Virus que oculta archivos y crea exe

Publicado en 'Seguridad Informática' por CrisBlinD, 20 Ago 2012.





  1. CrisBlinD

    CrisBlinD Miembro maestro

    Registro:
    2 Mar 2011
    Mensajes:
    948
    Likes:
    118




    Hola amigos, pues tengo un problema, mi pc se infecto a pesar de tener malwarebytes y nod32 Ver4, uso win7 64 bits, pues como veran fui a una cabina y use mi usb para llevar archivos y no me imaginaba que se infectaria, mi pc no cuenta con internet por lo que no esta actualizado mi base de datos de mi antivirus y de mi malware, lo que hace el bicho es que mis archivos o carpetas de mi usb los oculta y crea otros iguales pero con extencion exe, al tratar de visualizar mis archivos ocultos y de sistema no me deja ver los de sistemas pero solo me deja ver los ocultos, y no se como eliminarlos pues al parecer ya infecto mi pc, pude recuperar mis archivos ocultos pero siguen ocultos, les trato de dar click derecho, opciones, descativar el casillero de oculto pero este esta bloqueado, asi que no me deja desocultarlos, a parte me fije que en los procesos de administrador de tareas me sale un programa llamado posow.exe, pues me parecio extraño este proceso pues no lo habia visto, la cuestion es que al finalizarle tarea puedo mostrar archivos del sistema sin problemas, pero el problema es que cuando reinicio carga el programa extraño este, ademas de que cuando meto un usb formateado y limpio este se infecta con el bicho, porfavor necesito ayuda de que programas necesito para eliminarlo sin formatear mi disco duro. :cray:
     
    Última edición: 20 Ago 2012


  2. deimos

    deimos Miembro de plata

    Registro:
    8 May 2011
    Mensajes:
    2,627
    Likes:
    1,097
    Actualiza tu antivirus con tu USB. Entra a Windows en modo seguro y pasa el antivirus otra vez. Si quieres modificar las propiedades de un archivo puedes intentar con un Live de Linux...
     
  3. ascasoft

    ascasoft Miembro maestro

    Registro:
    8 Feb 2011
    Mensajes:
    538
    Likes:
    83
    ay una herramienta de eliminacion de virus Avmo buscalo en internet es como un bat que mata al virus y luego lo modifica activando todo lo que estaba oculto
     
  4. CrisBlinD

    CrisBlinD Miembro maestro

    Registro:
    2 Mar 2011
    Mensajes:
    948
    Likes:
    118
    si lo tengo y nada, alguna otra sugerencia?
     
  5. diego2012

    diego2012 Miembro maestro

    Registro:
    9 Jul 2012
    Mensajes:
    500
    Likes:
    74
  6. Marlop

    Marlop Miembro de bronce

    Registro:
    23 Jul 2007
    Mensajes:
    2,082
    Likes:
    280
    sera el conocido recycler hubieses modificado tu autorun de tu usb pa ke no se te copie el virus
     
  7. KamiOh

    KamiOh Miembro maestro

    Registro:
    31 Jul 2008
    Mensajes:
    365
    Likes:
    138
    Si tiene Malwarebytes desactualizado y no tienes internet para actualizarlo.
    Anda a un cabina y descargate al ultima versión, sus firmas están mas actualizadas -pero no al dia-. esta al versión actual de firmas, actualizadas, con internet.
    [​IMG]

    Una vez instalada, inicia windows 7 en modo seguro, si no sabes como.
    Reinicia tu PC y al iniciar presiona F8 varias veces y aparecerá un menú, selecciona MODO SEGURO y dale enter
    una vez iniciado windows ejecuta Malwarebytes y déjalo que trabaje.
    Imagino que detectara los bichos en tu PC eliminalos...
    si es así solo falta reparar los archivos ocultos en tu USB
    http://ldc.mx/usbshow.php
    Descarga y ejecuta esta herramienta y selecciona tu memoria (USB) para poder ver lo archivos ocultos en ella.
    [​IMG]

    Te recomiendo que vacunes tu USB :risota:
    http://www.mediafire.com/?ytz9njw1nzm

    [​IMG]
    Así es, también se vacunan, para evitar que los bichos de las pc's cabineras y/o otras
    Los bichos podrán entrar en tu USB pero no se ejecutaran cuando lo uses y así no
    infectara tu PC. la vacna creara una carpeta "AUTORUN" que no podras eliminar, no te
    preocupes es el parche que evita que lo "exe" se ejecuten automáticamente.
    -OJO-
    Vacuna solo tu USB
    Si vacunas tu PC, los autorun no funcionaran en tu PC
    es decir, los autorun que tienen lo CD's de juego y otras aplicaciones no correrán
    automáticamente, tu deberás hacerlo manualmente.

