Virus en memoria USB motion/eye.exe

Publicado en 'Seguridad Informática' por JonathanHalo, 14 Jul 2010.





  1. JonathanHalo

    JonathanHalo Miembro maestro

    Registro:
    29 Mar 2009
    Mensajes:
    812
    Likes:
    139




    Ayer lleve a imprimir una revista a wilson y le contagiaron virus a mi memoria usb de 4GB marca kinston, desaparecio todos mis archivos y creo el conocido autorun junto con una carpeta llamada Motion, mis antivirus no lo detectan :S q hago?
     


  2. Otaku_ex

    Otaku_ex Suspendido

    Registro:
    1 Jun 2010
    Mensajes:
    5,631
    Likes:
    182
    creo que ya fuiste hubieras quemado un disco y les dabas eso nomás. Hay que ser bien celosos con los articulos personales.
     
  3. JonathanHalo

    JonathanHalo Miembro maestro

    Registro:
    29 Mar 2009
    Mensajes:
    812
    Likes:
    139
    Mis archivos estan alli, solo q todo oculto... creo q pude eliminar ese motion/eye.exe, pero me queda alli esa carpeta con la misma capacidad...
     
  4. Milo

    Milo Moderador Global

    Registro:
    3 May 2008
    Mensajes:
    4,900
    Likes:
    1,401
    Trata de desinfectar el usb con un antivirus, es la mejor manera, el kaspersky es una opción que debes tomar en cuenta.
     
  5. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157
    Parece que está de moda ese tipo de infecciones, primero, olvídate que el virus es el autorun.inf, simplemente es un archivo que le dice a la PC qué hacer cuando insertas la memoria USB (o cualquier disco). Esto es aprovechado por varias infecciones para ejecutar los archivos maliciosos e infectar tu PC.

    Ahora bien, eso de ocultar los archivos puede darse de 2 formas, la primera y la más inocua, es simplemente ocultar los archivos y evitar que el usuario los vuelva visibles; la segunda y más fastidiosa es renombrar los archivos con nombres en serie y con la extensión CHK, para lo que, además de limpiar la PC necesitaremos un software para volver utilizables, nuevamente, nuestros archivos.

    Como ya te dijo Milo, si tienes un buen antivirus, como el Kaspersky, no deberías tener problemas, sin embargo, si tu PC ya se infectó tal vez sería bueno que sigas los siguientes pasos:

    http://www.peruhardware.net/foros/showthread.php?p=2272481#post2272481

    Luego de desinfectarla podrás volver nuevamente visibles tus archivos si sigues los siguientes pasos:

    http://www.peruhardware.net/foros/showthread.php?p=2273469#post2273469

    Y, si es que se renombraron como CHK, puedes bajar un programa gratuito para resolver eso desde:

    http://www.diydatarecovery.nl/chkmate.htm

    Suerte.
     
  6. JonathanHalo

    JonathanHalo Miembro maestro

    Registro:
    29 Mar 2009
    Mensajes:
    812
    Likes:
    139
    Veo todos mis archivos ocultos de lo mas normal, solo en la memoria USB es donde no veo nada.. pero segun capacidad, todo esta ahi.

    Dentro de la carpeta MOTION se creo el virus eye.exe que con el USB DISK SECURITY lo elimino pero me dejo esa carpeta, uso el NOD32 que no detecto nada. El MOTION aun sigue ahi, probare el kaspersky a ver que resultados me da...
     
  7. jflores

    jflores Miembro de bronce

    Registro:
    27 Jun 2010
    Mensajes:
    2,447
    Likes:
    76
  8. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157
    Prueba con habilitar el ver los archivos de sistema. Los archivos ocultos sólo ejan ver una parte de todo el espectro. Los archivos de sistema también están ocultos pero hay que habilitar, manualmente, el poder verlos. Seguramente, cuando pruebes el Kaspersky, te darás cuenta que el NOD32 no hace su trabajo.
     
    Última edición: 14 Jul 2010
  9. JonathanHalo

    JonathanHalo Miembro maestro

    Registro:
    29 Mar 2009
    Mensajes:
    812
    Likes:
    139
    Porbe kaspersky y tampoco dio resultados... tambien movi de todo en el regedit para habilitar los ocultos y normal... todos los ocultos de mis particiones estan ahi, pero las de mi memoria nada de nada...

