Eliminar el virus Recycler, herramientas para borrarlo y restaurar los daños del sistema

01.06.2012 12:51

 

El virus Recycler, características, forma de propagación, daños que ocasiona en nuestro sistema, precauciones para prevenir la infección por este y otros programas malignos, métodos de eliminarlo y restaurar las modificaciones hechas al sistema operativo.

Recycler es un virus que debe su nombre, a que una de las primeras señales de alarma que aparecen en el equipo, es un mensaje del sistema que indica, “Recycler.exe ha detectado un problema y debe cerrarse”.
Este virus se aprovecha de la función de ejecución automática de Windows para propagarse de un disco a otro. El modo de infección típico son los dispositivos USB como discos duros extraíbles, las memorias flash, tarjetas de cámaras y teléfonos celulares, etc.
Cuando el usuario inserta un dispositivo USB en una computadora infestada, el virus escribe en su interior un archivo autorun.inf, acompañado del ejecutable Recycler.exe, después los oculta para que no puedan ser detectados.
Al insertar el dispositivo infestado en otro equipo, se activa la reproducción automática ejecutando el autorun.inf que hace copiar el virus al interior de dicho equipo.

¿Que hace RECYCLER en Windows?

Abre una puerta trasera en el equipo, que permite el acceso de forma inadvertida a otros malware para el robo de datos personales
Al navegar en internet, el usuario será redirigido a sitios con software malicioso.
Se mantiene a la vigilancia de otros dispositivos USB, que sean insertados en el equipo para infestarlos.

Caracteristicas del virus Recycler, como conocerlo

Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con el nombre S-1-5-21-1482476501-1644491937-682003330-1013 y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe y isee.exe.
Su forma de autoejecutarse es a cada inicio de Windows. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para poder iniciarse con el sistema es crear una entrada en el registro en la siguiente ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512} StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”

y crea un archivo autorun en todas la unidades ya sean físicas o removibles para asegurar su reproducción.

Daños que ocasiona el virus Recycler al sistema.

Al igual que muchos otros virus, en primer lugar va a ocupar algunos recursos del sistema cuando se activa y por lo tanto el equipo funciona muy lento y es fácil que se congele. Modifica archivos del sistema para protegerse e impedir que el usuario se de cuenta de su existencia.
Al abrir puertos debilita la seguridad del sistema convirtiéndonos en blancos de diversos virus y programas malignos que pululan en la red.
El virus Recycler es utilizado por otros programas maliciosos, lo que generará un montón de alertas de seguridad falsas, publicidad u otras molestas ventanas pop-up.

Nota:Aquí les dejo un Script para que lo editen en un blog de notas,guardándolo con extensión *.cmd,para eliminar el virus Recycler.

Script:

@echo off

title Malware Removal Tool ;) - By Smartgenius

color 0a

 

if exist “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013″ (goto main) else (goto nop)

 

:main

echo.

echo.

echo Se ha Detectado el Virus RECYCLER.EXE

echo Para poder Eliminarlo debera Contar con

echo privilegios de Administrador, de lo contrario

echo no se podra limpiar el sistema Satisfactoriamente...

echo.

pause

echo.

echo Deshabilitando el Sistema, por unos instantes

echo mientras se realiza la desinfeccion...

taskkill /f /im explorer.exe

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

ping -n 1 0.0.0.0 > nul

cd\

attrib -r -s -h

cd RECYCLER

attrib -r -s -h

RMDIR /S /Q S-1-5-21-1482476501-1644491937-682003330-1013

del /f %windir%\Prefetch\ISE32.EXE-34CFE4CB.pf

del /f %windir%\Prefetch\ISE32.EXE-273EA8B7.pf

del /f %windir%\Prefetch\ISEE.EXE-05DD3401.pf

reg delete “HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}” /v StubPath /f

reg delete “HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}” /v StubPath /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tester /f

pause

if exist D: (goto next1) else goto (next2)

 

:next1

echo.

echo.

echo Examinando Disco D:

D:

attrib -r -s -h

del /f autorun.inf

RMDIR /S /Q RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

pause

if exist E: (goto next2) else goto (next3)

 

:next2

echo.

echo.

echo Examinando Disco E:

E:

attrib -r -s -h

del /f autorun.inf

RMDIR /S /Q RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

pause

if exist F: (goto next2) else goto (yap2)

 

:next3

echo.

echo.

echo Examinando Disco F:

