Cómo eliminar virus USB que oculta las carpetas / cómo evitar que nuevos virus infecten las memorias USB

Nota aclaratoria: dado que en mi país se nombran a los pendrives o a las flash memory como memorias USB, me referiré así a las mismas, o simplemente USB para abreviar.

¿Por qué esta entrada? Bueno, comienzo preguntado, ¿cuántas veces no se les ha metido un bicho en la memoria por puro descuido del dueño de esa terminal, y más aún, este bicho ha desaparecido los archivos? Así comienza esta historia, con memorias infectadas. Siempre me ha parecido una falta de cuidado por parte de ciertos usuarios el mantenimiento de sus propios equipos, bien sea sus computadores, con la falsa seguridad de un antivirus que no les reporta o da cuenta del estado real del sistema, o bien sea sus propias memorias USB, con indiferencia de si está infectada y transmitiendo bichos por doquier. A esto ultimo, la brutal indiferencia con la que me he topado, con algunas personas que usan distros GNU/Linux o Mac OS X y decirles que la memoria que les voy a pasar esta limpia, responden “pero ese no es problema mío, a mi esos virus no me afectan” y al ver sus memorias en mi pc encontrar que estas estaban infectadas, y es indiferencia ya que si no los afecta, no se preocupan por no mantenerlas limpias y evitar más propagaciones. Se que no son todas las personas, pero, como dije, me he topado con varios de esos casos, incluyendo varios profesores/as.

Hace un par de semanas, en un computador de la fotocopiadora de medicina, mi novia insertó su USB para imprimir un informe, y, ¡sorpresa! se le prendieron más de 75 bichos, incluyendo bellezas como Conficker y Stuxnet (lo sé por el reporte de mi antivirus cuando la limpié), y al hacerles el comentario, la respuesta fue “eso no puede ser, tenemos X antivirus (de los gratuitos que es bueno), y el técnico la revisó hace poco, esta libre de virus, eso debio pegarsele en otro lugar y ahora viene a decir que fue culpa nuestra” ¿Cómo utas llegó Stuxnet a un computador sencillito que se usa solo para imprimir cosas? ¿a cuántas personas no se les habrá prendido todos o muchos de esos bichos? Me pasó algo similar cuando le di mi memoria a una persona que, la necesitaba para pasarme una info sumamente importante. Así, se la pasé, y cuando ya en mi casa la inserté, encontré que estaba infectada, habiéndose “eliminado” todas las carpetas y reemplazadas por accesos directos, lo mismo que con los ejecutables (eso mismo también le sucedió a mi novia  en lo que conté arriba). Esto es sumamente grave, teniendo en cuenta que en mi USB tengo, como ya verán, el hiren’s boot (como recordarán, además de mis cuestiones profesionales y académicas también le cacharreo a los computadores), por lo que es supremamente importante que esté limpia y libre de todo mal, y aunque solo tenia un bicho, igual estaba infectada y se hicieron modificaciones a mis archivos. Ahora les mostraré, con mi propia experiencia, cómo eliminar este molesto virus, recuperando todos los archivos y carpetas desaparecidas, y a continuación cómo inmunizar la USB para que no vuelva a pasar esto.

vir 01

Al insertar la memoria, antes que nada, hay que desinfectarla con nuestra solución antivirus. Al ingresar al explorador de archivos, como pueden ver, aparecen todas las carpetas (exceptuando las que me pasaron la info) como si fuesen accesos directos, y todas con fecha de modificación el instante en que el bicho se metió. Así, oprimí “alt” para que aparezca la barra de menú, y allí a “Herramientas”, y luego fui a “Opciones de carpeta…

vir 02 

Al hacer esto, se  despliega una nueva ventana

vir 03

Vamos a la pestaña “Ver”, y allí seleccionamos “Mostrar archivos, carpetas y unidades ocultas”, y más abajo deseleccionamos “Ocultar archivos protegidos del sistema operativo (recomendado)” y, esto es ABSOLUTAMENTE NECESARIO para algo que vamos a hacer más adelante, también deseleccionamos “Ocultar las extensiones de archivo para tipos de archivos conocidos”. Particularmente yo ya tengo esa opción sin seleccionar, porque quiero ver todas las extensiones, pero muchas personas no saben de la opción, y no los ven, teniendo en cuenta que por defecto viene seleccionada. Al darle “Aplicar”, les saldrá una advertencia, sobre mostrar los archivos protegidos, denle que sí.

vir 04

Ahora, vemos que en la carpeta aparecen todas las carpetas y archivos que se creian perdidos. Como dije antes, esta es la prueba, no estaban “eliminados”, solo ocultos a nuestra vista.

