar.... tengo weas de la tesis y no me gustaria perderlas (aunke estan respaldadas... pero ni un chiste)

    Ojla que eso del LIVE CD funcione... le tengo toda la fe... XD

    ResponderEliminar
  23. Lo del Live-CD es cuando no quieres instalar Ubuntu, solo hacerlo funcionar desde el CD mientras esté ejecutándose...

    Si sabes como se llama, o bien dónde está esa carpeta que no se puede eliminar, es tan fácil como darle al botón derecho del mouse sobre la carpeta y seleccionar "eliminar". Yo eliminé mi Recycler desde Ubuntu. Suerte!

    ResponderEliminar
  24. Hola a todos espero les sea de utilidad carlosofx.webcindario.com/USBClean
    Saludos

    ResponderEliminar
  25. Hola! recomiendo apoyems el software mexicano, primer antivirus mexicano :D pruebenlo www.kiyoscanner.com/demo se especializa en eliminacion de los tipicos virus de memorias usb y msn ( www.kiyoscanner.com/demo2 y www.kiyolab.com )

    ResponderEliminar
  26. ola.. tngo el mismo virus desktop.ini pero no esta n ninugna carpeta recycler.. la verdad iano se qe acer.. xq me esta cambiando la configuracion del lenguaje.. si m pueden ayudar..

    ResponderEliminar
  27. que yo sepa destop.ini no es virus ese archivo contine informacion relacionado con el escritorio asi como El Thumbs.db tiene la información necesaria para que cuando en el explorador de archivos está configurado para ver las "vistas en miniatura" muestre las imágenes de los archivos de esa carpet

    ResponderEliminar
  28. yo tmb utilize el kiyoscanner para eliminar el jwgkvsq.vmx, tambien me quito otros como el recycler que es muy comun en los laboratorios de mi escuela, dejo link: www.kiyoscanner.com/demo

    ResponderEliminar
  29. Hola, yo logré quitarlo entrando via Modo Seguro, pasando todos los programas tipo malwarebites, cclearner, eset smart... ahora de nuevo vuelvo a estar infectao hasta las trancas, como diria mi abuelito, en mi opinion creo que han mejorado el virus y es por eso que resulte cada vez mas molesto, practicamente peor que una mosca en verano... llevo un par de dias dandole vueltas y la unica solucion viable por ahora, lo 1º ningun programa tipo antivirus etc,instalando Linux y eso se hace SUPER FÁCIL!!si no pudiesemos por falta de recursos del PC o porque seamos muy vagos como yo o lo que sea, siempre nos queda la opcion LIVE CD UBUNTU o "dam small linux" para lanzar el Sistema Operativo desde un pen drive usb"... suponiendo que ya estamos en Ubuntu procedemos a borrar las carpetas siguientes: TEMP,Recycler y todos los archivos que contenga obviamente... una vez eliminadas, cerramos Linux y arrancamos el PC con Windows, pero esta vez en Modo Seguro, pasamos los programas Malwarebytes, smart o nod32, ccleaner...

    ResponderEliminar
  30. HOLA TEN GO EN MI PC EL VIRUS RECYCLER PERO LA CARPETA QUE SE CREA DENTRO DE RECYCLER SE LLAMA S-1-5-21-1757981266-1547161642-682003330-1003 DENTRO DE ELLA TENGO EL ARCHIVO DESKTOP.INI Y UNO INFO2 NO ESTA EL ISEE.EXE ... SIN EMBARGO SEGUI LOS PASOS INDICADOS CAMBIANDO EL NOMBRE DE LA CARPETA Y LOGRE BORRARLA PERO APENAS LA BORRO INMEDIATAMENTE CREA NUEVAMENTE LA MISMA CARPETA S-1-5-21-1757981266-1547161642-682003330-1003 POR LO TANTO NOME PERMITE ELIMINAR LA CARPETA RECYCLER... ¿COMO HAGO EN ESTE CASO PARA ELIMINAR ESTE VIRUS?

    ResponderEliminar
  31. si ya pasates el scrip y te dijo que elimino el virus recycler y eliminaste el archivo manualmente no hay ningun problema ya esta eliminado el virus, la carpeta recycler seguira ahi por que es una carpeta del sistema no es dañino. saludos.

    ResponderEliminar
  32. Hola disculpen mi falta de habilidad pero no pude eliminar el virus con el script, no pude seguir las instrucciones,tengo el virus wmmgr.exe y no sé si sea este el que cambió la configuración de toda la apariencia de mi windows, mas que nada con las letras, me cambió el tipo de letras, si saben algo por favor hechenme la mano, gracias!!!

    ResponderEliminar
  33. hola, es todo un problema eso de los virus, seguí las indicaciones de un tutorial donde después de un rollo para crackear el kiyoscanner logré desinfectar el equipo, pero me gustaría saber si con ese sólo antivirus puedo estar tranquilo?

    ResponderEliminar
  34. hola
    he seguido todos los pasos para eliminar el recycler pero cuando renombro la carpeta y la elimino vuelve a aparecer al instante otra nueva con esa secuencia de números y letras...
    tampoco tengo muy claro como se elimina la ruta de registro
    gracias!

    ResponderEliminar
  35. Hoal Amigo, Gracias por el post, me costo un poquito pero al parecer lo elimino con el "El matavirus Recycler" y el "unlocker", saludos

    ResponderEliminar
  36. amigo al momento de teclear en cmd taskkill me dice k eso es incorrecto

    ResponderEliminar
  37. podrias aser mas especifico paso por paso por q no entiendo eso de cmd, etc

    ResponderEliminar
  38. amigo con el cmd bien con el
    taskkill /f /im explorer.exe tambien al momento de tipear el cd /Recycler aparece no lo reconoce

    ResponderEliminar