F:

attrib -r -s -h

del /f autorun.inf

RMDIR /S /Q RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013

pause

goto yap2

 

:yap2

cls

echo.

echo.

echo El Virus RECYCLER ha sido Eliminado con Exito...

echo sin embargo, como la carpeta RECYCLER es del sistema,

echo debera borrarla manualmente de los Discos USB.

echo.

echo Se reestablecera el sistema

echo.

pause

explorer

msg /w * Gracias por Usar este Soft

exit

 

:nop

echo.

echo.

echo No se ha Detectado el Virus RECYCLER

echo.

echo Gracias por Usar este Soft... ;)

echo.

pause

exit

  Nueva versión del virus RECYCLER, como eliminarlo

Recientemente ha surgido y se expande rápidamente una nueva versión del virus RECYCLER, algo diferente aunque se mantiene su principal vía de propagación que son los populares dispositivos USB.
Es fácil de detectarlo en las memorias flash u otros dispositivo en los que se encuentra, si se tiene activada la opción de ver las carpetas ocultas.
Crea en ellos una carpeta nombrada: RECYCLER\ y en su interior encontrarás el ejecutable:b845ef76.exe y el clásico archivo al igual que las versiones anteriores: Desktop.ini.
El virus una de las primeras acciones que realiza, es convertir las carpetas en acceso directos, que al tratar de abrirlos hará que el virus penetre a el sistema.

Modificaciones que hace en el sistema el virus RECYCLER

Crea el siguiente archivo y una clave en el Registro de Windows.

%userprofile%\AppData\Roaming\Lsfqfb.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Lsfqfb

 

Como eliminar RECYCLER de una memoria flash u otro dispositivo USB

Si se tiene instalado en el equipo Windows 7 y no se ejecuta ningún acceso directo que se encuentren en un dispositivo USB, el virus no podrá penetrar al equipo e infestarlo. Este sistema operativo tiene totalmente deshabilitada la reproducción automática en las unidades extraíbles, es decir que es imposible que de forma automática pueda penetrar el virus en nuestro sistema.
Solo será necesario eliminar el virus del dispositivo, para deshacernos del peligro siempre latente de su infección.
Para eliminar el virus RECYCLER de cualquier memoria, tarjeta u otro dispositivo USB aquí les dejo siguiente archivo batch para tu equipo,y sigue los siguientes pasos:

Crea el batch con el Script que dejo más abajo.

Arrastra con el ratón desde el explorador o Mi PC, la unidad que contiene el virus hasta encima del archivo QUITAR-RECYCLER y suéltala encima.
Con eso bastará.

Aquí el Script para Quitar-Recycler:

:: (c) cu-32 2011 - https://gratisprogramas.org

@echo off

RD /S RECYCLER

Como eliminar el virus RECYCLER del sistema

Desgraciadamente, el que por falta de conocimiento o de precaución, haya dado dos clics en cualquiera de los accesos directos creados por RECYCLER, habrá hecho que el virus penetre al interior del sistema.
Es necesario en ese caso utilizar un programa antivirus, que se capaz de eliminarlo.
En pruebas recientemente hechas, gran parte de los antivirus no detectó la nueva versión de RECYCLER, solo lo identificó como una herramienta de código malintencionado, el recienteMicrosoft Security Essentials y lo eliminó completamente

Medidas a seguir después de desinfectar el sistema

En este como en cualquier otro caso de desinfección por malware se recomienda seguir las siguientes medidas:

1-  Eliminar los archivos temporales de Windows y los archivos temporales de Internet Explorer, con el siguiente Script que les dejo y ejecútalo

2- Si usas otro navegador web elimina todos los datos de navegación, incluyendo el historial, la cache y las cookies.
3- Reemplaza el archivo hosts.

 

Script para eliminar Archivos Temporales:

:: (c) cu-32 2011 - https://gratisprogramas.org

:: Eliminar temporales

@echo off

TASKKILL /F /IM explorer.exe

CD C:\Windows\Temp\

DEL *.*  /S /F /Q /A R H S A

 

 

CD %USERPROFILE%\AppData\Local\Temp

DEL *.*  /S /F /Q /A R H S A

 

start explorer.exe

Start RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255

 

msg * Hecho estas limpio.

Precauciones a seguir y consejos para evitar la infección

Debido a la proliferación de diversos virus, cada vez más sofisticados, es necesario que todo el que posea un equipo informático, siga ciertas medidas elementales de seguridad.
No es nada difícil.

Volver