Seguridad en Windows XP (Prevenir virus de Pendriver) Para prevenirnos de los virus RECYCLER que se cargan una vez que

conectas el pendriver en la pc. Lo primero que debes hacer es desabilitar la reproduccion automatica. Ejecutar gpedit.msc Configuracion de Usuario/ Plantillas Administrativas / Sistema / Desactivar Reproduccion Automatica. en este ultimo precionar boton derecho del Mouse y ir a propiedades. Seleccionar Habilitar y luego abajo seleccionar todads las unidades. Esto evita que el autoinfo se ejecute en nuestro equipo. Lo que debemos ver son los archivos ocultos para poder ver estos archivos. El mismo se encuentra en opciones de carpeta. Como prevenir la ejecucion del mismo: Nunca doble click sobre el icono del pendriver siempre boton derecho y explorar nunca abrir (si usamos el abrir o el doble click que es lo mismo se carga el autoinfo que en realidad es lo que nos infectaria la maquina) Si estamos infectado, una de las cosas que debemos hacer es eliminarlo en forma manual, para hacerlo debemos cambiarle los atributos. Como lo hacemos ejecutamos cmd c:\Documents and Settings\Usuario>cd.. c:\Documents and Settings>cd.. c:\attrib -a -s -r -h recycler de esta forma podemos ver la carpeta que se encuentra en el c:\ tenemos que tener en cuenta que si tenemos mas de una particion tambien estaran infectadas por tal motivo utilizamos el mismo comando para verlo y eliminarlo. Eje. d:\attrib -a -s -r -h recycler

Ultimamente a muchas personas que conozco he visto que tienen un virus llamado Recycler en sus memorias USB, este virus trata de engaar al usuario hacindole creer que es una carpeta de la papelera de reciclaje que para empezar no se llama recycler sino recicler con i latina, y bueno para limpiar (vacunar) tu memoria USB o disco duro extraible y para evitar que este virus infecte a tu PC aqu te digo como eliminar el virus Recycler de manera manual Abre el smbolo del sistema, para esto entra al men inicio -> ejecutar y escribe cmd y presiona Enter. Despus finaliza el proceso del explorer.exe para esto dentro del smbolo del sistema escribe los siguientes comandos: taskkill /f /im explorer.exe Entra a la carpeta Recycler escribiendo el comando: cd \Recycler Cambia los artibutos de slo lectura de la carpeta \S-1-5-21-1482476501-1644491937682003330-1013\ escribiendo el siguiente comando: attrib -h -r -s S-1-5-21-14824765011644491937-682003330-1013 Cambia el nombre a la carpeta para que el virus no pueda acceder, escribe el siguiente comando: ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa Ahora vuelve a iniciar el proceso del explorador escribiendo el siguiente comando explorer.exe. Ahora s desde el Explorador de Windows entra a la carpeta Recycler y ah dentro encontrars una carpeta con el nombre aaaaaa. Si entras a esa carpeta vers unos archivos con los nombres: ise.exe, isee.exe y desktop.ini, no lo abras, lo que debes hacer el eliminar estos archivos. Finalmente limpia la ruta del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Component

Este virus, se propaga por medio de las memorias USB creando en su interior una carpeta de nombre Recycler y dentro de la misma genera una carpeta con nombre: S-1-5-21-14824765011644491937-682003330 que guarda en su interior un archivo de nombre Desktop.ini El archivo Desktop.ini contiene una linea de comando: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002 Esta hace referencia a la Papelera de Reciclaje, de tal manera que cuando queremos ver que existe dentro de la carpeta S-1-5-21-1482476501-1644491937-682003330 se abre la Papelera de Reciclaje, ocultndonos los verdaderos archivos en su interior, los cuales son la fuente del virus, estos archivos son ise.exe y isee.exe Este virus al igual que muchos se ejecuta al inicio de Windows, adems de crear una archivo Autorun en todas las unidades asegurndose as su prxima ejecucin. ================ VIA MANUAL ============================= Va MyGeekSide.com he podido hallar dos soluciones, una manual y otra automtica para eliminar este virus, los pasos a seguir para la solucin manual se detallan a continuacin segn lo escrito por el autor: 1.- Abrir la consola de comandos (Inicio> Ejecutar > cmd.exe) 2.- Finalizar el proceso del explorador (explorer.exe): taskkill /f /im explorer.exe 3.- Tipear: cd \Recycler 4.- Quitar los atributos de la carpeta S-1-5-21-1482476501-1644491937-682003330 con el siguiente comando: attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330 Mucho ojo con este paso porque hay variaciones en cuanto a los nmeros dependiendo de cada caso, es decir, si este no funciona corrobora el nmero de la carpeta recycler que tienes en tu pc, por ejemplo en mi PC esta con este nmero: S-1-5-21-1123561945-412668190-839522115- 5.- Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus: ren S-1-5-21-1482476501-1644491937-682003330 aaaaaa Donde:

