Bueno, vengo aca porque no se a que recurrir, normalmente no me cuesta sacar virus a mano, siempre googleando encuentro la vuelta, pero este me sacó.-

Cuento rapidamente, ayer armamos lan con unos amigos (subo video cuando este pronto, la verdad estuvi linda, eramos 12) y uno tenia el virus en su pc, y pasandonos los juegos por HD extraible se nos paso a todos, y ninguno pudo sacarlo.
Te crea accesos directos, por todos lados, no te hace mas nada, pero es horrible, te oculta las carpetas, tenes q poner para ver archivos ocultos y de sistema, te pone todo lo q habia en el hd extraible en una carpeta q se llama .Trashes (oculta) y te hace accesos directos de todas las carpetas y cuando entras se abre un cmd que velozmente copia el virus a tu pc, pero tambien me paso sin abrir nada, solo enchufando el disco se copio a otras pc, entonces estamos todos en la B y no sabemos como sacar eso.

Y una de las pc no puede ser formateada, tiene q ser limpiada, sino era mas facil, ya q hay data importante y la respaldo y todo pero aun respaldada esta con el virus, tiene q haber una manera de sacar eso, googlie y probe de todo.

Si me confirman un antivirus que lo saque, lo pago, lo compro, y lo instalo. No hay forma. Te crea esas 2 carpetas que son el virus creo, ademas del otro desktop.ini (las carpetas son System Volume Information y $Recycle.bin o sin el signo de $ tambien)

No se mucho, pero Recycle.bin y system volume information son carpetas de windows que están ocultas. Antes no la verías porque no veías archivos ocultos.

Solo me paso en usb externos, no en la PC, por las dudas igual te paso lo que me solucionó:

http://ayudaparatupcparaprincipiantes.blogspot.com/2010/08/eliminar-virus-que-convierte-carpetas.html

No leí todo, esas carpetas son del sistema. Si te aparecen virus ahí es porque están eliminados o porque se instalaron ahi.

Entras a las opciones de carpeta, pones que te muestre los archivos ocultos del sistema y borrás lo que esté adentro de $RECYCLE.BIN de cada disco con virus y todo. Si te aparecen archivos en el escritorio y demás no los borrés.

Si no te deja probá el TDSSKiller (http://support.kaspersky.com/sp/viruses/disinfection/5350) de Kaspersky a ver si te borra algun rootkit.

conozco ese bicho, te oculta carpetas y archivos y crea unos .exe con el mismo nombre y el mismo icono que lo que oculto, cada vez que cliqueas un archivo trucho de esos se contagia a todos los medios y unidades de red.
vamo arriba.
deshabiliita el autorun de todas las pc para que no lo sigan repartiendo.
baja el ultimo hiren'sboot
levanta el hirens y anda a herramientas DOS, en herramientas de partición busca un live de linux que se llama gparted.
elimina y crea de nuevo la partición de todos los discos usb que hayan metido, obvio respaldo previo y a una maquina que este infectada así no cagan otra), lo mejor es hacer esto primero por que nunca falta el descuido y volves a infectar una pc que ya limpiaste y aconsejo eliminar la partición por que hay veces que solo formateas desde el linux y da un error que no me detuve a investigar, borro y creo nueva siempre.
cuando solo quede limpiar las pc usa de nuevo el hiren'sboot, levanta las maquinas con el live xp y dentro de ese xp hay un menu hbcd, abrilo y usa el hijackthis, escanea y limpia todo con eso, cuando termine usa alguna de las que limpian registro y reinicia normal.

ese bichito se contagia y queda quieto hasta que un día entra en ejecución buscando conexión, es inverso y es una maquina de hacer pc zombis

Otra solución: Entra a modo seguro y ejecuta el msconfig, fijate en inicio que es lo que se carga y quita lo que veas raro, también podés usar el ccleaner que trae el hirens.
Otra es usar el regedit y abrir HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run y te fijas algún archivo raro que se cargue y lo borras.
También podría estar en la siguiente carpeta RunOnce.

Otra más, es bootear con el windows del hirens, configuras la red y te conectas a alguno de esos antivirus online, o lo haces directamente desde el windows instalado en modo seguro con funciones de red, aunque la primera seria mas adecuada.