    Otra herramienta y este es un TIP
    es el siguiente: Todas las cabinas tiene instaladas WINRAR
    Ejecuta winrar y dale click a la flecha en la parte izquierda y dale varias veces clics
    hasta llegar a la "raíz" donde ves los discos de tu PC
    [​IMG]
    [​IMG]

    Ahora supongamos que el disco "LinuxLive Key {E:}" es mi USB
    entramos al "USB" y verán las carpetas y otros archivos, yo como dueño los reconozco.
    Pero si hay "exe" con nombres de carpeta y ejecutables con nombres raros,
    bueno es lógico pensar que el usb esta infectado, por lo tanto lo elimino, lo puedes hacer desde WINRAR,
    pero ten cuidado de eliminar la carpeta verdadera, porque no podrás recuperarla.
    y así puedes eliminar fácilmente los bichos en tu USB, si tanto antivirus ¬¬
    [​IMG]

    Esto es lo primero que hago, cuando uso una PC que no es la mía.
    Dichos malware, no son peligrosos, salvo excepciones que copian información valiosa
    de la PC al USB, pero para la usuario común y corriente es muy molestoso.¬¬
     
    Última edición: 20 Ago 2012
    A hagal le gustó este mensaje.
  8. CrisBlinD

    CrisBlinD Miembro maestro

    Registro:
    2 Mar 2011
    Mensajes:
    948
    Likes:
    118
    Bueno, analizando con un poco mas de cuidado pude dar con el desgraciado bicho, se llama posow.exe, al saber que procesos tenia en mi pc me di cuenta que este era un intruso, y pues precisamente cuando meto una memoria usb posow entra a la memoria y empieza a ocultar los archivos y a crear duplicados exe, a pesar de no tener actualizado mi nod32 y mi malware el bicho no pudo hacer mas daño, lo que hice fue entrar en administrador de tareas y finalizar el posow.exe ahora si se puede mostrar archivos ocultos por el sistema, entre en la carpeta donde esta alojado el bicho que es en documents settings/USUARIO, ahi esta el posow.exe, es un bloc de notas insignificante que pesa unos miserables kb, pero que es bien molesto con los usbs, dar click derecho y eliminar, listo, pc completamente limpio de nuevo, un susto terrible que me di, pero solucionado al final. para la gente que tienes este problema espero les ayude, los archivos del usb que han sido ocultos poe el bicho se puede restarurar con USB show, un programa ligero y eficiente que nos ayudara a recuperar nuestros archivos, asi que doy por solucionado este thread! :wow:
     
  9. djdavnia

    djdavnia Miembro maestro

    Registro:
    3 Dic 2011
    Mensajes:
    440
    Likes:
    84
    buena informacion crisblind osito
     
  10. CrisBlinD

    CrisBlinD Miembro maestro

    Registro:
    2 Mar 2011
    Mensajes:
    948
    Likes:
    118
    de nada preciosa! :yeah:
     
  11. xalphabetax

    xalphabetax Miembro maestro

    Registro:
    30 Oct 2009
    Mensajes:
    839
    Likes:
    91

    Si tienes el archivo posow.exe me lo puedes mandar, quiero probarlo en mi pc.
     
  12. CrisBlinD

    CrisBlinD Miembro maestro

    Registro:
    2 Mar 2011
    Mensajes:
    948
    Likes:
    118
    jaja que gracioso eres men, fue un dolor de webos y vas a pensar que tengo un backup, puedes visitar algunas cabinas de internet si puedes. :hi:
     
  13. xalphabetax

    xalphabetax Miembro maestro

    Registro:
    30 Oct 2009
    Mensajes:
    839
    Likes:
    91
    bueno tal vez quedo en la papelera de reciclaje
     
  14. PaulaMaite

    PaulaMaite Miembro frecuente

    Registro:
    22 Ago 2012
    Mensajes:
    93
    Likes:
    15
    Yo encontré un método en Internet muy fácil de usar y sin necesidad de antivirus.

