Pequeña aplicación para eliminar el recycler

Video sobre cómo saber si tenemos USB infectado por RECYCLER u otros similares

Hace no mucho hice una entrada sobre un troyano que pululaba (y pulula) por nuestras salas de ordenadores y algunas memorias USB de sus usuarios. La tarea de eliminarlo la escribí en aquella entrada. Como el proceso es muy repetitivo  hicimos un pequeño archivo BAT para eliminarlo de manera automática. En principio, no habría más que descargarse el archivo borra_recycler.bat a la memoria USB y ejecutarlo. Este archivo para eliminar el troyano puede descargarse desde aquí. El archivo (de momento) queda así (en realidad luego añadí c: y copié todo para que después de borrar los archivos indeseables de la memoria USB también lo haga con la partición c: del disco duro del ordenador):

echo EJECUTABLE PARA ELIMINAR ALGUNOS RASTROS DEL RECYCLER echo QUE PULULAN POR ALGUNA DE LAS SALAS DE ORDENADORES echo la primera linea mata el proceso del explorador echo que es con quien se asocia hn.exe echo esto hace que se desaparezca el escritorio y ventanas abiertas taskkill /f /im explorer.exe echo las siguientes 3 lineas van al directorio de hn.exe cd \ cd recycler cd k-1-3542-4232123213-7676767-8888886 echo las siguientes 3 lineas quita atributos de oculto echo de sistema y solo lectura y borra los archivos attrib hn.exe -s -h -r attrib desktop.ini -s -h -r del hn.exe del desktop.ini echo las siguientes 3 lineas borra el directorio del recycler cd.. attrib -s -h -r k-1-3542-4232123213-7676767-8888886 rmdir k-1-3542-4232123213-7676767-8888886 echo a partir de aqui vamos al origen y borramos muchos ficheros echo que he comprobado suelen estar de vez en cuando cd .. attrib autorun.inf -s -h -r del autorun.inf attrib gy.exe -s -h -r del gy.exe attrib x2csvg.exe -s -h -r del x2csvg.exe attrib w98.com -s -h -r del w98.com attrib 8.bat -s -h -r del 8.bat attrib m2nl.bat -s -h -r del m2nl.bat attrib h3.bat -s -h -r del h3.bat attrib iqe68o.bat -s -h -r del iqe68o.bat attrib j60osk9.cmd -s -h -r del j60osk9.cmd attrib 6fnlpetd.exe -s -h -r del 6fnlpetd.exe attrib ncyrf.bat -s -h -r del ncyrf.bat echo finalmente volvemos a abrir explorer (las ventanas) explorer exit

Actualización (03-05-2009) Además de incorporar algún otro archivo ya comentado en otra entrada, ahora elimina el fichero olhrwef.exe y su clave de registro, pues me encontré con un caso en el que después de haber eliminado 0bcobed.exe, autorun.inf y el resto de archivos molestos, al reiniciar el equipo volvían a aparecer estos.

Las nuevas líneas que hacen esto son:

attrib -R -H -S “C:\windows\system32\olhrwef.exe” REG DELETE “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” /V cdoosoft /f

Encontré esta solución después de buscar sobre olhrwef.exe  y encontrarme esta fabulosa entrada sobre este particular.

Actualización (03-06-2009) Me encontré con un archivo vwewav8.com y un comportamiento anómalo del ordenador: al sacar la consola del símbolo del sistema no se veía el texto y el bloc de notas se situaba siempre al final del archivo que hubiera abierto. Añado un par de líneas para eliminar este archivo.

Actualización (12-06-2009) Me encontré estos archivos en la carpeta c:\windows\system32 con estos nombres: nmdfgds0.dll, nmdfgds1.dll, así que los incorporo para eliminarlos también.

Actualización (15-06-2009) Me encontré con un fichero eyt.exe y el internet explorer que se cerraba solo (y otros navegadores también). Lo eliminé y se eliminó (de momento) el problema, así que lo añado al fichero.

Actualización (15-09-2009) Me encontré con un fichero herss.exe que también tocaba el registro al igual que con olhrwef.exe, así que decido borrar esta línea del registro esté olhrwef.exe o no.

Actualización (26-09-2009) Me encontré con el virus fun.xls.exe. Con el método anterior (eliminar proceso de explorer, cambiar atributos y borrar) no era capaz de eliminarlo. Para hacerlo hay que eliminar otros procesos de la memoria: algsrvs.exe, msfun80.exe y msime82.exe. También escribe algunas claves en el registro que hay que modificar. En principio el archivo ya elimina este fun.xls.exe.

#recycler #troyano