SI CONOCEN ESTE VIRUS Y LES ESTA AFECTANDO
ACA ESTA LA SOLUCIÓN
Como han podido observar, actualmente hay infinidad de comunidades con la problematica que presenta este malware.. Es un virus de alta probabilidad de transmision y comunmente lo van a conseguir en dispositivos de almacenamiento USB si el mismo fue previamente introducido en una maquina infectada y manipulado de una mala forma..
Este post es personal, no es copiado de ningun sitio y es basado en conocimientos propios sobre el tema..
Comencemos…
Como usuarios de windows y fieles creyentes a lo que es el compresor winrar, no solo podemos darle uso al mismo para comprimir y descomprimir archivos… sino para ver archivos en su totalidad… Como múchos sabrán o talvez no, el winrar permite ver toda clase de archivo en cualquier directorio donde esté ubicada su ventana principal (al decir toda clase de archivos me estoy refiriendo tanto archivos ocultos, como archivos de sistema, entre otros) debemos tener en cuenta que muchos de estos archivos estan ocultos con una finalidad especifica “NO BORRARLOS” como pueden ser archivos de arranque del sistema operativo entre otros {comúnmente encontrados en la raiz del disco residente “C”}
Si son buenos conocedores de virus podrán eliminar sin problemas, a continuacion les dare 3 pistas especificas para reconocer archivos maliciosos:
1-. Tiene algun nombre extraño, tanto con numeros como con letras, y en alguno de los casos combinan caracteres (letras y numeros juntos)
2-. Su extension comúnmente es .bat o .exe, tambien se consiguen casos como el .com, pero a la final son ejecutables.
3-. Su peso es mÃnimo, unos cuantos KB.
Para no ser infectado por esta clase de malwares, recomiendo no abrir el dispositivo, (no explorarlo ni abrirlo con doble click desde mi pc) aunq ciertas veces la opcion explorar pueda ser util, es totalmente proporcional a la seguridad de un preservativo..
Antes de abrir cualquier dispositivo USB, abran el winrar, buscan la ruta del dispositivo y lo exploran desde el mismo winrar, mientras el virus no haya sido ejecutado pueden eliminarlo facilmente desde esa misma ventana.. si ya lo ejecutaron, recomendaria bootear algun sistema operativo booteable, explorar y eliminar los archivos infectados fuera del sistema operativo residente, pero eso lo explicaré en otro post mas adelante cuando me anime.
Vamos al grano..
Éste post se referirá al Trojan/Hidedoc, el cual corrompe archivos de ofimatica e incluso carpetas..
“¿Como Actua este malware?”
Pues sencillamente te hace una imagen visible de los documentos o carpetas que estan dentro de tu dispositivo de almacenamiento, la cual tendrá el mismo icono y atributos, solo que su extension cambiará a EXE.. he estado leyendo en varios sitios de seguridad y he dado que todos solucionan el asunto “pasando antivirus” señores… los antivirus son 0.00001% fiables… y ok supongamos que haga su trabajo, te elimino el virus, pero que hay de los documentos que tenias?, en cada uno de los post que vi, personas lograron eliminar el ejecutable pero nadie supo nunca donde estaban sus documentos.. lo que ellos no sabian es que sus documentos y carpetas estaban ahi, a plena vista (solo q no los podian ver)…
Ahora viene la parte buena.. en las siguientes imagenes ustedes verán como funciona la cosa…
Ahà vemos que aparece marcado el dispositivo de almacenamiento infectado desde el winrar
Directamente me fui a una carpeta y como podran observar, aparecen los documentos y abajo ordenados por formato estan los executables con exactamente el mismo icono y el mismo nombre, como imaginaron se deben seleccionar los ejecutables (EXE) y ser eliminados con click derecho-> eliminar o simplemente marcarlos y darle a la tecla suprimir.
Ahora en la siguiente imagen podrán observar que al eliminar los ejecutables infectados, desde el winrar podrán ver los documentos originales pero no podran verlos desde el explorador de windows, y tratar de verlos por la opcion “herramientas -> opciones de carpeta -> ver -> mostrar archivos y carpetas ocultos” es una perdida de tiempo porque no aparecerán..
Las opciones para resolver este asunto son las siguientes:
Opcion 1-. Desde el winrar, abrir los archivos uno por uno, y guardarlos en otro directorio con la opcion “guardar como” al guardarlos ya estaran sanos y salvo, pero hay que tomar en cuenta que esta opcion solo trabajara archivo por archivo, imagino que personas con este problema estan hablando de lotes de archivos, asi que se pueden saltar esta opcion y pasarse a la 2da.
Opcion 2-. Abren inicio -> Ejecutar -> Escriben “CMD” sin comillas y presionan enter, ahà se les mostrará la ventana del simbolo de sistema o MS-DOS, la cual siempre al iniciarse estará ubicada en el disco residente, en la mayoria de los casos el disco “C:”, aqui se deberá cambiar la ruta hacia el dispositivo, es decir si al conectar un pen driver nos dice que es el disco “I:” como es mi caso, deben escribir en la ventana “I:” y presionar enter (nuevamente es sin las comillas) cuando presionen enter, la ventana de simbolo del sistema cambiará a la ruta de ese dispositivo y es aqui donde vamos a quitarle los atributos de oculto a los archivos…
Debemos escribir lo siguiente:
attrib -h -r -s *.* /s /d
Ya teniendolo escrito en la consola presionamos enter, este comando cambiara los atributos a todos los archivos que estan dentro de el dispositivo en el cual este posicionada la consola y con esto resolverémos el asunto de no poder ver mas nuestros archivos anteriormente IN-VISIBLES xD (partiendo desde la ruta de raiz hasta lo mas interno)
Espero les sirva de ayuda este post…
.-D4rkG-.
10/07/2009
Si disfrutaste nuestro artÃculo, siéntete libre de suscribirte a nuestro feed rss
Amen =).. es satisfactorio saber que se logra ayudar.. estoy a la orden por cualquier problema..
Estas seguro que eliminaste todo ejecutable con dicho virus? recuerda que no solo puede convertir documentos sino carpetas.. desde el winrar puedes ver extensiones, si en dicha ruta todas aparecen como ejecutables o especificamente “.exe” y no sea un instalador de algun programa conocido, entoncs eliminalo porque esa es la razon que te mantiene tu malware activo
No hay de que.. =)
Pues a mi experiencia, sinceramente he visto que uno de los mejores comportamientos de antivirus se ve en el “Eset” en la version 4, o en el nuevo antivirus de microsoft “Security Essentials”, pero a mi criterio, nuevamente opino que ningun antivirus es confiable..
No hay de que =)..
Muchas gracias..
Muchas gracias por este tuto en verdad es genial
D4rkG Muchas Gracias por su excelente Tutorial, despues de haber navegado en infinidad de foros con las mismas respuestas genericas, encontre la solucion especifica en este Post, hubo un “brote” de este virus en el lab de mi facultad, hoy se recuperaron cientos de archivos vitales y entendimos de que va este virus gracias a usted. 100/10 Keep Up The Good Work!
Siempre para ayudarles.. en realidad es un funcionamiento sencillo pero no esperado.. aprecio tus agradecimiento..
Muchas gracias. excelentemente explicado. Te debemos una.
No hay de q amigo..
perdon, amiga?? no leà el nombre antes de responder xD.. feliz dia..
Grasias man, fue de mucha ayuda
mi consejo es q salves la informacion cmo t describe el pana q hizo el tutorial (felicitaciones x ese tutorial) y despues le pases un antiviruz y el te elimina el viruz cmo tal.. ya q yo tenia el mismo problema y lo q hize fue recuperar mis archivos y le pase un antiviruz y m quito el viruz..
Exelente aporte de conocimientos… Los que ya lo saben pues un dia lo tuvieron que aprender, ahora los que no lo sabiamos te lo agradecemos mucho…
Gracias y saludos a todos…
exelente aporte amigo, sigue asi……
Amigo, esa solucion es conocida, pero el virus sigue alli y la nota no es estar cada momento aplicando comando atribb. Si sabes de un FIx u otra forma para erradicar este virus de raiz, ya que los antivirus no lo hacen, se de un procedimeinto pero es largo y tedioso. Espero de la ayuda de cualquiera de ustedes. Gracias.
Disculpa la tardanza en responder, casi no he estado en la web ultimamente, pues fijate que para eliminarlo de raÃz todo se basa en conseguir el ejecutable como tal.. y poder eliminarlo sin que este haya sido iniciado, si haces todos estos mismos pasos desde el sistema a prueba de fallos (modo seguro) puedes lograrlo, si sabes como usar alguna distribucion de linux puedes hacerlo sin necesidad del winrar o programas alternativos ya que al explorar discos desde esas distribuciones puedes ver los archivos sin problemas.. por otra parte si no tienes linux, hay algunas versiones booteables de windows que te pueden ayudar mucho, algunas de las mas conocidas son desarrolladas con Bart-Pe Builder, puedes conseguir algunas de estas booteables en la misma pagina de intercambios virtuales, creo que tienen algunas desarrolladas para bootear antivirus como el kaspersky, en tal caso, al bootear, buscas el archivo de raiz y lo eliminas, pero debes buscar meticulosamente debido a que en determinados casos, estas variantes de malwares, crean copias de “seguridad” para evitar que erradiquen con su problema.. En tal caso, aconsejaria un scaneo de tu maquina con el hijackthis y me mandes el reporte.. o una solucion mas sencilla como comentaron anteriormente, recupera tus archivos, guardalos y format.. aunq se q no es la solucion q muchos buscamos, pero al dia muchos de estos malwares se hacen mas tediosos para ser eliminados y a veces es mejor solucion formatear que darse golpes con el problema.. Saludos
Buenas tardes,muchas gracias por la guia,pero se me presento el virus en el sistema operativo windows7, segui los pasos al pie de la letra pero no aparecen los .doc, todos los .exe si aparecen. quisiera saber si conocen alguna alternativa para Windows7, saludos
El procedimiento es exactamente el mismo, pero en vez de ejecutar, vas a escribir CMD, en el campo de Buscar que aparece al clickear inicio.. debe funcionar, estoy cansado de hacerlo con windows 7
..
NO ES JUSTO YO TENGO ESE PROBLEMA PERO EL WINRAR ME DICE QUE NO PUEDO ELIMINAR LOS ARCHIVOS PORQUE ESTAN EN USO ADEMAS DE ESO , EL VIRUS HACE MI CARPETA CON OTRA TERMINACION EN VEZ DE DECIR”EXE” DICE”INK” ADEMAS DE ESO QUE TRATO DE ABRIR MI ANTIVIRUS Y EL MISMO VIRUS DIGO YO ES EL QUE LO CIERRA Y TENGO QUE TRABAJAR Y NO PUEDOOOOOO A DEMAS QUE LUEGO ME CIERRA LAS PAGINAS DE INTERNET BUENO ALGUNAS NO TODAS…
Pues almenos con el winrar, comprime los documentos que sirven, los respaldas y formateas
.. combatir malwares activos es muy tedioso.. TendrÃas que trabajar en modo a prueba de fallos o desde algun sistema operativo booteable que no toque los servicios y procesos nativos del sistema residente.. si no te sirve el winrar, hay un programa llamado XYplorer, te sirve para visualizar de mejor manera y te da algunas opciones extra.. Salu2
Por cierto, las extensiones LNK, son archivos que crean LINKS, en terminos generales, es la extension de un ACCESO DIRECTO, no es el archivo original.. intenta ver las propiedades con click derecho e investiga la ruta a la que esta dirigido, es muy posible que ahi consigas tu archivo original..
amigo gracias muy muy util me salvaste gran cantidad de trabajo
Eres grande man… felicitaciones
oye man!! te agradezco mucho, eres bueno!!!
Gracias!!! pero muchas gracias man!!
GRACIAAAAAS!!!!
Hola amigo. He seguido todo al pie de la letra. Logré ver todos mis archivos ocultos, en especial uno que me preocupaba, pero al tratar de abrirlo aparece la ventana “Find archive” para que busque en la unidad extraible donde estaba oculto. Cliceo el archivo, le doy a abrir y luego me regresa a winrar donde aparecen dos carpetas (theme y _rels)y un archivo xml (content_types). Repito este ciclo y no puedo abrir mi archivo. Que me dices, hay alguna solucion? Gracias de antemano.