Luego tendrías que borrar a mano las carpetas y archivos que creo el virus.

Y todavía otra más.. :D en una máquina limpia instala un antivirus (que no sea el avast por favor :D) y luego le conectas los discos infectados uno por uno y los escaneas.

Bueno al menos eso se me ocurre antes de formatear :D

Suerte!!! ;)

Muy buena :) voy a empezar a probar

Ahora que dicen, tienen razon, son archivos de sistema, pero como me aparecen en todos lados estaba dudando si no eran el virus q se metia con el mismo nombre, por lo que lei te crea .ini por todos lados, en el escritorio tengo 2 desktop.ini por ejemplo, uno supuestamente es parte del bicho, el tema es que el virus esta en muchas carpetas de la computadora, hay muchos accesos directos.
E sacado el virus de otras pc con el attrib -s -d etcetc y borrando los accesos directos, pero este virus persiste.

Una ultima consulta, el recycle.bin y system volume information tienen que estar en CUALES CARPETAS?
acabo de formatear un hdd extraible desde la pc infectada y apenas formateado aparece el system volume information, esta bien no?

y el recycle me aparece en muchas carpetas junto con el system volume, capaz que me estaba persiguiendo al pedo y en realidad son archivos de sistema que no van a desaparecer, simplemente borro los accesos directos y lo q vea raro por ahi, y saco todo lo raro del inicio y podria solucionarse no?

evidentemente si eso no funca voy a tener q probar medidas como las q me dijeron mas arriba, pero son bastante mas engorrosas y ando corto de tiempo hasta el finde, voy a entrar a borrar a lo macho lo q vea raro y sacar de inicio, pasar un avira free y ver que onda

Tengo entendido que los desktop.ini del escritorio son también parte del sistema. Yo no borraría eso.
Solo borraría lo que está adentro de las carpetas recycle, etc en la raíz de los discos. Solo debería haber un archivo adentro de recycle, si hay archivos con números y nombres raros deben ser del virus.

Adentro de $recycle.bin en la raiz del c me aparecen 2 carpetas (S-1 -5 -18) y otra igual con terminacion 19, y me aparece la papelera de reciclaje que la borre y vuelve a aparecer instantaneamente :|

watafa

Los archivos desktop.ini como dijeron son de sistema y es normal que tengas dos en el escritorio (solo en win7 y supongo que 8 ) también están en las capetas mis documentos, mi música, etc. En windows XP solo hay un archivo ini por carpeta.
Pero tampoco le hace daño borrarlos porque lo único que hace es identificar la carpeta más facil poniéndole un icono y una descripción, nada más.

Las capetas System Volume Information solo aparecen en particiones NTFS y no te deja entrar porque ahi creo que guardan las copias para restaurar el sistema. La unica forma de entrar a esas carpetas es desde el XP del hirens o algun linux.

La papelera en windows 7/8 se llama $RECYCLE.BIN y en XP es RECYCLER o Recycled.
Dentro podras ver archivos o carpetas con nombres como: S-1-5-21-1801674531-920026266-682003330-500 y adentro de estas hay tambien archivos ini que indica que icono usa.
Y es normal que reaparezcan si las borras, porque no podes borrar la papelera xD

Un último dato, las carpetas System Volume Information y la de la papelera hay una sola por cada disco/partición, ej; c:\System Volume Information y c:\$RECYCLE.BIN
o sea que dentro de una carpeta random no puede haber otra llamada $RECYCLE.BIN.... eso si sería sospechoso.

Luego que sepas que el virus no está y si no querés ver esos archivos ini le indicas en opciones de carpeta que oculte los archivos de sistema.

;)

Entonces era una perseguida criminal nomas, el virus era solo algun .exe que habia tirado oculto en las carpetas con accesos directos que el avira (en mi pc al menos) ya lo soluciono, voy a ver en la pc de mi amigo q la dejams pasando avira de noche, a ver mañana que sucede si se soluciono el tema, a mi me encontro 29 "infeccinoes", muchos cracks y porquerias pero otras cosas eran .exe de nombres dudosos :|

Todo en orden al parecer, mañana aviso asi cerramos esto :D

gracias totales a todos