vir 05

Si damos clic alterno a una de las carpetas, veremos de sus atributos que sus propiedades son, ser una carpeta de solo lectura, y, la propiedad de ser una carpeta oculta y de sistema (no la podremos modificar). La forma larga de recuperar las carpetas es, crear nuevas, eliminar las antiguas, y pasar los archivos, pero la forma como les diré es mucho más fácil y rápida. 

vir 06

Lo que haremos a continuación es seleccionar todos los accesos directos, así como ejecutables y carpetas que no nos sean usuales o hayamos creado (en este caso se aprecia la carpeta RECYCLER) y los eliminamos.

vir 07

Una vez eliminados, vamos al Símbolo del Sistema, por cualquiera de los siguientes métodos: Vamos al menú Inicio, Todos los programas, accesorios, herramientas de sistema, o simplemente oprimimos la tecla Win + R y en el cuadro de texto escribimos cmd, o más simple y rápido aún, oprimimos la tecla Win, y al aparecer el menú Inicio, escribimos cmd.

win 1 win 2 win 3

Entonces se nos abrirá una nueva ventana, que es muy similar a lo que era el MS-DOS, vamos a la letra de unidad (en este caso la letra I), y escribimos el comando ATTRIB, de forma como describo a continuación (ponemos lo que esta en cursiva; en negrilla es lo que ya aparece en letra blanca y no debemos escribirlo):

C:\>Users\miusuario>I:

I:\>attrib –s –h /s /d

 vir 11a

Al escribir esto, pasan unos pocos segundos, cuando salga de nuevo la letra de unidad (insisto, en este caso es la I, depende de cuáles dispositivos tengan puede variar ente D y J, varia de PC a PC), entonces minimizamos el Símbolo del Sistema, y al abrir de nuevo la USB desde el explorador de archivos, veremos que todos los archivos y carpetas han aparecido donde deberían estar.

vir 12

La explicación de lo que hicimos es la siguiente: el comando ATTRIB se usa para cambiar los atributos de los archivos, al escribir –s y –h indicamos que queremos quitarles las propiedades de archivos de sistema (s) y ocultos (h) a todos los archivos, carpetas y subcarpetas que tengan esas propiedades (/s /d).

Ahora procederemos a inmunizar la USB, para que no vuelvan a pasar estos incidentes. Creamos una carpeta nueva en el escritorio, que podamos eliminar facilmente despues, y creamos adentro una nueva carpeta.

vir 13

Esta nueva carpeta que acabamos de crear la renombraremos Autorun.inf. Debe quedar así:

vir 14 

Ahora, daremos clic alterno en el fondo blanco y seleccionamos “Nuevo” > “Documento de texto”:

vir 14a

Vamos a crear 3 archivos de texto:

 vir 15

Los vamos a renombrar como DRIVER, RECYCLER y RESTORE.

vir 16

Ahora debemos eliminar la extensión .txt de los archivos de texto, para que queden como archivos nada más. Por eso decía antes que era importante que pudiéramos ver las extensiones de archivo, si no la vemos debemos ir a las opciones de carpeta y habilitar poder verlas. Al momento de eliminar la extensión saldrá una advertencia si deseamos eliminar la extensión, le decimos que sí. Así, ahora tenemos 4 archivos en nuestra carpeta: Autorun.inf, DRIVER, RECYCLER y RESTORE.

vir 17

Lo siguiente es copiar los 4 elementos a la carpeta raíz de la USB.

vir 18 

Si hay un archivo llamado Autorun.inf en el directorio raíz de la USB, saldrá un aviso de error diciendo que el archivo ya existe, y que le es imposible reemplazar. Lo que se hace es eliminar el archivo de la USB, y a continuación, volver a copiar nuestro archivo. Ahora, vamos a cambiar los atributos de estos 4 elementos, no con el clic alterno sobre estos, ya que esos atributos se pueden cambiar…

vir 19

Por tal motivo vamos de nuevo al Simbolo de Sistema, ingresamos de nuevo a la memoria y escribimos lo siguiente (teniendo de nuevo en cuenta, la letra de mi USB es I, pero esto varia de PC en PC):

C:\>Users\miusuario>I:

I:\>attrib autorun.inf  +r +s +h

I:\>attrib driver +r +s +h

I:\>attrib recycler +r +s +h

I:\>attrib restore +r +s +h

vir 19a

Los archivos ahora deben verse así

vir 20

Ahora, solo queda, entrar de nuevo en las opciones de carpeta, y en la pestaña “ver” seleccionamos “NO mostrar archivos, carpetas y unidades ocultas”, “Ocultar archivos protegidos del sistema operativo (recomendado)”, y dependiendo de las preferencias de cada quien, si quieren o no seguir viendo las extensiones, “Ocultar las extensiones de archivo para tipos de archivos conocidos”. Las dos primeras opciones DEBEN por seguridad quedar seleccionadas, la última es según cada quien quiera.

