Virus Acceso Directo USB

¿Problemas con virus, rogueware o malware en general? Resuelve todas tus consultas desde aquí.
Cerrado
GuderianHW
Usuario registrado
Usuario registrado
Mensajes: 5
Registrado: Jue, 26 Oct 2017, 20:09

Virus Acceso Directo USB

Mensaje por GuderianHW »

Tengo un problema con este virus. Trabajo en un colegio por tanto hay un montón de niños con USB. Un día un alumno trajo un virus,puso un pendrive y se ocultan todos los archivos pero aparecen accesos directos.

Al PC le he instalado una versión de prueba de Panda, he limpiado el PC (analizado y no encuentra nada) pero el USB no puedo limpiarlo del todo, aparece una carpeta de "system volume information" y un archivo AUTORUN.INF que no sé si es el virus o no.

¡Necesito ayuda! Tengo una infección grave con muchos pensdrives y ordenadores. En los PCS tenia una versión gratuita de avira (en otros de avast)

Saludos
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: Virus Acceso Directo USB

Mensaje por CJ166 »

Buen dia,

Puedes adjuntar un pantallazo donde vea el contenido del pendrive? Gracias.
Panda Partner Colombia.
GuderianHW
Usuario registrado
Usuario registrado
Mensajes: 5
Registrado: Jue, 26 Oct 2017, 20:09

Re: Virus Acceso Directo USB

Mensaje por GuderianHW »

Adjunto pongo 3 imagenes con los virus
Adjuntos
virus 3.jpg
virus 3.jpg (271.44 KiB) Visto 8118 veces
virus 2.jpg
virus 2.jpg (177.49 KiB) Visto 8118 veces
pendrive.jpg
pendrive.jpg (326.49 KiB) Visto 8118 veces
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: Virus Acceso Directo USB

Mensaje por CJ166 »

Buen dia,

-Ve a opciones de carpeta, y en la ficha Ver, selecciona mostrar archivos, carpetas y unidades ocultos... mas abajo en esa misma lista deselecionar Ocultar archivos protegidos del sistema operativo (recomendado). Clic en Aplicar y Aceptar.

-Ahora ir a la unidad USB y mirar si aparece algun archivo con extension .vbs o .db o otra extensión extraña (los .link no), copialos, comprimelos en .rar con contraseña "panda" y adjuntalo aqui, si pesa mas de 2MB ponlo en algun gestor de descarga y pega el link aqui para descargarlo.

-Si das clic derecho y clic en propiedades en un archivo .link podras ver a ruta del malware.

-Este malware podras eliminarlo de forma manual, usualmente en estas carpetas: (xxxxx es la cuenta de usuario, puede haber varias cuentas)

C:\Users\xxxxx\AppData\Local
C:\Users\xxxxx\AppData\Local\Temp
C:\Users\xxxxx\AppData\LocalLow
C:\Users\xxxxx\AppData\LocalLow\Temp
C:\Users\xxxxx\AppData\Roaming

En la imagen se ve donde esta el malware ubicado en C:\Users\xxxxx\AppData\Local\Temp esta carpeta Temp (archivos temporales puedes eliminar su contenido)

-Verifica que en el inicio de Windows no tenga enlaces al malware, puedes utilizar el soft ccleaner, ir a Tools, Startup y quita o borra los que esten relacionados al malware.
Panda Partner Colombia.
GuderianHW
Usuario registrado
Usuario registrado
Mensajes: 5
Registrado: Jue, 26 Oct 2017, 20:09

Re: Virus Acceso Directo USB

Mensaje por GuderianHW »

pendrive con el nuevo virus detectado. Lo adjunto en otro mensaje
pendrive con el nuevo virus detectado. Lo adjunto en otro mensaje
nuevo virus detectado en pendrive.jpg (232.87 KiB) Visto 8085 veces
No he podido encotrar los archivos para enviarselos. Los ha eliminado directamente el antivirus.

¿Si los elimino con el antivirus y analizo los pendrives antes de conectarlos se limpiarán?
Última edición por GuderianHW el Lun, 30 Oct 2017, 12:12, editado 1 vez en total.
GuderianHW
Usuario registrado
Usuario registrado
Mensajes: 5
Registrado: Jue, 26 Oct 2017, 20:09

Re: Virus Acceso Directo USB

Mensaje por GuderianHW »

He conseguido el virus.
Última edición por GuderianHW el Mar, 31 Oct 2017, 20:28, editado 1 vez en total.
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: Virus Acceso Directo USB

Mensaje por CJ166 »

Buen dia, el virus es detectado y eliminado por Panda, por favor elimina el archivo para que nadie mas se contagie.

Si, lo mejor es analizarlas antes de ponerla en los equipos.

El Volumen information es normal, lo que no es normal es que no aparezca como oculta (transparente) y el AUTORUN_ debe ser del virus.
Panda Partner Colombia.
GuderianHW
Usuario registrado
Usuario registrado
Mensajes: 5
Registrado: Jue, 26 Oct 2017, 20:09

Re: Virus Acceso Directo USB

Mensaje por GuderianHW »

Buenas tardes CJ166

Entonces los pasos a seguir para solucionar el problema son:

1) Analizar con Panda el pendrive
2) Eliminar AUTORUN raros y archivos raros (en caso raro de que no los haya eliminado el Panda antes)
3) A los pendrives infectados para recuperar archivos ocultados por el virus: desde consola de MSDOS: Attrib /d /s -r -h -s *.* (desde la unidad del pendrive) con lo que muestra las carpetas y archivos que oculta el virus.
4) Volver a poner como ocultos System Volume Information y AUTORUN.INF
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: Virus Acceso Directo USB

Mensaje por CJ166 »

Buen dia,

A ok, si aplicaste el atribb el volumen information aparecera en vista normal y no oculto.

Debes tener en cuenta que asi limpies la usb debes primero limpiar los equipos del malware o volveran a infectarse, pasales el Panda Free o Pro, IS, GP (estos tres por 30 dias) y realiza un analisis, luego de que termine el analisis en los equipos, verifica en las cuentas de usuario en la carpetas mencionadas que no esten archivos .vbs o .db como se ve en la imagen que pusiste.

C:\Users\xxxxx\AppData\Local
C:\Users\xxxxx\AppData\Local\Temp
C:\Users\xxxxx\AppData\LocalLow
C:\Users\xxxxx\AppData\LocalLow\Temp
C:\Users\xxxxx\AppData\Roaming

Para poder verlas deberas quitar el oculto en opciones de carpeta, tambien verifica que no se cargue nada de enlaces raros en el inicio del sistema.

Las usb debes:

-Poner ver ocultos y de sistema.
-Analizar con el AV.
-Eliminar el Volumen Information (si no deja no hay problema) y los autorun que no sean .inf, aclarar que el volumen information y el autorun.inf no es malware son archivos del sistema y de la usb. Al eliminarlos estos se generan de nuevo automaticamente.
-Ejecutar Attrib /d /s -r -h -s *.* en el cmd.
-Listo, con ello podemos volver a ocultar las carpetas del sistema.
Panda Partner Colombia.
Cerrado

Volver a “Virus - Incidencias”