07
jul
08

eliminar troyano Recycler I parte introducción

saludos, hoy quiero comentarles uno de tantos troyanos, pero en especial este, que a mis compañeros les

comento algo en especial

digo que pasa que este troyano tiene algunas variantes y dependiendo de las variantes es como se debe de borrar :)

todas hacen uso de explorer , pero hay huellas en el pc que no esta de mas conocer

primero

*si sabes de este troyano es porque lo mas probable que tengas una unidad usb o palm o algo capaz de ingresar al pc y justo viste que te dejo eso llamado recicled

normalmente se ve en mp4 abrir y encontrar esa carpeta oculta

*pues le comento que hay un desconocimiento de muchos de este tema

les recomiendo que sigan al paso de la letra lo que dice un joven

http://cyberpunkkk.wordpress.com/2008/06/15/eliminar-el-virus-recycler/

eso bien, limpiaste el recicled, vas al usb y te infectas denuevo

lo borras y denuevo accediendo a borrarlo

vas a la universidad y vuelves denuevo con el mismo troyano y te preguntas porque te infectas..y porque te infectas

pues les comento que todo va en el autorun

primero, un autorun es un archivo de sistema, generalmente usado para presentaciones automaticas o instalaciones de programas de cd

y no todos los troyanos son el mismo recicled , pues hay algunos que contienen solo un exe autorun

un pdf con un escrito similar

http://www.itsteziutlan.edu.mx/pdfs/areas-ccomputo-seg-inf-recycler.pdf

http://blog.dahousecat.net/2006/12/19/virus-tipo-worm-kofcpwsvcs/
o bien uno se guia con consejos como

http://rai.informe.com/eliminar-troyanos-dt23.html

otra variante similar

http://www.laneros.com/printthread.php?t=96284

pero el mas comun es que sea el mismo de

http://www.mygeekside.com/?p=26

pero aqui dan un anti recicled :)

otro similar puede ser

http://www.webadictos.com.mx/tag/borrar-virus-recycler/

supongo que tambien sabe ingenieria inversa, pero nunca hemos hablado del tema

mas el recycled posee en su interior diversos troyanos de diferente accion

por ejemplo

no solamente puede ser ise puede ser los famosos Dc algo

C:\RECYCLER\S-1-5-21-1123561945-706699826-682003330-1003\Dc1.ex

http://www.forospyware.com/t1504.html

otra variante es la que se agrega en boot.ini

http://ar.answers.yahoo.com/question/index?qid=20070722135650AAo271x

para windows 98 millenium , sale mejor bajarse el norton

http://www.emule.us/foro/showthread.php?t=27463

dan 2 soluciones

cuchitin dice :
Gracias amigos, pero he encontrado una solucion en otro foro y que quiero compartir con vosotros, es la siguiente:

C:\RECYCLER es una carpeta oculta del sistema que se refiere a la papelera de reciclaje.

Pues bien,la forma de hacerlo,es la siguiente:
-Panel de Control—>Opciones de carpeta—>Ver
-En Configuración Avanzada:

–Marcar–Mostrar todos los archivos y carpetas ocultos
–Marcar–Mostrar con otro color los archivos NTFS o comprimidos o cifrados
–Marcar–Mostrar contenido de las carpetas del sistema.

–Desmarcar–Ocultar archivos protegidos del sistema
–Desmarcar–Ocultar las extensiones de archivo para tipos de archivo conocidos.

Una ves hecho esto,veremos la carpeta RECYCLER en C:\,al abrirla veremos la papelera de reciclaje,pero no se puede borrar nada,es solo para restaurar.

Entonces nos vamos al Norton Antivirus—–>Herramientas Avanzadas—>Wipe Info–>Edicion—>Buscar–>Archivos:

Buscamos C:\RECYCLER…….y eliminamos todo lo que hay en la Papelera .

