Virus Acceso Directo USB
-
- Usuario registrado
- Mensajes: 5
- Registrado: Jue, 26 Oct 2017, 20:09
Virus Acceso Directo USB
Tengo un problema con este virus. Trabajo en un colegio por tanto hay un montón de niños con USB. Un día un alumno trajo un virus,puso un pendrive y se ocultan todos los archivos pero aparecen accesos directos.
Al PC le he instalado una versión de prueba de Panda, he limpiado el PC (analizado y no encuentra nada) pero el USB no puedo limpiarlo del todo, aparece una carpeta de "system volume information" y un archivo AUTORUN.INF que no sé si es el virus o no.
¡Necesito ayuda! Tengo una infección grave con muchos pensdrives y ordenadores. En los PCS tenia una versión gratuita de avira (en otros de avast)
Saludos
Al PC le he instalado una versión de prueba de Panda, he limpiado el PC (analizado y no encuentra nada) pero el USB no puedo limpiarlo del todo, aparece una carpeta de "system volume information" y un archivo AUTORUN.INF que no sé si es el virus o no.
¡Necesito ayuda! Tengo una infección grave con muchos pensdrives y ordenadores. En los PCS tenia una versión gratuita de avira (en otros de avast)
Saludos
Re: Virus Acceso Directo USB
Buen dia,
Puedes adjuntar un pantallazo donde vea el contenido del pendrive? Gracias.
Puedes adjuntar un pantallazo donde vea el contenido del pendrive? Gracias.
Panda Partner Colombia.
-
- Usuario registrado
- Mensajes: 5
- Registrado: Jue, 26 Oct 2017, 20:09
Re: Virus Acceso Directo USB
Adjunto pongo 3 imagenes con los virus
- Adjuntos
-
- virus 3.jpg (271.44 KiB) Visto 8117 veces
-
- virus 2.jpg (177.49 KiB) Visto 8117 veces
-
- pendrive.jpg (326.49 KiB) Visto 8117 veces
Re: Virus Acceso Directo USB
Buen dia,
-Ve a opciones de carpeta, y en la ficha Ver, selecciona mostrar archivos, carpetas y unidades ocultos... mas abajo en esa misma lista deselecionar Ocultar archivos protegidos del sistema operativo (recomendado). Clic en Aplicar y Aceptar.
-Ahora ir a la unidad USB y mirar si aparece algun archivo con extension .vbs o .db o otra extensión extraña (los .link no), copialos, comprimelos en .rar con contraseña "panda" y adjuntalo aqui, si pesa mas de 2MB ponlo en algun gestor de descarga y pega el link aqui para descargarlo.
-Si das clic derecho y clic en propiedades en un archivo .link podras ver a ruta del malware.
-Este malware podras eliminarlo de forma manual, usualmente en estas carpetas: (xxxxx es la cuenta de usuario, puede haber varias cuentas)
C:\Users\xxxxx\AppData\Local
C:\Users\xxxxx\AppData\Local\Temp
C:\Users\xxxxx\AppData\LocalLow
C:\Users\xxxxx\AppData\LocalLow\Temp
C:\Users\xxxxx\AppData\Roaming
En la imagen se ve donde esta el malware ubicado en C:\Users\xxxxx\AppData\Local\Temp esta carpeta Temp (archivos temporales puedes eliminar su contenido)
-Verifica que en el inicio de Windows no tenga enlaces al malware, puedes utilizar el soft ccleaner, ir a Tools, Startup y quita o borra los que esten relacionados al malware.
-Ve a opciones de carpeta, y en la ficha Ver, selecciona mostrar archivos, carpetas y unidades ocultos... mas abajo en esa misma lista deselecionar Ocultar archivos protegidos del sistema operativo (recomendado). Clic en Aplicar y Aceptar.
-Ahora ir a la unidad USB y mirar si aparece algun archivo con extension .vbs o .db o otra extensión extraña (los .link no), copialos, comprimelos en .rar con contraseña "panda" y adjuntalo aqui, si pesa mas de 2MB ponlo en algun gestor de descarga y pega el link aqui para descargarlo.
-Si das clic derecho y clic en propiedades en un archivo .link podras ver a ruta del malware.
-Este malware podras eliminarlo de forma manual, usualmente en estas carpetas: (xxxxx es la cuenta de usuario, puede haber varias cuentas)
C:\Users\xxxxx\AppData\Local
C:\Users\xxxxx\AppData\Local\Temp
C:\Users\xxxxx\AppData\LocalLow
C:\Users\xxxxx\AppData\LocalLow\Temp
C:\Users\xxxxx\AppData\Roaming
En la imagen se ve donde esta el malware ubicado en C:\Users\xxxxx\AppData\Local\Temp esta carpeta Temp (archivos temporales puedes eliminar su contenido)
-Verifica que en el inicio de Windows no tenga enlaces al malware, puedes utilizar el soft ccleaner, ir a Tools, Startup y quita o borra los que esten relacionados al malware.
Panda Partner Colombia.
-
- Usuario registrado
- Mensajes: 5
- Registrado: Jue, 26 Oct 2017, 20:09
Re: Virus Acceso Directo USB
¿Si los elimino con el antivirus y analizo los pendrives antes de conectarlos se limpiarán?