    Primero tienes que eliminar todos esas carpetas con extensión .EXE

    Una vez los hayas eliminar solo suprimiendo tiene que realizar los siguientes paso:


    PASO 1:
    Ingresar tu USB a cualquier PC y una vez detectado tienes que ingresar a SÍMBOLOS DEL SISTEMA

    Como ingresar:

    INICIO/PROGRAMAS/ACCESORIOS/SÍMBOLOS DEL SISTEMA

    o un método mas fácil es INICIO/EJECUTAR
    y ingresar CMD enter y listo te carga una ventana de color negro.

    PASO 2:
    Dentro de esta ventana tiene que ingresar la letra del disco con la cual a sido detectado tu USB si es: H, F, I, etc (Esto depende de las particiones que tenga el disco)

    Esto lo averiguar ingresado al MI PC doble clic y te cargan todos los discos y los nombre de cada uno, FÍJATE QUE LETRA TIENE TU USB

    Ahora dentro de la ventaba de SÍMBOLOS DEL SISTEMA tienes que ingresar la letra con la cual sale tu USB ejemplo:

    ----------------------------------------------------------
    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\USUARIO>H:
    ----------------------------------------------------------

    Escribes---> H:
    Luego das un ENTER para ingresar a tu USB
    H es la letra con la cual a sido identificado mi USB

    Ahora te debe aparecer de la siguiente forma:

    ----------------------------------------------------------
    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\USUARIO>H:
    H:\>
    ----------------------------------------------------------

    Si todo esta bien hasta ahora vas por buen camino.

    ULTIMO PASO 3:
    Dentro de mi misma ventana tienes que escribir después de

    H:\>ATTRIB -S -H /S /D

    Y das un enter.

    A continuación comenzara a habilitar tus carpetas para que puedan ser visibles, esperas hasta que termine y luego revisas tu USB desde el EXPLORER y veras que todas tus carpetas an sido restablecidas y son visibles.

    Ese virus desgraciado me metió en la sociedad de auditoria donde laboro e infecto todos los USBs, pero gracias a este método pudimos solucionar este problema.

    Saludos y espero que te sea de mucha ayuda. :biggrin:
     
  15. chillinfart

    chillinfart Miembro de oro

    Registro:
    23 Ene 2011
    Mensajes:
    6,402
    Likes:
    2,220
    Es Windows 7, cuidado con el modo seguro porque algunos bichos siguen vivos en él (ya me pasó). Aun así, es la única forma como puedes resolver este problema manualmente.

    Quitar esta clase de bichos es como quitar pulgas a un perro una por una, por lo que te recomendaría que consigas un disco de emergencia como el Hiren´s Boot CD y uses un antivirus desde él, si no tienes experiencia en esto.

    Lo digo porque hacer esto manualmente es algo jodido. Lo que te han mencionado es solo para ver las carpetas, no para matar el bicho. Si quieres asumir el riesgo, sigue leyendo.

    Para eso debes saber qué bichitos tienes en el usb y si está corriendo en memoria, fijate en el admin. de tareas (CTRL + ALT + DEL, 1 sola vez) si hay programas sospechosos. Usualmente se disfrazan de archivos de sistema pero con cambios en la letra (ej, runonce.exe ->runouce.exe), nombres raros (kbsffgthg.exe) o hasta se hacen pasar por drivers de video (nwin.exe de Nvidia o CCC.exe de AMD).

    Generalmente se ocultan en la carpeta Datos de Programa (dentro del directorio Users y de tu usuario, es carpeta oculta), el directorio de windows (X:\windows), el directorio raiz de los discos duros (X: ) o alguna carpeta temporal. Intenta borrarlos manualmente y de pasada, revisa en el msconfig (tecla de windows +R para abrir la caja de ejecutar) y en la carpeta inicio desmárcalos del arranque de windows. Reinicia y prueba.
     
    Última edición: 28 Ago 2012
  16. royer86

    royer86 Miembro maestro

    Registro:
    8 Jul 2009
    Mensajes:
    360
    Likes:
    37
    a mi me pasa eso pero en el celular alguna solucion, ya q no la encuentro
     
  17. xalphabetax

    xalphabetax Miembro maestro

    Registro:
    30 Oct 2009
    Mensajes:
    839
    Likes:
    91
    si te paso en el celular sigue los mismos pasos que para un usb, conecta tu celular con el cable pc a celular, de ahi lo reconocerá como una unidad de almacenamiento masivo ahi sigue los pasos como si se tratara de un usb.

    PaulaMaite
    Yo encontré un método en Internet muy fácil de usar y sin necesidad de antivirus.

    Primero tienes que eliminar todos esas carpetas con extensión .EXE

    Una vez los hayas eliminar solo suprimiendo tiene que realizar los siguientes paso:


    PASO 1:
    Ingresar tu USB a cualquier PC y una vez detectado tienes que ingresar a SÍMBOLOS DEL SISTEMA

    Como ingresar:

    INICIO/PROGRAMAS/ACCESORIOS/SÍMBOLOS DEL SISTEMA

    o un método mas fácil es INICIO/EJECUTAR
    y ingresar CMD enter y listo te carga una ventana de color negro.

    PASO 2:
    Dentro de esta ventana tiene que ingresar la letra del disco con la cual a sido detectado tu USB si es: H, F, I, etc (Esto depende de las particiones que tenga el disco)

    Esto lo averiguar ingresado al MI PC doble clic y te cargan todos los discos y los nombre de cada uno, FÍJATE QUE LETRA TIENE TU USB

    Ahora dentro de la ventaba de SÍMBOLOS DEL SISTEMA tienes que ingresar la letra con la cual sale tu USB ejemplo:

    ----------------------------------------------------------
    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\USUARIO>H:
    ----------------------------------------------------------

    Escribes---> H:
    Luego das un ENTER para ingresar a tu USB
    H es la letra con la cual a sido identificado mi USB

    Ahora te debe aparecer de la siguiente forma:

    ----------------------------------------------------------
    Microsoft Windows XP [Versión 5.1.2600]
    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\USUARIO>H:
    H:\>
    ----------------------------------------------------------

    Si todo esta bien hasta ahora vas por buen camino.

    ULTIMO PASO 3:
    Dentro de mi misma ventana tienes que escribir después de

    H:\>ATTRIB -S -H /S /D

    Y das un enter.

    A continuación comenzara a habilitar tus carpetas para que puedan ser visibles, esperas hasta que termine y luego revisas tu USB desde el EXPLORER y veras que todas tus carpetas an sido restablecidas y son visibles.

    Ese virus desgraciado me metió en la sociedad de auditoria donde laboro e infecto todos los USBs, pero gracias a este método pudimos solucionar este problema.

    Saludos y espero que te sea de mucha ayuda. :biggrin:
     
    Última edición: 30 Ene 2013
  18. CrisBlinD

    CrisBlinD Miembro maestro

    Registro:
    2 Mar 2011
    Mensajes:
    948
    Likes:
    118
    quisiera desviar un poco el tema, tengo un pequeño problema con mi correo de hotmail, lo mismo pasa con mis juegos en gfwl, como el dirt2 o el SSF IV AE, cuando abro mi correo y quiero entrar a alguno de ellos no llega a entrar, le tengo que dar de nuevo en la parte superior hotmail y ahi recien agarra, y en los juegos cuando inicia sesion automaticamente al entrar en una partida online se queda en cargando, y para constatar si sigo en linea me voy a mi gamertag y le doy en reputacion cuando se queda cargando es porque me desconecte de live, asi que tengo que cerrar sesion e iniciar de nuevo y ahi recien puedo entrar online, esto es de todos los dias, a alguien le pasa lo mismo? habra algun problema con los servers de microsoft o es problema de mi pc?
     
  19. Brocer

    Brocer Miembro nuevo

    Registro:
    31 Dic 2012
    Mensajes:
    2
    Likes:
    0
    Esos son los molestos troyaños que ocultan los archivos del U.S.B y crean unos fakes con extension .exe para reproducirse, lo malo que note es que se saltean la seguridad del nod y de otros AV pero a algunos AV como el Avast lo eliminan. lo que te recomiendo es que abras la consola de CMD y escribas lo sgte:

    attrib -s -h -r g:/*.* /s /d (pero la letra "g" que esta junto a los dos putos ":" lo cambias por la letra que tu PC le asigna a tu memoria, por ejemplo otras PC´s le dan "f,h" etc)...

    te recomiendo que te pongas avast que a mi parecer es mejor y de paso en su propia web te bajas las actualizaciones manuales ya que no tienes internet... saludos!.