ren: comando que indica cambiar el nombre de la carpeta por otro. S-1-5-21-1482476501-1644491937-6820033 carpeta a cambiar el nombre. aaaaaa: nuevo nombre que se desea obtener. 6.- Abrir el explorador de Windows (Inicio> Ejecutar): explorer.exe. 7.- Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro en: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Setup\Installed Components\ {08B0E5C0-4FCB-11CF-AAX5-9040 StubPath = C:RECYCLERS-1-5-21-1482476501-164449193 Para eliminar el virus de forma automtica descarga el siguiente archivo (MataRecycler) y ejectalo en el PC infectado. En algunos casos la carpeta Recycler no sera eliminada pero eso no significara que tu PC siga infectado por el virus, puedes eliminar la carpeta Recycler manualmente con previo uso del MataRecycler. http://www.mediafire.com/?ygwz0a2gm9g 0 LA ALTERNATIVA : http://www.box.net/shared/z3ykdnfocc G === ======= ======= ======= ================= =========== Otra alternativa : Descripcin rpida Esta herramienta comprueba si en el equipo hay infecciones por software malintencionado especfico y predominante (como Blaster, Sasser y Mydoom) y ayuda a quitarlas, si se detecta alguna. Microsoft publicar una versin actualizada de esta herramienta el segundo martes de cada mes. http://www.microsoft.com/downloads/detai ============== Otra alternativa es; Antivirus Online : de estar seguro si esta o no infectado y posiblemente le permita la eliminacin de toda clase virus. http://www.zonavirus.com/antivirus-on-li

Fuente(s):
SURGIERO QUE POSTERIOR A SU ELIMINACION ; MEJORE SU SISTEMA DE VIGILANCIA Y PROTECCION CON: Antivirus, Microsoft Security Essentials aporta poco al panorama actual: cuenta con un buen motor de proteccin en tiempo real, actualizaciones automticas gratuitas, un historial de eventos, un programador de tareas y cuarentena de ficheros. http://microsoft-security-essentials.sof 2. Avira AntiVir Personal 9.0.0.14 (2000/XP/Vista) Ante el creciente nmero de virus que pueden infectar tu PC y provocar prdida de datos e incluso obligarte a reinstalar todo el sistema, lo mejor es estar bien protegido. Avira AntiVir Personal es un completo antivirus capaz de detectar y eliminar todo tipo de virus, incluyendo los de macro, rootkits y troyanos http://avira-antivir-personal.softonic.c 3. El antivirus ThreatFire le protege cuando otros no pueden hacerlo : http://www.threatfire.com/es/ Suerte y mis salud2s cordiales. No mas virus, no mas hack, no mas troyanos, no mas crack . Todo puede ser mas saludable y estable ,con buena funcionalidad de su sistema si es que existe una buena proteccin , ligera , con actualizacin y escaneo automtico + free licencia .

Eliminar el virus RECYCLER, herramientas para borrarlo y restaurar los daos al sistema.
El virus Recycler, caractersticas, forma de propagacin, daos que ocasiona en nuestro sistema, precauciones para prevenir la infeccin por este y otros programas malignos, mtodos de eliminarlo y restaurar las modificaciones hechas al sistema operativo.

Recycler es un virus que toma su nombre debido a que una de las primeras seales de alarma que aparecen en la PC es un mensaje del sistema que indica, "Recycler.exe ha detectado un problema y debe cerrarse". Este virus se aprovecha de la funcin de ejecucin automtica de Windows para propagarse de un disco a otro. El modo de infeccin tpico son los dispositivos USB como discos duros extrables y las memorias USB. Cuando un usuario inserta un dispositivo USB en la computadora la funcin de ejecucin automtica se activa y vuelve a escribir el archivo autorun.inf, copia el ejecutable Recycler.exe al dispositivo, y oculta las carpetas donde reside. Su objetivo es secuestrar el navegador web para redirigirlo al usuario a sitios con software malicioso. Una vez instalado, abre una puerta trasera en el equipo que permite el acceso de forma inadvertida a otros malwares para el robo de datos personales. Lee sobre la nueva actualizacin del virus RECYCLER.