Última edición por GuderianHW el Lun, 30 Oct 2017, 12:12, editado 1 vez en total.
-
- Usuario registrado
- Mensajes: 5
- Registrado: Jue, 26 Oct 2017, 20:09
Re: Virus Acceso Directo USB
He conseguido el virus.
Última edición por GuderianHW el Mar, 31 Oct 2017, 20:28, editado 1 vez en total.
Re: Virus Acceso Directo USB
Buen dia, el virus es detectado y eliminado por Panda, por favor elimina el archivo para que nadie mas se contagie.
Si, lo mejor es analizarlas antes de ponerla en los equipos.
El Volumen information es normal, lo que no es normal es que no aparezca como oculta (transparente) y el AUTORUN_ debe ser del virus.
Si, lo mejor es analizarlas antes de ponerla en los equipos.
El Volumen information es normal, lo que no es normal es que no aparezca como oculta (transparente) y el AUTORUN_ debe ser del virus.
Panda Partner Colombia.
-
- Usuario registrado
- Mensajes: 5
- Registrado: Jue, 26 Oct 2017, 20:09
Re: Virus Acceso Directo USB
Buenas tardes CJ166
Entonces los pasos a seguir para solucionar el problema son:
1) Analizar con Panda el pendrive
2) Eliminar AUTORUN raros y archivos raros (en caso raro de que no los haya eliminado el Panda antes)
3) A los pendrives infectados para recuperar archivos ocultados por el virus: desde consola de MSDOS: Attrib /d /s -r -h -s *.* (desde la unidad del pendrive) con lo que muestra las carpetas y archivos que oculta el virus.
4) Volver a poner como ocultos System Volume Information y AUTORUN.INF
Entonces los pasos a seguir para solucionar el problema son:
1) Analizar con Panda el pendrive
2) Eliminar AUTORUN raros y archivos raros (en caso raro de que no los haya eliminado el Panda antes)
3) A los pendrives infectados para recuperar archivos ocultados por el virus: desde consola de MSDOS: Attrib /d /s -r -h -s *.* (desde la unidad del pendrive) con lo que muestra las carpetas y archivos que oculta el virus.
4) Volver a poner como ocultos System Volume Information y AUTORUN.INF
Re: Virus Acceso Directo USB
Buen dia,
A ok, si aplicaste el atribb el volumen information aparecera en vista normal y no oculto.
Debes tener en cuenta que asi limpies la usb debes primero limpiar los equipos del malware o volveran a infectarse, pasales el Panda Free o Pro, IS, GP (estos tres por 30 dias) y realiza un analisis, luego de que termine el analisis en los equipos, verifica en las cuentas de usuario en la carpetas mencionadas que no esten archivos .vbs o .db como se ve en la imagen que pusiste.
C:\Users\xxxxx\AppData\Local
C:\Users\xxxxx\AppData\Local\Temp
C:\Users\xxxxx\AppData\LocalLow
C:\Users\xxxxx\AppData\LocalLow\Temp
C:\Users\xxxxx\AppData\Roaming
Para poder verlas deberas quitar el oculto en opciones de carpeta, tambien verifica que no se cargue nada de enlaces raros en el inicio del sistema.
Las usb debes:
-Poner ver ocultos y de sistema.
-Analizar con el AV.
-Eliminar el Volumen Information (si no deja no hay problema) y los autorun que no sean .inf, aclarar que el volumen information y el autorun.inf no es malware son archivos del sistema y de la usb. Al eliminarlos estos se generan de nuevo automaticamente.
-Ejecutar Attrib /d /s -r -h -s *.* en el cmd.
-Listo, con ello podemos volver a ocultar las carpetas del sistema.
A ok, si aplicaste el atribb el volumen information aparecera en vista normal y no oculto.
Debes tener en cuenta que asi limpies la usb debes primero limpiar los equipos del malware o volveran a infectarse, pasales el Panda Free o Pro, IS, GP (estos tres por 30 dias) y realiza un analisis, luego de que termine el analisis en los equipos, verifica en las cuentas de usuario en la carpetas mencionadas que no esten archivos .vbs o .db como se ve en la imagen que pusiste.
C:\Users\xxxxx\AppData\Local
C:\Users\xxxxx\AppData\Local\Temp
C:\Users\xxxxx\AppData\LocalLow
C:\Users\xxxxx\AppData\LocalLow\Temp
C:\Users\xxxxx\AppData\Roaming
Para poder verlas deberas quitar el oculto en opciones de carpeta, tambien verifica que no se cargue nada de enlaces raros en el inicio del sistema.
Las usb debes:
-Poner ver ocultos y de sistema.
-Analizar con el AV.
-Eliminar el Volumen Information (si no deja no hay problema) y los autorun que no sean .inf, aclarar que el volumen information y el autorun.inf no es malware son archivos del sistema y de la usb. Al eliminarlos estos se generan de nuevo automaticamente.
-Ejecutar Attrib /d /s -r -h -s *.* en el cmd.
-Listo, con ello podemos volver a ocultar las carpetas del sistema.
Panda Partner Colombia.