¿Cómo se cuela un malware en la USB? Empecemos con RECYCLER: el computador infectado crea esta carpeta, y en ella crea una carpeta adicional llamada S-1-5-21-1482476501-1644491937-682003330-1013, dentro de esta generará un archivo Desktop.ini el cual, por un lado, le dará a su carpeta el icono de la Papelera de Reciclaje, pero además, contiene la línea [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} la cual hace que al hacer doble clic en ella se abra la propia Papelera, ocultando así el archivo infeccioso ejecutable que contaminará el computador donde se inserte. Algo similar ocurre con las carpetas DRIVER y RESTORE, aunque también pueden haber otras carpetas problemáticas creadas para alojar y ocultar el ejecutable.

En el caso del autorun, este archivo incluye instrucciones de ejecución (se que abra un programa determinado, o que se muestre un icono en particular, de hecho, sí se fijaron en las imágenes, mi USB al principio aparecía como Hiren’s BootCD y con un icono del programa, después de reemplazar el archivo aparece simplemente como disco extraible, con el icono por defecto para estas unidades extraibles), y si bien este archivo no tiene problemas inicialmente, es usado por los virus para incluir las instrucciones de propagación, reemplazando con estas las originales de lo que debe ejecutarse o mostrarse. Es decir, incluyen la instrucción de ejecutar el programa escondido en la carpeta RECYCLER de forma automática, cosa bastante problemática en Win XP, pero minimizada en Win 7, por lo que este ultimo SO es más resistente a que se le active el archivo de malware de esta forma; aún así, una buena solución antivirus debería ser capaz de identificar y detener el ataque cuando ocurre de esta forma.

Cuando el o los malwares que se instalan en la USB ocultan archivos y carpetas reemplazándolas por accesos directos, como me pasó en la descripción arriba en esta entrada, lo que buscan es que las personas hagan clic en los accesos directos creyendo que son sus archivos, activando el ejecutable y las instrucciones de instalación y apropiación del sistema.

Lo que hicimos con los 4 elementos fue, crear archivos falsos. Esto es, una carpeta en vez de un archivo (autorun.inf) y un archivo en vez de una carpeta (RECYCLER y compañía), de forma que, como en el caso del error, no se pueda reemplazar. Esto es, no puede haber en la misma ubicación una carpeta y un archivo con el mismo nombre, por tanto el malware no podrá copiar y reemplazar nuestros archivos preparados, como sí reemplaza un archivo autorun.inf genérico o de fabrica que incluya la USB. Además, en la utilización del comando ATTRIB lo que estamos haciendo al escribir +r +s y +d es indicarle que al archivo mencionado en ese momento queremos darle las propiedades de archivo oculto (r), archivos de sistema (s) y ocultos (h), de esta forma nosotros no vamos a ver estos archivos cuando usemos nuestra memoria, y tendrá una dificultad adicional para ser cambiado el archivo por una carpeta que aloje el archivo infectado.

Espero esta guía sea de utilidad, y de buen provecho. Tada!!

About these ads

30 comentarios to “Cómo eliminar virus USB que oculta las carpetas / cómo evitar que nuevos virus infecten las memorias USB”

  1. Gian Says:

    Felicitaciones tio, esta info la habia visto en muchas paginas y con gente que agradecia por haberlas realizado como monito sin preguntar como funciona, tu me lo has detallado al milimetro, eres un capo, gracias men.

  2. Alexandertg Says:

    Excelente orientación! mi problema ya esta resuelto :)

  3. thor Says:

    esperemos funcione, gracias y saludos

  4. Renato Says:

    Buen aporte amigo…..

  5. saiyuki Says:

    Claro y entendible, lo aplique paso a paso y resurto… gracias.