Espero que os sirva a muchos

pero algunos diran como puedo ver realmente si mi recicled esta infectado denuevo o no

globalmente tenemos 1 recicler o 1 recicled en nuestro sistema

y cuando se ejecuta este troyano aveces encontraras que hay “2″

lo mas comun a usar es

rd \recycler /s

saliendo un mensaje algo asi

C:\Documents and Settings\Apuro>rd \recycler /s
\recycler, ¿Está seguro (S/N)? s

pero..no es la mejor forma de saber que troyano tenemos

aveces limpiamos los pendrives desde un linux cualquiera

ejemplo http://www.cristalab.com/foros/t56454.html

pero mi mejor detector de esto es winrar, pues podemos comprimir el recycler y ver los archivos en el interior sin problemas

pero como somos originales :) eso dicen de los crackers daremos un poco mas de info al respecto

le recomiendo identificarlos con winrar y de paso desabilitar los archivos ocultos, ya escribire como hacer esto algunos se preguntaran como es eso?

pasa que al cerrar el explorer y quitar el recicled, hay variantes que con solo borrar un archivo se autoejecuta el troyano y te infectas o bien el mismo antivirus avast por ejemplo reconoce que esta apareciendo y te lo borra muchas veces aburriendote del cartelito

primero que nada les comento que es posible quitar cualquier troyano hasta los que estan hecho con poison ivy , yo ya practique con  mi amigo chatiel y se borro con exito :)

pero eso sera para otro dia

hay veces que troyanos dejan el camino abierto para otros o bien maldades del pc hacen llegar a esto

por el momento para desocultar los archivos ocultos

yo uso de preferencia el anti sxs, pues aveces quita algunos restos de algun troyano, inclusive los dificiles , que no se tiene conocimiento

pocas veces he escrito de troyanos , pero este recicled necesita una hoja mas :)

por el momento mientras edito, dejo a mano algun link util, por ejemplo

http://volaverunt.wordpress.com/2008/04/14/desocultar-archivos-ocultos-y-de-sistema-en-windows

aveces puede ser uso de ramas de regedit en superhidden o bien como bien puede ser alguna maldad

por ello sirven globalmente el antisxs y el antiamvo

http://volaverunt.wordpress.com/2008/05/03/opciones-de-carpeta/

pero aveces el antimvo puede desconfigurar el pc un poco mas que el mismo que estoy hablando

uno despues con el tiempo no sabe nisiquiera como explicar que es recycler y system volume information

asi que explicandole en palabras sensillas, pues el contenido de systemvolume information es la que posee los archivos de recuperacion de archivos en tu pc, como bien se conoce el famoso “restaurar el sistema”

pues realmente ahi se guarda eso

http://www.raymond.cc/blog/archives/2007/11/08/about-recycler-and-system-volume-information-folder-in-xp-and-vista/es/

ahora bien hay 2 temas mas que es importante saber,

puede que este siendo ocupado en el momento que estes borrando, por eso existen utilidades como fileassasain, o bien unlocker etc

pero aveces como bien decian eso de info 2 es ilegible

pues dejenme decirle que por muy bien encryptado siempre hay soluciones

lean este escrito y veran que existen cosas que lo pueden leer

http://www.raymond.cc/blog/archives/2007/12/27/what-is-info2-file-hidden-in-recycled-or-recycler-folder/es/

pero algunos se preguntaran, porque es tan compatible el troyano

pues algo sale al respecto, con referencia a SID

http://support.microsoft.com/kb/187122/es

en lo que respecta a activar las opciones de carpeta va tambien relacionado a regedit, y si tienes un troyano cualquiera, pues no podras agregar la rama de regedit, si tienes el registro bloqueado

para eso te sugiero los anti sxs y similares

por lo tanto para continuar con el escrito les comento algunas referencias de lo que realmente hace este troyano recicled, que cosas instala y que cosas agrega y como se debe quitar del pc estan explicado por otras personas, mas desde el ollydbg es diferente el tema

*me dare el tiempo de leer escritos y analizar el mismo troyano que estamos hablando, cuando me llegue denuevo, pero primero quiero explicar que desabilitando el autorun de regedit es re simple borrarlo ya que el menu personalizado del pendrive sera sacado

y saludos a mis compañeros que leeran despues esto si lo quieren quitar :)

en cuanto a consecuencias normales de troyanos es encontrar que envia mensajes, hay un antivirus que posee una buena busqueda en profundidad, para quienes no sepan que existe eso, pues se los digo tambien

http://forum.bitdefender.com/index.php?showtopic=2229

*guia en edicion, aun me falta colocar mucho mas, esto solo es el comienzo

lo dejo por mientras como apunte

About these ads

0 Responses to “eliminar troyano Recycler I parte introducción”



  1. Dejar un comentario

Deja un comentario

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


julio 2008
L M X J V S D
« jun   ago »
 123456
78910111213
14151617181920
21222324252627
28293031  

Blog Stats

  • 50,019 hits

Posts Más Vistos

Top Clicks

Comentarios recientes

apuromafo on noticia infeccion por medio de…
jcsubiros on noticia infeccion por medio de…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: