SI CONOCEN ESTE VIRUS Y LES ESTA AFECTANDO
ACA ESTA LA SOLUCIÓN
Como han podido observar, actualmente hay infinidad de comunidades con la problematica que presenta este malware.. Es un virus de alta probabilidad de transmision y comunmente lo van a conseguir en dispositivos de almacenamiento USB si el mismo fue previamente introducido en una maquina infectada y manipulado de una mala forma..
Este post es personal, no es copiado de ningun sitio y es basado en conocimientos propios sobre el tema..
Comencemos…
Como usuarios de windows y fieles creyentes a lo que es el compresor winrar, no solo podemos darle uso al mismo para comprimir y descomprimir archivos… sino para ver archivos en su totalidad… Como múchos sabrán o talvez no, el winrar permite ver toda clase de archivo en cualquier directorio donde esté ubicada su ventana principal (al decir toda clase de archivos me estoy refiriendo tanto archivos ocultos, como archivos de sistema, entre otros) debemos tener en cuenta que muchos de estos archivos estan ocultos con una finalidad especifica “NO BORRARLOS” como pueden ser archivos de arranque del sistema operativo entre otros {comúnmente encontrados en la raiz del disco residente “C”}
Si son buenos conocedores de virus podrán eliminar sin problemas, a continuacion les dare 3 pistas especificas para reconocer archivos maliciosos:
1-. Tiene algun nombre extraño, tanto con numeros como con letras, y en alguno de los casos combinan caracteres (letras y numeros juntos)
2-. Su extension comúnmente es .bat o .exe, tambien se consiguen casos como el .com, pero a la final son ejecutables.
3-. Su peso es mínimo, unos cuantos KB.
Para no ser infectado por esta clase de malwares, recomiendo no abrir el dispositivo, (no explorarlo ni abrirlo con doble click desde mi pc) aunq ciertas veces la opcion explorar pueda ser util, es totalmente proporcional a la seguridad de un preservativo..
Antes de abrir cualquier dispositivo USB, abran el winrar, buscan la ruta del dispositivo y lo exploran desde el mismo winrar, mientras el virus no haya sido ejecutado pueden eliminarlo facilmente desde esa misma ventana.. si ya lo ejecutaron, recomendaria bootear algun sistema operativo booteable, explorar y eliminar los archivos infectados fuera del sistema operativo residente, pero eso lo explicaré en otro post mas adelante cuando me anime.
Vamos al grano..
Éste post se referirá al Trojan/Hidedoc, el cual corrompe archivos de ofimatica e incluso carpetas..
“¿Como Actua este malware?”
Pues sencillamente te hace una imagen visible de los documentos o carpetas que estan dentro de tu dispositivo de almacenamiento, la cual tendrá el mismo icono y atributos, solo que su extension cambiará a EXE.. he estado leyendo en varios sitios de seguridad y he dado que todos solucionan el asunto “pasando antivirus” señores… los antivirus son 0.00001% fiables… y ok supongamos que haga su trabajo, te elimino el virus, pero que hay de los documentos que tenias?, en cada uno de los post que vi, personas lograron eliminar el ejecutable pero nadie supo nunca donde estaban sus documentos.. lo que ellos no sabian es que sus documentos y carpetas estaban ahi, a plena vista (solo q no los podian ver)…
Ahora viene la parte buena.. en las siguientes imagenes ustedes verán como funciona la cosa…
Ahí vemos que aparece marcado el dispositivo de almacenamiento infectado desde el winrar
Directamente me fui a una carpeta y como podran observar, aparecen los documentos y abajo ordenados por formato estan los executables con exactamente el mismo icono y el mismo nombre, como imaginaron se deben seleccionar los ejecutables (EXE) y ser eliminados con click derecho-> eliminar o simplemente marcarlos y darle a la tecla suprimir.
Ahora en la siguiente imagen podrán observar que al eliminar los ejecutables infectados, desde el winrar podrán ver los documentos originales pero no podran verlos desde el explorador de windows, y tratar de verlos por la opcion “herramientas -> opciones de carpeta -> ver -> mostrar archivos y carpetas ocultos” es una perdida de tiempo porque no aparecerán..