Caracteristicas del virus Recycler.

Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras

creando una carpeta Recycler y dentro de ella otra carpeta con el nombre S-1-5-211482476501-1644491937-682003330-1013 y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una lnea: [.ShellClassInfo] CLSID={645FF040-5081-101B9F08-00AA002F954E} que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe y isee.exe. Su forma de autoejecutarse es a cada inicio de Windows. Si lo buscas en el MSCONFIG no lo encontrars, lo que hace para poder iniciarse con el sistema es crear una entrada en el registro en la siguiente ruta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512} StubPath = "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe" y crea un archivo autorun en todas la unidades ya sean fsicas o removibles para asegurar su reproduccin.

Daos que ocasiona el virus Recycler al sistema.

Al igual que muchos otros virus, en primer lugar va a ocupar algunos recursos del sistema cuando se activa y por lo tanto el equipo funciona muy lento y es fcil que se congele. Modifica archivos del sistema para protegerse e impedir que el usuario se de cuenta de su existencia. Al abrir puertos debilita la seguridad del sistema convirtindonos en blancos de diversos virus y programas malignos que pululan en la red. El virus Recycler es utilizado por otros programas maliciosos, lo que generar un montn de alertas de seguridad falsas, publicidad u otras molestas ventanas pop-up.

Como eliminar el virus Recycler.

Los dos archivos batch a continuacin estn hechos y son totalmente efectivos para eliminar el virus Recycler de tu sistema, se explica en los dos casos todos los pasos a seguir, descrgalos, descomprmelos y solo despus ejectalos. Archivo batch para eliminar el virus RECYCLER

Archivo batch para eliminar el virus RECYCLER

Nueva versin de RECYCLER se expande rpidamente.

Recientemente ha surgido y se expande rpidamente una nueva versin del virus RECYCLER, algo diferente aunque se mantiene su principal va de propagacin que son los populares dispositivos USB. Es fcil de detectarlo en las memorias flash u otros dispositivo en los que se encuentra, si se tiene activada la opcin de ver las carpetas ocultas. Crea en ellos una carpeta nombrada: RECYCLER\ y en su interior encontrars el ejecutable: b845ef76.exe y el clsico archivo al igual que las versiones anteriores: Desktop.ini. El virus una de las primeras acciones que realiza, es convertir las carpetas en acceso directos, que al tratar de abrirlos har que el virus penetre a el sistema.

Modificaciones que hace en el sistema el virus RECYCLER.

%userprofile%\AppData\Roaming\Lsfqfb.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Lsfqfb

Como eliminar RECYCLER de una memoria flash u otro dispositivo USB.

Si usas Windows 7 y no ejecutas ningn acceso directo no te infestars, ya que este sistema tiene totalmente deshabilitada la reproduccin automtica en las unidades extrables, si es as puedes eliminar fcilmente el virus del dispositivo flash donde se encuentre. Para eso descarga el siguiente archivo batch, descomprmelo entonces solo arrastra del explorador la unidad que contiene el virus encima del archivo QUITAR-RECYCLER que descomprimiste y sultala. Con eso bastar.

Descarga QUITAR-RECYCLER

Cpmo eliminar el virus RECYCLER del sistema.

En pruebas recientemente hechas, gran parte de los antivirus no detect la nueva versin de RECYCLER, solo lo identific como una herramienta de cdigo malintencionado, el

reciente Microsoft Security Essentials y lo elimin completamente. Lee ms sobre el antivirus Security Essentials en: Antivirus gratis cuales utilizar. Comparaciones. Te ser til si no utilizas Windows7, deshabilitar la reproduccin automtica en las unidades extrables, es decir en los dispositivos USB, con el objetivo de prevenir infestar tu equipo con RECYCLER, para eso descarga la clave necesaria en la siguiente pgina de este sitio: Configurar el autorun o reproduccin automtica en las unidades.

Medidas a seguir despus de desinfectar el sistema.