Que tal si intentas primero cambiar los atributos de los archivos dentro de la unidad extraible con el comando en el simbolo del sistema y luego intentas abrir el dispositivo? previamente deberias eliminar el Autorun.inf (si este se encuentra dentro del dispositivo) que serÃa el que ejecutara de manera automatica el malware haciendo que tu maquina se infecte (puedes eliminarlo desde el winrar y actualizar la mirada a la ruta.. si el archivo vuelve a crearse dentro del pen driver entoncs el malware está activo dentro de tus procesos).. ya teniendo en vista todo, osea luego de haber ejecutado el comando, intenta abrir los documentos, comunmente cuando son XML, no te abrirán de esa forma, me refiero a XML pq a partir del office 2007 comenzaron a trabajar con el formato DOCX, entoncs para que tus archivos abran, debes hacerlo fuera del compresor dude.. intentalo y escribeme nuevamente, no se si me expliqué bien..
Muchas gracias me salbastes amigo tenia unas fotos de mi sobrina en mi usb mil gracias
BUENO LES DIRE QUE SI FUNCIONA PERO A MI EN LO PERSONAL ME RESPONDIO CON EL COMANDO ASI attrib /s /d -h -r -s *.*
GRACIAS MIL GRACIAS AMIGO APRENDI ALGO MAS SALUDOS DESDE COLOMBIA
No hay de que, saludos desde Santa Cruz estado Aragua, Venezuela
no sabes cuanto me sirvio leer esto muchas gracias..!!
G R A C I A S !!!
Siempre a la orden..
amigo muchas gracias se ve que tienes mucha experiencia, te agradesco mucho esta tecnica es muy eficaz. D4rkG gracias
No hay de que amigo, estamos para ayudar..
Hey man sos el puto amo logre rescatar la info de mis memorias
y pos se agradece lo malo es que el maldito malware no lo puedo quitar de la computadora. Tengo El Nod 32 Bussines Edition pero nada de nada. Hasta el malware cierra el NOD eso es lo que putea… Sos excelente 
Gracias dude.. en lo personal, prefiero el deep freeze, o el shadow user.. aunq ahora en lo personal no uso sistema antivirus o de freezeo..
MuchÃsimas gracias, explicas los pasos de una manera sencilla y clara de entender, ya que por escrito está medio difÃcil que alguien se dé a la tarea de hacerlo asÃ.
Gracias!!
Saludos, desde México
No hay de que señorita
Hola compañero solo tengo una cosa que decir me podrias colaborar con las imagenes ya que aparece que la imagen se borro o se movio le agradeceria.Nos vemos y suerte
Perfecto, intentaré resubirlas si es que las consigo teniendo en cuenta que el post es un poco anciano
.. sino, me daré a la tarea de hacer otras capturas nuevas..
la verdad no me sirvio de nada y me aparece Acceso Denegado: J: 2da66479c19a1fbebcd7983e959f/amd64 y más hacÃa abajo de mi pantalla del CMD y que no puede dice … no se por que
Pero necesito una buena solucióno un buen antivirus que lo quite de tajo … DEBE DE HABERLO NO CREEN ?
amigaso tienes razon que buena forma de matarlos…. gracias
No hay de que
Ya lo hicee, pero dice q no puedo cambiar los atributooos!
pues ese niño a de ser un haker hahaha no ps ya dile q haga uno de estos post no, ya aprovechando q tu hermano sabe de esto y a todos le presento a un joven q estudio albañileria con somputacion por eso sabes mucho xD y a ti .-D4rkG-. gracias por el post fue de mucha ayuda y ps por hay convence al murro de 5 años q suba un post xD bye gracias.
Muchas gracias d4rkg.
Nota: para eliminar los archivos .exe sigan estos pasos:
Clic derecho en la unidad del disco extraÃble infectado, seleccionar buscar, escriban: *.exe
Esto buscara todos los archivos con la extensión exe incluidos los malditos virus, ordenen todos los archivos por tamaño y verán que todos los virus tienen el mismo tamaño ejem.: 135kb, seleccionen todos los virus y presionen: [Shift] [ Supr] y listo.