VIRUS .TRASHES

Si tu eres de las personas a las que no les aparece todo lo contenido en la memoria USB y visualizas muchos accesos directos, muy probablemente esta se encuentre infectada con el virus .Trashes

De hecho no es un virus como tal ya que la mayoría de los antivirus NO lo detectan como virus puesto que es un código hecho en Visual Basic., pero para casos prácticos así lo llamaremos.

¿Qué es lo que hace y/o afecta este virus?

  • Infecta las memorias USB o Pendrive.
  • Transforma los archivos y carpetas de la memoria en accesos directos.
  • Oculta nuestros archivos en una carpeta llamada .Trashes
  • No permite ejecutar Msconfig, Regedit, Ccleaner y programas similares
  • Desactiva el poder ver los archivos ocultos.

En la memoria USB:

1.- Crea accesos directos, los cuales llevan a una carpeta en la memoria USB (varia el nombre) para ejecutar un archivo java script (.js) que es el que hace que se infecte el equipo.

2.- Crea la Carpeta .Trashes, a la cual el virus mueve todos los archivos y carpetas de la memoria USB.


En el Equipo(computadora)

1.- Se instala como proceso Microsoft Windows Host
2.- Se instala en el inicio del equipo de modo que se ejecute cada vez que se inicie sesión
3.- Se crea una carpeta en C:\usuarios\"Tu usuario"\AppData\Roaming\ con los archivos del virus
4.- Es posible que se instale en la Carpeta Inicio de Todos los Programas

- RECUPERAR LOS ARCHIVOS Y CARPETAS DE TU MEMORIA -

A continuación te voy a enseñar cómo recuperar los archivos de tu memoria USB. Es importante que NO hayas formateado tu memoria, ni hayas borrado carpetas de lo contrario el procedimiento es otro.

Para hacerlo realiza los siguientes pasos:

Paso 1: Ubica la memoria en Cuestión
En este caso la memoria es la unidad F, pero te puede aparecer otra letra G, H, D. Te recomiendo que solo pongas solo una memoria USB a la vez para que evites confusiones.

Paso 2: Ejecuta una ventana de comando con privilegios de administrador.
Para hacerlo, haz click en el Botón de Windows, en la barra de búsqueda teclea CMD, haz click con el botón derecho del mouse y del menú emergente selecciona "Ejecutar como administrador".

Paso 3: Accede a la memoria
Para dirígete a la memoria con la letra de la unidad obtenida en el paso 1 (en este caso f) escribe la letra de la unidad seguida de los dos puntos y presiona Enter.

Paso 4: Ejecuta el comando attrib *.* -h -a -r -s /s /d
El comando interno ATTRIB muestra o cambia los atributos de los archivos y/o directorio del sistema operativo Microsoft Windows. Este comando es útil para solucionar el problema de carpetas escondidas en alguna memoria USB causado por virus. En esta ocasión se utilizará para descartar que el virus haya escondido nuestros archivos.

Este proceso llevará algún tiempo dependiendo de la capacidad de la memoria y del número de archivos. Te darás cuenta que ya terminó cuando vuelvas a ver la letra de la unidad en la ventana de comando.

Paso 5: Visualizar los archivos ocultos en la memoria
Para hacerlo abre un explorador de Windows para configurar para ver archivos, carpetas y unidades ocultos.
Haz click en el Botón Organizar y selecciona la opción Opciones de carpeta y búsqueda.

De la ventana Opciones de Carpeta haz click en la Pestaña Ver y marca la casilla Mostrar archivos, carpetas y unidades ocultos como se muestra en la imagen de abajo.

Con lo anterior podrás ver el contenido de la memoria.

Paso 6: Copia todos tus archivos a tu computadora
Para hacer este paso crea una carpeta en el escritorio de Windows. Ahora dirígete a la carpeta .Trashes que está en tu memoria USB y selecciona todos tus archivos y copialos a la carpeta creada, esto con el propósito de asegurar que no los vas a perder.

Nota:
No copies la(s) carpeta(s) con el virus (en este caso fue la carpeta 518, 501), ya que los accesos directos creados en la memoria USB apuntan a un archivo en dicha carpeta, el cual es el que hace que se instale en otra computadora el virus.
De hecho cualquier carpeta que no conozcas o veas rara no la copies.

Paso 7: Formatea tu Memoria
Una vez respaldados los archivos en tu computadora puedes formatear la memoria para asegurar que estará libre de virus

Paso 8: Ahora copia los archivos respaldados a tu memoria
Mantén el respaldo en tu computadora algún tiempo para prevenir una posterior pérdida de información.

Con lo anterior te has librado de este virus y has recuperado el acceso a tus archivos. Espero que estos pequeños pasos te hayan servido y que hayas recuperado el acceso a tus archivos.


Pasos para eliminar el virus en el PC y que no se siga propagando en los dispositivos USB que se inserten:

1. Inicio la computadora en el modo a prueba de fallos (presiono F8 o F5 al encender la computadora)

2. Dirígite a C:\Users\Usuario\AppData\Roaming (Usuario es el nombre de la carpeta que creó windows con el nombre de tu usuario)

3. Allí, debes borrar la carpeta que almacena los 6 troyanos que se activan, y que varía de nombre pero que se identifica claramente porque tiene 5 letras o un poco mas. Por ejemplo la carpeta C:\Users\Usuario\AppData\Roaming\jobia

4. Luego ve a C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup y borran el acceso directo "Windows Explorer" que es el que activa el troyano en cada inicio de sesión.

5. Reinicia tu computadora

Nota 1: En el modo a prueba de fallos no carga nada del inicio, por tanto ahí no se activa el troyano.
Nota 2: La carpeta AppData está oculta, solo deben escribirla en el cuadro de rutas, para acceder a ella