En este como en cualquier otro caso de desinfeccin por malware se recomienda seguir las siguientes medidas:
1- Eliminar los archivos temporales de Windows y los archivos temporales de Internet Explorer, para eso descarga el siguiente archivo batch y ejectalo Archivo batch para eliminar temporales 2- Si usas otro navegador web elimina todos los datos de navegacin, incluyendo el historial, la cache y las cookies. 3- Reemplaza el archivo hosts.

Finalmente visita la siguiente pgina donde encontraras todas las herramientas y recursos necesarios para reparar y restaurar los daos causados al sistema operativo por las infecciones de virus.

Reparar y restaurar los daos causados por infecciones de virus en Windows.

Por ltimo est a tu disposicin un archivo batch que analiza los dispositivos USB en busca del Recycler y lo elimina, utilzalo antes de conectar cualquier dispositivo USB a la computadora. Archivo batch para revisar memorias USB y eliminar el virus RECYCLER

Reparar y restaurar los daos causados por infecciones de virus en Windows.

Despus de haber desinfestado el sistema y haber eliminado virus y otros malware, ya sea con tu antivirus o mediante un servicio en la red, comprobaras que diversas funcionalidades de Windows no trabajan ms, esto es algo habitual, son los llamados efectos secundarios de los virus, ya que todos los programas malignos de una forma u otra efectan modificaciones en nuestro registro y archivos de sistema, con el objetivos de tratar de pasar desapercibidos y al mismo tiempo protegerse de la eliminacin manual por el usuario afectado. Los programas antivirus no son la solucin para restaurar estos daos, ellos son diseados solo para detectar y eliminar virus, en las manos del usuario queda buscar la solucin para reparar estos efectos, para muchos la nica es reinstalar el sistema operativo, pero es completamente innecesario, sigue leyendo y conocers como recuperar y restaurar toda tu configuracin al estado predeterminado de Windows.
Sumario Restaurar y habilitar Opciones de carpeta. Restaurar la edicin del Registro. Restaurar el Administrador de tareas. Restaurar el acceso a Configuracin del sistema (MSCONFIG) Restaurar el archivo hosts. Reinstalar el protocolo TCP/IP Restablecer el catlogo de Winsock. Restablecer los servidores DNS.

Restaurar funcionalidades de Windows afectadas por virus informticos.

Restaurar y habilitar Opciones de carpeta.
Opciones de carpeta es comnmente deshabilitado ya que es una especie de Panel de control en el que se puede entre otras opciones activar Ver los archivos ocultos y los archivos de sistema, sin este recurso el usuario est totalmente imposibilitado de ver ningn archivo ni carpeta creada por los virus en el sistema. Opciones de carpeta se puede encontrar en el Panel de control y tambin se puede abrir en el men Herramientas desde cualquier ventana del explorador, otro mtodo, pega o escribe en el comando Ejecutar: control folders y oprime Enter. Para restaurar de forma automtica esta funcionalidad, mtodo aconsejado para los usuarios con menos experiencia accede a la siguiente pgina:

Restaurar online Opciones de carpeta.

Con este mtodo tendrs tambin la opcin de mostrar los archivos ocultos y de sistema.

Restaurar la edicin del Registro.

Si utilizas Regedit para realizar cambios en el registro y este ha sido deshabilitado, restaura manualmente la edicin del registro. Para eso copia el siguiente cdigo y pgalo en Ejecutar o en Inicio:
REG add HKCU\Softw are\Microsoft\Window s\CurrentVersion\Policies\System /v Dis

Despus accede al editor del registro, si existe el valor "DisableRegedit" en las siguientes claves, cambia su valor por 0 o elimnalo. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Restaurar el Administrador de tareas.

Muchos virus deshabilitan el Administrador de tareas (Control+Shift+Escape), la razn es que esta herramienta permite en su pestaa Procesos identificar y terminar el proceso que mantiene ejecutndose el virus. Para habilitar el Administrador de tareas descarga la siguiente clave del registro, descomprime el archivo y ejectala.

Descargar clave para restaurar el Administrador de tareas

Para restaurar manualmente el Administrador de tareas haz lo siguiente: Accede a la siguiente clave del registro: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Buscar un valor de nombre "DisableTaskMgr", si el valor es 1 es porque est deshabilitado, establecerlo en 0 o eliminar el valor.