    Me llegó y le di format a mi memoria, tenia cosas importantes pero todo con un backup en mi disco duro... no se si alguien tenga el mismo problema y le haya dado solucion.

    Lo unico que recomiendo, es que cuando vayan a imprimir algo a wilson, lleven su CD o DVD.
     
  10. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157
    Bueno, creo que no me expliqué bien. Kaspersky no va a volver visibles tus archivos, simplemente se encarga del malware (virus, troyanos, gusanos, etc). Una vez que tu sistema (incluyendo la memoria USB) esté limpio puedes tratar de ver nuevamente tus archivos, por eso te puse los tres links donde te digo lo que debes ejecutar para limpiar tu PC (por ejemplo el Sergiwa RRT te permite volver visible lo que no puedes por el malware al arreglar puntos clave del registro) y luego el procedimiento para volver visible lo invisible (esto mediante el comando ATTRIB). Ahora bien, el tercer link habla de un programa que te permitirá sacar tus archivos de los que crea el malware, es decir, tus archivos los convierte en varios archivos con extensión CHK, no los oculta sino que los transforma en archivos no "legibles" y por eso debes usar ese programa o abrirlos, a pesar de ser CHK en el programa que debería leerlos, por ejemplo, si era un archivo .DOC en Word.

    Ejemplo, yo tenía un archivo CVitae.doc y ahora se llama 0002345.chk, puedo usar el programa que puse para convertirlo en lo que era, un .DOC, por lo que ahora se llamará 0002345.doc o abrirlo de frente en Word y luego guardarlo nuevamente.

    No hay problema de llevar una memoria USB a cualquier sitio, pero como siempre, es mejor hacerlo con la mínima información posible para evitar algo que a ti no te pasó, perder información valiosa por no tener backups.
     
    Última edición: 15 Jul 2010
  11. reingenieria

    reingenieria Miembro de bronce

    Registro:
    15 Jun 2010
    Mensajes:
    1,083
    Likes:
    96
    existe amtivirus exclusivos para usb?

    osea que sean residentes
     
  12. Karlen

    Karlen Miembro de plata

    Registro:
    29 Jul 2009
    Mensajes:
    3,983
    Likes:
    1,157
    Si te refieres a uno que vaya en el USB a donde lo lleves, pues me parece que el siguiente es una opción (no lo he probado):

    http://www.mxone.net/index.php

    Aunque la verdad, con el tip que dio Mario Chilo hace tiempo acerca de crear una carpeta AUTORUN.INF en la memoria USB debería bastar para casi todos los casos. Eso sí, eso no impide que la memoria se infecte, sólo impide que las infecciones se activen al entrar en contacto con otra PC. De esa manera se puede limpiar la memoria sin mayores problemas.

    Pero, en todos los casos, es mejor un buen antivirus en la PC (G-Data, F-Secure, Kaspersky o Avira Premium). Personalmente, la capacidad del Kaspersky (2010/2011) de limpiar las memorias USB apenas son insertadas es algo que ayuda bastante.
     
  13. reingenieria

    reingenieria Miembro de bronce

    Registro:
    15 Jun 2010
    Mensajes:
    1,083
    Likes:
    96
    gracia slo probare
     
  14. Ed4r

    Ed4r Miembro frecuente

    Registro:
    29 Jun 2007
    Mensajes:
    83
    Likes:
    0

    bueno a mi me esta pasando lo mismo...(tambien soy caserito del maldito Autorun :ptm:)....como mencionaste los archivos siguen ahi pero no los puedes abrir...ahora solo aparecen los enlaces directos q no sirven pa nada me mandan a cualquier sitio menos a donde se encuentra el archivo

    ...pero encontre la mejor manera de poder eliminar definitivamente ese virus....de mi USB les dateo

    1. penetras ...mmm digo conectas tu USB a la Pc todo cool osea normal....hasta q la Pc lo identifique

    2. una ves q lo identifique no habran el contenido del usb....lo dejamos ahi

    3. vamos a WinRar lo abrimos...y desde ahi exploramos nuestro USB se daran cuenta q ahi esta todos nuestros archivos.(ohhhh milagro no se borro ninguno:wow:)....y tambien se daran cuenta q ahi se encuentra el maldito virus "Autorun"

    4. ahora facil...eliminamos ese maldito virus y cualquier otro archivo q no conocemos...la mejor forma de eliminar el archivo es shif+supr...asi el archivo se eliminara directamente...sin ir a la papelera de reciclaje ´pues este virus Autorun suele gererarse solo mismo lagarto xD

    5. bueno una vez eliminado el intruso.....extraemos nuestro USB....lo volvemos a conectar y nuevamente abrimos nuestro USB desde WinRar...y se daran cuenta q el archivo de autorun ya no esta.....bueno eso es todo lo q se :w0w:

    ......pero he llegado hasta ahi y mi USB se quedo en blanco solo me falta hacer visible mis archivos...x ahi pusieron algunos tips los provare

    ah...un dato curioso siempre q instalo mi USB me aparecen dos carpetas
    1.unidad (F) : diske pa leer CDs pero si mi Pc no tiene ni lectora de CDs
    2. unidad (G) : bueno eso es la de mi USB :D

    haber si alguien sabe algo :yeah: o le ha pasado lo mismo
     
  15. GianExtremo

    GianExtremo Miembro de plata

    Registro:
    12 May 2010
    Mensajes:
    2,613
    Likes:
    254
    Existe una utilidad gratuita para inmunizar una memoria flash USB e incluso nuestro disco duro ante una infección vía AUTORUN, el USB Vaccine de Panda (link). Lo descargamos y ejecutarmos en nuestra PC, una vez dentro de la aplicación clickeamos en la opción 'Vaccinate USB', y con ello se crea un archivo (AUTORUN.INF) dentro de nuestra unidad extraíble que nos protegerá en algo de un posterior y posible contagio.
     
  16. caliguladax

    caliguladax Miembro maestro

    Registro:
    11 Jul 2010
    Mensajes:
    565
    Likes:
    21
    si lo que deseas es eliminarlo manualmente ya que antivirus no lo detecta puedes usar un cd Boot de win xp se llama Hiren's boot 10.1 ahy cargas la opcion mini win xp entras a tu usb y lo eliminas
     
  17. XXXXXX

    XXXXXX Miembro frecuente

    Registro:
    10 Oct 2010
    Mensajes:
    109
    Likes:
    5
    Me paso lo mismo, por mandar imprimir en otro lado me infectaron el usb y "desaparecio" todo, aunque realmente no fue asi pq todabia figuraban los 3 gb de mis archivos, lo q paso fue q el virus lo oculto, solamente me fui a opciones de carpeta y "Mostrar archivos ocultos"y listo..

    ya luego copie todo a una nueva carpeta en mi HDD y elimine el virus con el nod
     
  18. caliguladax

    caliguladax Miembro maestro

    Registro:
    11 Jul 2010
    Mensajes:
    565
    Likes:
    21
    Encaso de no poder Ver los archivos ocultos de nuestro explarador por mitivos de virus aki dejo un Archivo de registro
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoRun"=-
    "NoDrives"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=-
    "DisableTaskMgr"=-
    "DisableCMD"=-
    "NoDispCPL"=-
    "NoAdminPage"=-

    [HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]
    "DisableRegistryTools"=-
    "DisableTaskMgr"=-
    "NoDispCPL"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
    "Disabled"=-
    "Norealmode"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000001
    "HideFileExt"=dword:00000000
    "SuperHidden"=dword:00000001
    "ShowSuperHidden"=dword:00000001

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "DisallowRun"=-
    "RestrictRun"=-

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoFolderOptions"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
    "DisableSR"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN]
    "CheckedValue"=dword:00000002

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableRegistryTools"=-
    "DisableTaskMgr"=-
    "NoDispCPL"=-

    [HKEY_CLASSES_ROOT\exefile\shell\Open\Command]
    ="%1" %*
    lo copian a un blok d enotas y lo guaradan con .reg y listo le dan doble clik y veran los archivos ocultos de su pc
     
  19. brian20

    brian20 Miembro frecuente

    Registro:
    26 Jul 2010
    Mensajes:
    130
    Likes:
    1
    Aver Prueba con esto ami me funciono. no podia ver nada en mi usb pero los archivos estaban ahy.

    1. Ejecutar : Cmd
    2. Escribes lo Sgte : attrib -s -h -r f:/*.* /s /d (Asi como esta Pero en ves de la F pones la unidad que le asigne a tu memoria tu pc )

    Luego le pasas un super antivirus a tu usb y tambien a toda la pc. Si tu pc se infecto..... Lo que podrias hacer es restaurar sistema al dia anterior . Bueno ami me funciono suerte.. Ami me ah salvado de varias el restaurar sistema .