Las opciones para resolver este asunto son las siguientes:
Opcion 1-. Desde el winrar, abrir los archivos uno por uno, y guardarlos en otro directorio con la opcion “guardar como” al guardarlos ya estaran sanos y salvo, pero hay que tomar en cuenta que esta opcion solo trabajara archivo por archivo, imagino que personas con este problema estan hablando de lotes de archivos, asi que se pueden saltar esta opcion y pasarse a la 2da.
Opcion 2-. Abren inicio -> Ejecutar -> Escriben “CMD” sin comillas y presionan enter, ahí se les mostrará la ventana del simbolo de sistema o MS-DOS, la cual siempre al iniciarse estará ubicada en el disco residente, en la mayoria de los casos el disco “C:”, aqui se deberá cambiar la ruta hacia el dispositivo, es decir si al conectar un pen driver nos dice que es el disco “I:” como es mi caso, deben escribir en la ventana “I:” y presionar enter (nuevamente es sin las comillas) cuando presionen enter, la ventana de simbolo del sistema cambiará a la ruta de ese dispositivo y es aqui donde vamos a quitarle los atributos de oculto a los archivos…
Debemos escribir lo siguiente:
attrib -h -r -s *.* /s /d
Ya teniendolo escrito en la consola presionamos enter, este comando cambiara los atributos a todos los archivos que estan dentro de el dispositivo en el cual este posicionada la consola y con esto resolverémos el asunto de no poder ver mas nuestros archivos anteriormente IN-VISIBLES xD (partiendo desde la ruta de raiz hasta lo mas interno)
Espero les sirva de ayuda este post…
.-D4rkG-.
10/07/2009
Si disfrutaste nuestro artículo, siéntete libre de suscribirte a nuestro feed rss
Nos dedicamos a lo mismo… y seguimos aprendiendo dia tras dia… gracias colega…
Magnifico tu post; Felicitaciones!
nada del otro mundo hasta mi hermano de 5 años losabe
xD
xD entoncs dile q me enseñe =P
post claro dile a tu hermano q nos enseñe por q yo no sabia eso y me e solucionado un grannn problema q tenia en mi sala web
orale….gracias por la información.
Excelente post pana bien concreto
demasiado bueno tu aporte mil gracias……
creo que gracias a ti ya vencí el condenado virus que me
tenia la vida triste, mil gracias…….
saludos desde Venezuela….
Ok men, saludos desde venezuela tambien =).. puedo ayudar cuando necesites!
mi hermanooooooooooo diezzz milllll graciassssssssss me a salvaooo la vida y la revidaaaaaaa
Hola podrias decirme que hace exactamente el comando /d ?
Los otros se para que son.. pero ese no estoy segura.. gracias
D muestra carpetas, y S para mostrar archivos de sistema, comunmente esta variante de virus les cambia los atributos a como archivos ocultos de sistema, es por ello que al activar la funcion de mostrar “archivos ocultos” no puedes dar con ellos… espero te sirva de ayuda…
eso no eliminar el virus rela que se encuentra en microsft office\_winword.exe no el winword.exe que es el bueno
No exactamente, esto elimina archivos maliciosos de procesos o servicios que no estén activos… en caso tal de presentar esto, lo mas aconsejable es q bootees un sistema operativo cd live y elimines desde su administrador de archivos… o que sigas estos mismos pasos pero en modo seguro de windows… cualquier cosa puedes preguntarme =)
D muestra carpetas, y S para mostrar archivos de sistema, comunmente esta variante de virus les cambia los atributos a como archivos ocultos de sistema, es por ello que al activar la funcion de mostrar “archivos ocultos” no puedes dar con ellos… espero te sirva de ayuda…
Buenas Tardes Amigo,
Tengo este virus en mi máquina. Lo que sucedió fue que después de leer tu post, realice al pie de la letra todo lo que indicaste, tal cual, sin más ni menos. Lo único distinto fue que ejecute el comando en el disco C:, ya que aquí es donde tengo el problema.