Restaurar el acceso a Configuracin del sistema (MSCONFIG)

La herramienta Configuracin del sistema, la que se accede escribiendo en Inicio MSCONFIG y oprimiendo la tecla Enter, permite entre otras cosas administrar que aplicaciones se inician con Windows, su acceso por razones obvias es deshabilitado por muchos virus. Para restaurarlo haz lo siguiente. Accede al editor del registro, si existe el valor "DisableMsConfig" en las siguientes claves, cambia su valor por 0 o elimnalo. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableMsConfig=1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableMsConfig=1 En las siguientes claves es posible encontrar los siguientes valores "NoRun", "NoDesktop", "NoControlPanel" que deshabilitan en ese orden "Ejecutar", "Escritorio" y "Panel de control", puedes eliminar los valores. HKCU \Software\Microsoft\Windows\Current Version\Policies\Explorer HKLM \Software\Microsoft\Windows\Current Version\Policies\Explorer La consola de CMD se deshabilita mediante el valor "DisableCMD" en la clave: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

Restaurar valores en las configuraciones de red afectadas por virus informticos.

Despus de realizar la desinfeccin con cualquier antivirus o anti spyware es muy comn quedarse sin conexin a internet u otra red, para restaurar los valores de tu configuracin de red utiliza los siguientes mtodos.

Restaurar el archivo hosts.

Primera medida que debes de adoptar. El archivo hosts es un pequeo archivo utilizado para almacenar la relacin que existe entre nombres de dominio/direccin IP en nuestro sistema

operativo, funciona como una especie de servidor DNS minsculo. Cualquier programa maligno que nos afecte, que entre sus objetivos se encuentre re direccionar nuestra navegacin hacia un sitio web determinado, escribir los datos necesarios en este archivo. Puedes encontrarlo en la siguiente ruta: C:\Windows\System32\drivers\etc\hosts Los programas antivirus al desinfectar el sistema eliminan los archivos propio de los virus pero no restauran los daos ocasionados por ellos, por lo que el archivo host continuara modificado y redirigiendo nuestra navegacin, aun despus de vernos libre de la infeccin, por lo que es aconsejado sustituirlo por uno con la configuracin predeterminada al notar cualquier cambio extrao al navegar en internet.

Como sustituir el archivo hosts.

Para sustituir el archivo hosts por uno con la configuracin predeterminada de Windows, descarga el siguiente archivo batch, descomprmelo y ejectalo.

Archivo batch para reemplazar el archivo hosts

Reinstalar el protocolo TCP/IP.

TCP/IP es un componente principal de Windows, no puedes desinstalarlo pero si restaurarlo a su estado inicial. Para eso escribe en el comando Ejecutar y oprime Enter: En Windows XP: netsh int ip reset resetlog.txt En Vista-7: NETSH INTERFACE IPV4 RESET Reinicia el equipo. Utiliza el siguiente archivo batch si usas Windows 7

Archivo batch para reinstalar el protocolo TCP/IP

Restablecer el catlogo de Winsock.

Para eso escribe en el comando Ejecutar y oprime Enter: NETSH WINSOCK RESET Utiliza el siguiente archivo batch si usas Windows 7

Archivo batch para restablecer el catlogo de Winsock

Restablecer los servidores DNS.

Algunos virus como Wareout modifican las entradas correspondientes a los servidores DNS con el objetivo de redireccionar nuestro navegador a servidores empleados para sus propsitos llenos de malware, sitios como los siguientes:
wordsea.com oldhetaira.com 10-top.com robogold.biz rpicamps.com mov-x-archive.com search.net freewirelessworld.com camouflageclothingonline.net up-search.com cosavista.net weddingcamerasplace.com casinocaesar.com encyclopedia.thefreedictionary.com

Si tienes instalado algunos de los siguientes programas desinstlalos inmediatamente: WareOut, UnSpyPC, KillAndClean Posteriormente es aconsejado comprobar que tenemos los DNS asignados por nuestro proveedor de acceso a internet, si no sabes cuales son, puedes establecer servidores DNS totalmente seguros como los de Google u OpenDNS. Para eso accede a la siguiente pgina, en la que podrs establecer en la configuracin de red de tu equipo, con solo seleccionar un vnculo, los servidores DNS de Google o los de OpenDNS, los dos son absolutamente seguros. Utilizan las siguientes direcciones IP. Servidores DNS de Google: 8.8.8.8 y 8.8.4.4 Servidores DNS OpenDNS: 208.67.222.222 y 208.67.220.220 Configurar los servidores DNS.