Hola!!
Hoy fue dia de pelear con los malware, alguien entro una USB contaminada y causo un caos en la oficina.
Los sintomas son:
1. Cuanto la USB ejecuta el autorun lo reconoce como un programa
Advertencia: si le dan en OK el programa se copia a su disco duro y se registra como un servicio
2. Deshabilita los archivos ocultos en la USB para que no se puedan modificar
3. El programa crea un archivo y una carpeta en el USB (RECYCLER y Autorun.inf)
4. El Autorun.inf debe de tener un texto similar al siguiente
[autorun]
open=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\plzrunmes.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\plzrunmes.exe
shell\open\default=1
Solucion:
1. Habilitar la opcion de ver archivos ocultos
Mi PC - Opciones de Carpeta - Ver - Mostrar todos los archivos y carpetas ocultos
2. Pueden usar un programa como RegUnlocker
Si no lo consiguen me avisan y lo posteo
3. Abrir el administrador de tareas
CTRL+ALT+DEL
Administrador de tareas
4. Buscar el servicio SHCHOST.EXE (ojo: los servicios de Windows son SVCHOST.EXE)
5. Terminar el proceso
6. Buscar en el disco C: los archivos "shchost.exe; Exploider.h" Y eliminarlos
7. Para verificar que todo funciona normalmente conecte de nuevo un USB y verificar que no cree la carpeta y el archivo.
Espero les sirva!!
Fuente en ingles AQUI