Ahora bien, después que lo hice comencé a notar que el virus persistía, ya que borre los archivos .exe, y estos al cabo de unos segundos volvieron a aparecer, y además mis archivos que perdí, no aparecieron por el explorador, ni siquiera los vi por el winrar. Adicionalmente, note otras cosas extrañas: 1.- En toda la máquina (carpetas, programas, etc.) hay un archivo llamado desktop.ini, que aparece como si fuera parte de ellos, inclusive está como acceso directo en la barra de tareas; 2.- se cambio el color de las carpetas, es decir, antes eran verdes (Windows vista ultimate) y ahora son amarillas, como las de xp; 3.- En el menú de inicio, varios programas (herramientas administrativas, accesorios) están en inglés, cuando antes estaban en español; 4.- Cuando inicio Word 2007, me aparece un dialogo de cifrado, que me pide colocar si quiero ver el archivo en ms dos u en otros alfabetos; 5.- La herramienta msdos, ya no está visible, es decir, no la veo abriendo inicio, herramientas.Para visualizar el icono de msdos necesito buscarla por el menú de inicio, y lo que me aparece es un archivo ejecutable llamado “command”; 6.- Al iniciar Windows me aparecen 2 ventanas de este desktop.ini con unos comandos que ni idea.
Por lo anterior, decidí hacer de nuevo la operación, pero esta vez en modo seguro, y lo que puedo ver es que se despliega el comando, pero los archivos que se despliegan, puedo leer “acceso denegado”, como si lo tuviera que hacer es el administrador, cuando mi usuario es precisamente administrador y tengo todos los permisos (supuestamente según vista)
Por favor amigo ayúdame, veras soy Abogado, y mi vida depende de unos documentos que están infectados, y mi jefa no va a entender este problema, y no por exagerar, pero si no entrego estos documentos a tiempo puede ser amonestado.
Estoy tan desesperado que estoy dispuesto a pagarte si me ayudas a salir de este problema. Por favor, si me puedes ayudar escríbeme a maxjsalas@yahoo.com
Gracias!!!
Habria q ver q variante tienes, buscar cual es el ejecutable (el archivo q se inicia al cargar el sistema operativo) eliminarlo desde modo a prueba de fallos o algun sistema operativo booteable y luego seguir los pasos q deje previamente.. sin embargo aun asi deberian aparecer tus documentos.. si no los puedes observar entoncs puede q esten borrados.. q tal si intentas con algun programa para recuperar archivos borrados? aca hay uno bueno -> http://www.megaupload.com/?d=SZW6QZ24 <- o si quieres buscate un programa q se llama XYplorer q es muy parecido al explorador de windows pero con la funcion de observar todo hasta el mas minimo detalle.. en iv esta posteado asi q intentalo y me avisas, tambien te he agregado al yahoo, si te veo conectado me cuentas y vere como ayudarte..
pero como se elimina el virus, ok podemos ver los archivos per y el virus
Busca en procesos y consigue los q son desconocidos y luego investigalos uno a uno.. para todo hay solucion, solo debes aprender a buscarla… descargate el hijackthis, tirate un reporte y me lo posteas.. o si lo sabes usar pues busca el proceso y con ello consigues la ruta..
Gracias Hermano Muy Bueno Tu Informacion
Amigo segui los pasos para eliminar el virus, pero en el pendrive tengo varias carpetas cuando elimino la aplicacion y me voy a otra carpeta a seguir eliminando archivos .exe vuelven a aparecer los archivos borrados en las carpetas anteriores y no termino nunca de eliminar los .exe que hago
En ese caso, el virus ya esta iniciando con la maquina, intenta todo el mismo proceso q explique antes pero desde el modo a prueba de fallos o intenta borrarlo desde algun sistema operativo booteable..
Excelente informacion y muy bien explicada. Muchisimas gracias por la ayuda.
