VIRUS RECYCLE: Cuando el USB esta formateado y se sigue creando la carpeta Recycle y ocultando Carpetas de Usuario

Hola con todos, bueno les contare un problema y solucion que encontre el dia de ayer. Con respecto al famoso virus RECYCLE a qui va:

Desinfectando una Laptop inserte mi USB y automaticamente mis archivos se marcaron como OCULTOS POR SISTEMA (Modo de ocultar carpetas mas severo de Windows) y adicionalmente se creo una carpeta RECYCLE + un archivo INI.

En mi PC, con una DUPLA DE PROTECCION MUY RECOMENDADA (NOD32 + MALWAREBYTES) Pero con el Malwarebytes (desactualizado 7 dias) inserte mi USB y le di FORMATO RAPIDO (Obviamente rescatando los archivos que tenia) y LISTO! pense que todo se habia solucionado, pero… Al mover los archivos a mi USB otra vez, PLUM! de nuevo el mismo error: oculto las carpetas y creo los archivos mencionados, que en mi caso por mi antivirus los ELIMINO EFICAZMENTE.

Intente realizar un FORMATO COMPLETO, pero me di con la sorpresa de que no SE PODIA REALIZAR. Se quedaba en la MITAD.

Esto era raro mi ANTIVIRUS DETECTABA esos archivos pero no el NUCLEO de los mismos. Aparte el MALWARE NO SE EJECUTABA AL INICIO (Lo tuve que abrir manualmente) y bloqueaba una direccion IP: (92.241.165.133 – 92.241.165.134 que segun informacion proviene de RUSIA)

Al revisar si se estaba ejecutando algo “RARO” en mi memoria de inicio encontre la siguiente instruccion de ejecutar este archivo “ihpspa.exe” que supuetamente se alojaba en una carpeto donde “no estaba el archivo”.

Lo intente eliminar de mil formas pero seguia generandose automaticamente. Y el USB seguia generando la carpeta RECYCLE pero no me permitia FORMATEAR COMPLETAMENTE.

Revisando una WEB que tiene muy buena informacion acerca de virus (www.mygeekside.com) su moderador FELIPE comenta lo siguiente acerca de este virus: “Este virus ataca y se propaga especialmente por las MEMORIAS USB, y en algunos casos se oculta en el EXPLORER.EXE para no se reconocido”

Pero, en este caso el script que diseño no eliminaba mi problema, pero me dio una idea de como solucionarlo.

En MODO A PRUEBA DE FALLOS se ejecuta lo “INDISPENSABLE” para arrancar Windows. Asi que, en este estado decidi PRIMERO eliminar la entrada del archivo IHPSPA.EXE (msconfig), Limpiar errores de REGISTRO CON CCLEANER y Por ultimo FORMATEAR COMPLETAMENTE EL USB (Si se pudo en MODO A PRUEBA DE FALLOS)

Al inciar windows normalmente ADIOS PROBLEMAS. No se creo mas ese archivo y por consecuencia: NO SE VOLVIERON A COPIAR MAR LOS ARCHIVOS EN MI USB.

Conclusion:

En “mygeekside.com” en unos de sus post comentan que el AUTORUN de las memorias USB es un”programa” de ejecucion instantanea y muy VULNERABLE para ser modificado por los VIRUS. Esto quiere decir que si UNA MEMORIA USB estainfectada, con solo INSERTARLA automaticamente se ejecuta el Virus. En este caso parece que entre los archivos de sistemas de MI MEMORIA USB aun conservaban algun archivo. Para ello se sugiere MODIFICAR LOS ATRIBUTOS DE ESTE AUTORUN.INF DE NUESTRAS MEMORIAS USB. Para que no puedan ser modificadas, reemplazadas o eliminadas.

Si tienen alguna DUDA, CONSULTA escribanme. Saludos!

Luis

2 comentarios en “VIRUS RECYCLE: Cuando el USB esta formateado y se sigue creando la carpeta Recycle y ocultando Carpetas de Usuario

  1. Hola una consulta compre 60 pendrive por mercado libre y probé de todo absolutamente todo Hasta hice formatear mi compu y nada… que me recomendase?
    Cada vez que copio archivos a mi pendrive lo saco y vuelvo a colocarlo en mi pc los archivos desaparecen pero la memoria sigue llena no se me crea ningun acceso directo ni nada la memoria sigue ocupada pero los archivos no están!
    Necesito ayuda

    1. Hola Alejandro, ese post lo escribí ya un tiempo atrás. Como comento ahí, la herramienta (para mi una de las mejores) Malwarebytes PODRÍA ayudarte sin problemas. Cuéntame si lo has usado y que versión.

      Si estás en Perú, ATIENDA SU PC es partner oficial de Malwarebytes en el país. Sí estás fuera, trata de conseguirlo en su versión premium y prueba escaneado en modo a prueba de fallos.

      Ya me cuentas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s