  6. mordecai Says:

    lo voy a intentar. aunque ahora tengo un problema que te agradeceria si me pudieras dar una solucion… en mi pc aparece el icono de la unidad, por ejemplo “Mordecai (z:)” que esta destinada para mi usb (o pendrive). al seleccionarlo aparece un acceso directo de la misma usb, es decir un acceso directo con el icono de mordecai, una carpeta donde se encuentran mis archivos, autorun, desktop, thumbs y 0~BR.xxc — quisiera saber como lo vuelvo a la normalidad. te lo agradeceria mucho. saludos

    • unrealmaverick Says:

      Hola, entiendo tu problema ya que recientemente me sucedió, ingresé mi memoria en un pc extraño, y cuando la abrí en el mio, aparecio adentro unicamente un acceso directo a la memoria en sí, y al acceder allí, pude ver algunos de mis archivos. He estando probando con eso que me sucedío, con malos, muy malos resultados (perdida de la info). Lo que por ahora puedo decir, para limpiarla y no comprometer los archivos, es:
      1) pasala por un antivirus, que elimine las amenazas que se puedan encontrar
      2) usa el comando z:\> attrib –s –h /s /d en Simbolo de Sistema (z por que esa es la letra de unidad de tu usb)
      3) entra desde el Explorador de Windows a tu usb, deberia aparecerte un archivo autorun.inf malicioso, el acceso directo y una carpeta sin nombre, accede a la carpeta
      4) allí deberían salir todos los archivos que tenias, busca aquellas cosas que no reconozcas como propias y eliminalas
      5) copia tus archivos de la carpeta sin nombre al directorio raíz de la usb, o en la forma como estaban originalmente
      6) borra el acceso directo y la carpeta sin nombre del directorio raíz de la usb
      Ahora, ¿cómo evitar que se muevan los archivos y se genere ese acceso directo? Aún no lo sé, espero tener pronto la respuesta

      • Joel Martinez Says:

        Buen tuto, pero este que mencionas, le pudiste encontrar solución??, la usb de mi hermano siempre tiene ese problema por la pc del trabajo. Siempre se la tengo que arreglar desde linux con los pasos 1, 5 y 6.
        Espero tus respuestas

  7. Jaime Says:

    Hola sabes hice los primeros pasos para hacer aparecer mis carpestas y lamentablemente no paso nada, hace un par de semans coemnzaron a desparecer mis carpetas, no alcanze a respaldar, NOD32 no detecto nada,a si que lo cambie a Karpesky y ya dejaron de desaparecr las carpetas, pero aun no me aparecen el resto de ellas el disco en propiedades me aparece casi lleno tal como yo lo tenia antes de la desaparicion de archivos, bueno realzie los comandos que indicaste y nada, sabes que puedo seguir intentando para poder rescatar mis carpetas, creo que si la memoria sigue casi llena quiere decir que los archivos estan ai, pero no los puedo ver, utilize de todo para verlo y nada… agradeceria mucho si me pudieses ayudar, te dejo mi correo por si tienes la gentileza d epdoer ayudarme te lo agradeceria mucho ya que ai estan cosas que son muy valiosas para mi.
    saludos
    Jaime.
    zuletaklein@gmail.com

  8. Pedro M. Says:

    Gracias fue d gran ayuda!

  9. Rodolfo Says:

    borrar de la USB esta fácil pero como quitamos el virus de las pcs
    si alguien pudiera colaborar seria genial, puesto que ni eset ni avast reconocen el virus

  10. Geni Says:

    Hola, esta bueno todo me sirvio pero, el virus se quedo en mi pc, toda memoria que pongo la infecta, y al hacer el paso C:\>Users\miusuario>I:

    I:\>attrib autorun.inf +r +s +h

    I:\>attrib driver +r +s +h

    I:\>attrib recycler +r +s +h

    I:\>attrib restore +r +s +h

    dice que no halla los parametros establecidos :S espero me ayudes…

    • unrealmaverick Says:

      Hola, acabo de responder en otro comentario, que estoy preparando una mini guía que sirva para limpiar el PC, esperame al fin de semana la pueda acabar dado lo atareado que estoy en esta semana con mis estudios. Mientras, respecto a los parámetros, verifica que la unidad sea I: y no E: o F: o G: u otra letra, y luego intenta parametro por parametro por separado (primero y solo +r, luego +s, y +h por ultimo). Si sigue apareciendo eso, intenta cambiar el orden de los parámetros. Un saludo

  11. diego Says:

    genio! este problema me tenia cansado desde hace mas de año… gracias por compartir tus conocimientos!!!