Hermano lo felicito que solucion tan sencilla y modesta muchas gracias se le respeta
Pana como puedo limpiar mi sistema operativo (Xp) del virus ?¿?¿? nos has hablado de bootees con cd lives el sistema operativo y o de realizar la misma operacion pero con el modo seguro de windows.
a mi me toco antes aprenderlo por la mala 
pero ahora que he leido el post entiendo mejor que he de hacer para combatir este fastidiiiiiio de virus
no existe otra forma mas facil no se seme ocurre buscar la lozalizacion del virus desde consola y una vez encontrado eliminarlo para despues proceder a limpiar los archivos, soy un poco nuevo en esto si me equivoco corrigeme … o si tu conoces otro forma ?¿?¿? se te agradeceria mucho el aporte y del post esta buenisimo Pana te felicito
Brother para hacerlo como preguntas es algo casi q imposible, ya q el ejecutable al estar iniciado (podras verlo en procesos en el administrador de tareas osea control alt y suprimir)te impedira borrar el virus manualmente pq estara usando el archivo o simplemente si te deja eliminarlo, el automaticamente te lo vuelve a ejecutar, es por eso q deberias botear o arrancar en modo seguro para q no se ejecute el malware al iniciar… si conoces la ruta simplemente en modo seguro lo eliminas sin problemas. Si alguien tiene duda puede agregarme a d4rkg@hotmail.com.. salu2
Exelente aporte amigo, aqui investigando el comando attrib tenemos los parametros utilizados
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [unidad:][ruta]
[nombre-archivo] [/S [/D]]
+ Establece un atributo.
- Borra un atributo.
R Atributo de sólo lectura del archivo.
A Atributo de archivo de almacenamiento.
S Atributo de archivos del sistema.
H Atributo de archivo oculto.
[unidad:][ruta][nombre-archivo]
Especifica el archivo o archivos que serán afectados por ATTRIB
/S Procesa archivos que coinciden en la carpeta actual
y todas las carpetas.
/D Procesa carpetas.
Saludos, Daniel.
Gracias por tan importante informacion. Con personas como usted, es que cada dia se incrementa el conocimiento a través de este medio.
Un Cordial Saludo, desde Venezuela
Estamos para ayudar.. saludos desde venezuela tambien =)
jajaja he tardado todo el dia buscando, como eliminar el virus que oculta las carpetas, me descarge un script,,me mostro las carpetas pero despues no podia cambiarle atributos estaba bloqueado,,, me has salvado usando el cdm,……….
grax
Es bueno saber q el conocimiento se puede transmitir y recibir de forma tan amena, siempre q pueda ayudaré..
Muy bueno… pero necesito saber como elimino el virus sin perder los archivos ese es mi problema porque de eliminarlos se puede pero necesito salvar la info
[...] http://www.intercambiowarez.org/general/eliminar-trojanhidefolder-virus-q-convierte-doc-en-exe [...]
buenas noches amigo, muy bueno el post, fuera bueno hacer un script que haga eso de una vez, pero ya vendrá… puse el vinculo con la información que das.. tienes toda la gloria, no hice copypaste sino que publique tu vinculo. saludos der Zulia
Voy a llorar!!! un millon de gracias, tenia toda la tesis en un USB, se infecto y el antivirus me la mando a cuarentena, crei que la habia perdido *llora de felicidad*. De verdad un millon de gracias.
Ahora voy hacer como 20 copias de seguridad.
Que Dios lo bendiga!!!!
Una vez eliminado como indicas me funcionó pero luego recuperé mi archivo muestra.doc al darle click a las carpetas que se encontraban al costado del archivo se vuelve a crear los archivos muestra.exe y sale un error de aviso que microsoft word tiene que cerrarse…. agradeceria mucha la ayuda…..PD tengo instalado el nod32 4.0 y actualizado hasta el dia de hoy y no me detecta ningun virus
Gracias, me salvaste la vida!
Hola Henry, te cuento que yo tenía el Nod32 también y me di cuenta que no sirve
o por lo menos no para este virus, yo instale el avg y eliminó el virus, pero claro igual debes hacer lo q dice este post para recuperar tus archivos!
GRACIAS!! por un momento creia qe perdia la carpeta con todas las fotos de mi vida…. miles! (aunqe ya la tenia casi toda backupeada, es una enseñanza para hacer siempre copia de todo!)
saludos grandes