  12. juan esteban roldan Says:

    ojala alguien lea mi mensaje y me de alguna solucion yo tengo el problema de la memoria usb se metio un virus en ella contagio la pc y no me di cuenta en que momento ya al menos lore que la memoria mostrara los archivos pero tratanco de eiminar el virus llegue a un punto en que me dice recycler no se reconoce como un comando interno o externo, programa o archivo por lotes ejecutable en que me equivoque

  13. FREDY_RED Says:

    me pasa lo mismo que a GENI mi PC quedo infectada con ese virus no logro borrar toda vez que introduzco un Pen drive lo infecta te agradecería poder librarme de ese virus que no se como llego ahi

  14. williamcc Says:

    para evitarce del virus que solamente daña a cualquier flash el antivirus avira es el mejor para ello detecta muchos virus que eset ni avast son CAPACES de detectar

  15. Eleazar Gaitán Says:

    Muy buena la info, gracias. Espero nos avises cuando tengas esa guia para desinfectar la pc pues es la mia la q los infecta
    por suerte trabajo de maravilla con mi otro OS (archlinux).

  16. Marcelo Chaves Restrepo Says:

    hola he hecho todo lo que dice el tutorial pero me sale acceso denegad G: system volume infomation si me pueden ayudar gracias

  17. MEXCES Says:

    Estimado unrealmaverick:

    Has podido terminar la guia para desinfectar el pc, estoy que me jalo los pelos porque no encuentro como eliminarlo.

    Gracias de antemano.

    Saludos.

    MEXCES

  18. yuki Says:

    hola gracias por la info, hice todos los pasos pero cuando la conecto no se reproduce automaticamente ni aparece con el nombre que le habia puesto y si se lo pongo no se cambia me podrias ayudar porfas te lo agradeceria mucho =)

  19. biteriga Says:

    Hola, alguien me pueda ayudar? Tengo el siguiente problema:
    Las extensiones de los archivos se me ocultan solas. Las vuelvo a hacer visibles (Panel de Control, Apariencia y Personalización, Opciones de carpeta, etc) y al rato se ocultan de nuevo!!!!
    Gracias de antemano!!

  20. Yhelena Says:

    Excelente!! Gracias a ty mi problema esta resuelto.

  21. hernan Says:

    me ayudan tengo un virus en memoria extraible y todos los archivos los guardo en una carpeta unica y solo se ve un unico acceso directo

    • unrealmaverick Says:

      Hola, precisamente estoy probando eso, ya que me pasó con mi memoría también. La solución es modificar las opcioens de carpeta para poder visualizar archivos ocultos, para accedr a la carpeta oculta donde se copiaron los archivos, y de allí copiarlos a la carpeta raíz de la memoría. Prueba así a ver si te funciona igual que a mí.

      • MEXCES Says:

        Yo probé un sin fin de opciones, obviamente realice ese proceso para recuperar la información pero no podía eliminar el virus de ninguna manera.

        Finalmente lo que hice fue descargar una versión de prueba de 30 días “gratuita” del antivirus kaspersky. Con ella limpie mi USB y computadora y a la fecha ya no he tenido ese problema.

        Es la más sencilla y lógica solución.

        Saludos.

        MEXCES

      • unrealmaverick Says:

        Gracias por el comentario. Como dije, una buena solución antivirus (Panda cloud, Avast, AVG, Avira, en sus versiones gratuitas) debería ser suficiente para evitar problemas. Malwarebytes Anti-Malware debe servir como apoyo en caso de duda. Ignoro si Kasperksy tiene versión gratuita, pero ya que lo mencionas, dejo este link https://support.kaspersky.com/viruses/rescuedisk es un rescue disk que se puede grabar en CD o copiar a USB, e inicia una versión live con entorno GNU/Linux, un entorno seguro para detectar y eliminar amenazas. Es muy demorado (varias horas de proceso) pero me ha dado buen resultado en equipos donde lo he probado. Te lo dejo para que pruebes a ver como te va.
        Un saludo!

  22. jenny Says:

    hola y hay algun aantivirus portable que podamos instalar en los usb para que este bicho no les entre??

    • unrealmaverick Says:

      Hola. Si bien lo que explico debería funcionar, he visto malware más agresivo que no he logrado bloquear con estos metodos. Un antivirus para memorias USB portable podría funcionar, te dejo links de algunos:
      – Mx One Antivirus: http://www.mxone.net/
      El más conocido antivirus para memorias USB. Gratuito y con muchas características digno de buen antivirus como detección y bloqueo de cualquier amenaza informática a gran velocidad, liviano y utiliza poco memoria ram, protección en tiempo real y actualizaciones constantes.
      – Panda USB vaccine: http://www.pandasecurity.com/homeusers/downloads/usbvaccine/
      Protección para PC (bloquea la ejecución automática) y para la memoria como tal, para que no se modifique el autorun.inf
      – Elipen: http://www.zonavirus.com/descargas/elipen.asp
      Gratuito, también previene la creación de Autorun.inf
      Y como he dicho, tener una buena solución antivirus en el PC para mantenerlo en buen estado


Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: