El virus que esconde las carpetas del pendrive vs DOS

Parece mentira, que tantos años después, DOS (o “CMD” de los nuevos Windows, que en definitiva es la consola, o sea, básicamente lo mismo) todavía me sea de utilidad en donde Windows falla miserablemente.

Almohadon DOS

Hace unos días me pasó de nuevo, esta vez con mi vieja, que venía pálida, como si hubiera visto un fantasma… Antes de dejarme decir nada me increpó gesticulando excesivamente con un pendrive en la mano:

– ¡Las fotos! ¡Me borraron todas las fotos!

– ¿Uh? –Le pregunté.

(O quizás no le pregunté pero me vio arquear las cejas con aire inquisidor, no estoy seguro).

– ¡Unos hijos de puta!, ¡llevé las fotos a imprimir en este pendrive y me las borraron a todas!

– … (creo que tampoco dije nada)

– Y al enchufarlo en la compu, me dice que tiene virus, ¿Podrás arreglarlo?

Obviamente, antes de que termine la segunda frase yo ya había pensado en la posibilidad de que le hubieran enchufado el pendrive en una PC infectada con alguno de esos virus que te ocultan los directorios y los reemplazan por archivos ejecutables con el mismo nombre, también había evaluado la posibilidad de efectuar una recuperación de datos a bajo nivel que sabía sería exitosa en el pendrive o la memoria SD de la cámara y ya estaba evaluando mentalmente en donde tenía 16Gb de espacio libre para hacer un DD de todo el pendrive inclusive en el peor de los escenarios.

Lo correcto hubiera sido que le pida el pendrive y se lo arregle, pero es mi vieja y no aprende nunca así que para encumbrarle el susto, aguantando la sonrisa y con cara de póker le pregunté:

– ¿Y no tenías backup?

– No, todas las fotos del viaje estaban ahí.

– Que cagada… Bueno, dejámelo a ver que se puede hacer.

Si sos un pringao, deberías saber que si hay alguien de entre todos tus conocidos que conviene te deba favores, esa es tu madre, por que uno nunca sabe cuando va a necesitar planchar una camisa de urgencia o un trámite en horario laboral y te aseguras de paso por un par de meses -y hasta tanto la eches a perder de nuevo- la mejor porción en las cenas familiares los fines de semana y hasta puede que doble ración de postre, así que hacer un poco de circo en esta circunstancia me pareció lo mas conveniente.

¿Que había pasado?

Lo de siempre: Pendrive formateado en NTFS enchufado en una PC con algún virus de todo por dos pesos de esos que hacen invisible a la carpeta y ponen un archivo con nombre idéntico e ícono de carpeta clásico de Windows XP (Mi vieja tiene Windows Vista, se pasaba de obvio) ocultando la carpeta original para que uno vaya como un idiota a hacer click al virus en lugar de a la carpeta en cuestión.

Arreglarlo no me tomó mas que unos pocos minutos. Borré a mano todos los archivos .exe que encontré y el archivo autorun.inf que posibilita la auto-ejecución. Al querer quitarle el atributo de “oculto” a la carpeta desde Windows no pude:

solo-lectura (No se puede destildar sólo lectura ni oculto)

Sabía que no iba a poder por que no es la primera vez que me encuentro con esto. Ya van tantas que hasta perdí la cuenta y si bien seguramente habrá alguna forma mucho mas point-and-click de llegar al mismo resultado, fuí a la de siempre, la que me enseñaron en Computación II en la escuela secundaria por allá por 1993: El comando attrib, que es como el Highlander de los comandos, nunca muere, nunca pasa de moda..

Attrib es un comando para DOS pensado para gestionar los escasos tres atributos que tenían los archivos en la época de FAT12/16/32: Solo Lectura, Oculto y Sistema. Este último es el quid de cuestión.

Así que abrí una consola de DOS desde inicio / ejecutar / cmd y una vez ahí me cambié a la unidad F: que fué la que le asignó Windows a su pendrive. Una vez dentro del pendrive, le quité los atributos de oculto (hidden) y de sistema a la carpeta fotos: attrib

Lo mismo hubiera valido que le quite solo el atributo de sistema con “-s”, después de eso Windows ya me iba a dejar administrarlo sin tener que ir a una consola de DOS.

Para el caso en donde haya múltiples archivos, vale también hace uso de comodines tipo “ . | * | *.* | *. | .*” como por ejemplo attrib –h –s .* que le cambiará los atributos a todos los archivos que tengan extensión.

Demoré unos cuatro días en devolverle el pendrive con todas sus fotos de nuevo en su lugar, ¡Es que hace tan bueno postres!.

54 Comentarios

  1. Recomiendo que le instales a tu vieja USBFlashCopy en el Win Vista (a menos que quieras seguir cobrando favores xD)

    • Te parece a vos más facil apagar la PC que uno tiene corriendo, con sus aplicaciones abiertas, capaz bajando algo de internet, encodeando un video… bajando porno, lo que sea.. para buscar un cd o dvd de una distro live, bootearla y esperar que cargue, con la lentitud propia de una unidad óptica, conectar el pendrive y que lo monte o montarlo a mano, y hacer lo necesario…

      O simplemente abrir una consola CMD en windows, y con un comando de una sola línea tener listo el pollo??

      eh?

      • ¿Eres aprendiz de troll?

        Para estos menesteres es siempre recomendable haber instalado linux en dual; a mí siempre me han dado pendrives aparentemente vacíos desde windows, pero se muestran los .vbs realmente en Nautilus (a menos que el virus renombre con punto al principio, pero ya es demasiado)

        Por cierto que DOS / CMD siga siendo el corazón de windows tiene ventajas como desventajas, ¿como se asignan atributos en windows 8 ? no me imagino una interfaz METRO

      • también podrías probar instalando el virtualbox o similares y virtualizar el SO gnu linux que más prefieras y desde ahí conectas el pen drive y a borrar virus…

    • Era lo que había a mano: Windows. Si hubiera habido un Linux, no lo habría sabido usar, supongo. No entiendo nada de ese coso.

      ¡Saludos!.

  2. Bueno, técnicamente no es lo mismo. CMD.EXE sería el equivalente moderno al viejo COMMAND.COM, o sea, sólo el intérprete de comandos del viejo MS-DOS.

    De hecho, CMD.EXE es un programa compilado para Windows, que usa la API de Windows… que no corra en una ventana es sólo un detalle.

  3. ¡Juan! De a poco estás volviendo al blogging (metiste como 5 entradas en maldito nerd en los últimos días). Igual, dejame trollearte la vuelta. Posta, como dijeron arriba, MS-DOS y CMD.exe no tienen mucho que ver, mas allá de que se hayan rescatado un par de comandos del mismo.

    Lo de no poder destildar el atributo “oculto” es justamente por que el directorio/fichero está tildado como “sistema” (osea, el “S” de attrib), y ese atributo no se lo podés sacar desde la GUI del explorador de windows.

    Algo que sirve que puede ser útil para el que lo sepa es “vacunar” el pendrive para que el virus no pueda crear el autorun.inf: crear un directorio llamado “autorun.inf” y marcarlo como solo lectura (y si es posible, “sistema”). Con eso el virus falla miserablemente al tratar de auto ejecutarse (al menos hasta que aparezca algúno capaz de apañárselas si ya aplicaste ese método).

    Saludos.

    • Soy habitual “agregador” del Autorun.inf como directorio en los pendrives de clientes, amigos, familiares.

      Lo unico que suelo agregar es un OCULTO en los atributos, con eso alcanza y sobra. LA verdad es un metodo simple y muy eficaz. El tema es que en este tipo de virus se generan links que apuntan al EXE con el icono de una carpeta o algo similar. Igual lo del Autorun.inf salva de muchisimas infecciones.

      Saludos!

  4. Ese virus es como vos usaste, para que te deban favores, el que no puedo nunca solucionar es el que te corta el sonido, no se si le a pasado alguno, lo única solución fue reinstalar Windows o poner una placa pci de sonido (como “arreglo” un amigo técnico).

  5. La verdad que este y tipo de virus nunca pasan de moda y pululan en cyber cafes y demas locales de este tipo yo lo que hago es attrib /D /S -H -S -R *.* y sale.

    • Lo de Total Commander está bueno, pero hay que aclarar que tiene que estar configurado para ver archivos ocultos, sirve para rescatar las fotos pero te ves obligado a usar consola de comandos al igual que cmd en windows. A mi modo de ver esto de usar CMD es más práctico que otros metodos.

  6. Me gusto el post.. mucha onda, no enseña nada que no sepa un pseudo-geek pero muy divertido!

  7. Podés creer que el otro día no me acordaba de este comando!?… que tipo más estúpido… para colmo no lo podía googlear porque no tenía internet (gracias Garchnet). Demoré media hora en revolver mis libros, y otros 15 en encontrar el comando… muy buen post!.

  8. Yo tengo el gran Total Commander (siempre te saca de más de un apuro), configurado para que muestre todos los archivos ocultos. Con un par de clics le cambiás los atributos a todos los archivos y borrás toda la basura.
    Y como complemento uso el USB Doctor, que, entre otras cosas, te crea una carpeta autorun.inf para que aunque te contaminen el pen los virus mas chotos, estos no infecten otras pc.

  9. Me encanto de todo el articulo esta frase: “deberías saber que si hay alguien de entre todos tus conocidos que conviene te deba favores, esa es tu madre”, asi que tecnico y con ventajas :D, bueno, como ya lo dijeron anteriormente, hasta a mis hijos les enseñe el truco del totalcommander, pero cuando estoy con un cliente y con aires de ingeniero de la nasa, dubitativo y con cara de experto (que lo soy, solo por aclarar) me voy a la consola y voila!!! el comando dir /a:h para ver los archivos ocultos, y el comando attrib -r -h -s para las carpetas ocultas, creanme, los clientes quedan satisfechos y te deja una estela de respeto como profesional

  10. +1 a todos los comentarios que dicen “con un GNU/Linux lo arreglabas en minuto y medio”.

    • Te habla un linuxero posteando desde linux, aviso.

      Si estás en un windows y se te presenta un problema, y para solucionarlo en lugar de buscar un cmd y escribir un comando, rebooteás la PC para arrancar un linux, no sos un groso, sos tremendo boludo.

      Hay que saber usar lo que uno tiene y lo que a uno le conviene en cada caso.

      El fanboyismo juega en contra para estas cosas.

      • tardas mas en abrir la terminal y poner chmod que abrir la consola de windows y poner attrib…

  11. A mi vieja la quería poner un lector de memorias portátil en su PC y enseñarle que las memorias SD tienen el bloqueo de escritura… pero Juan tiene razón, es mejor que te deba favores!

  12. Yo ya me harté de recibir peticiones para ‘limpiar’ esto. Así que a la gente les paso ahora un bat que contiene esto:

    @echo off
    echo Mostrar nuevamente carpetas ocultas por bicho
    echo Modificando Atributos. Espere por favor…
    attrib -a -s -h -r *.* /S /D
    echo Atributos modificados. Archivos y carpetas ya visibles.
    pause

    Les digo que pongan ese archivo en la memoria, le den doble clic y sigan las instrucciones (bastante sencillas). Después, que entren a su memoria y borren todo lo que no conozcan que sea suyo, incluyendo las ‘carpetas’ que muestren tamaño de 2 kb y tengan flechitas (los accesos directos). Y ya.

    Triste malware. Pero lo de no poder cambiar permisos desde Windows es algo que me parece inaudito.

    • Tengo la costumbre de sacar las putas flechitas esas por cuanta PC paso así que a mis contactos lo de diferenciar con/sin flechita no les serviría de nada pero tu método es muy interesante.

      ¡Saludos!

      PD: (Tal vez te lo robre) ¿GNU/GPL?

      • Igual y puedes agregar al bat la siguiente línea:
        del *.lnk /Q
        El parámetro /q es para que no te pregunte por permiso para borrar, sino que lo haga directamente. La agregas después de la llamada al comando attrib.

        Me acabas de dar esa idea. Se la voy a agregar a mi bat.

  13. Yo estoy esperando un pendrive que venga con protección de escritura. Hasta ahora lo más cerca que he visto de eso es un lector de tarjetas SD usb y bloquear la tarjeta para escribir.

  14. Trabajo entre otras cosas imprimiendo fotos, y eso me pasa todos los dias. es mejor usar attrib -s -h -r -a /s /d *.* por el tema de las subcarpetas.

      • Las pcs tienen antivirus (eset) pero el eset borra los virus y los accesos directos, y lo que esta oculto queda oculto.

        El virus lo trae cada uno.

  15. Te digo que ante un virus nunca me habia sentido tan imbécil, yo dije “TE VOY A BORRAR MALDITO” yal hacerlo no pude acceder mas a mis datos. El virus se habia divertido transformando carpetas en accesos directos y solo el conocía la ubicación de mis carpetas (las deja en un vacío cosmico), asi que para no perder nada decidí volver al virus a donde estaba,y los accesos directos que habia creado me redireccionaban a mis carpetas, entonces agarre carpeta a carpeta los datos y los puse en otra carpeta. Despues lo asesiné con una aplicacion para rootkits que recomendó guille hace una banda…mmm, el … (vacio de memoria, volveré)

  16. Juan, lo que ves en Windows son ventanas sobre DOS… si supieras un poco más del tema entenderías que la mayoria de los problemas en Windows se solucionan desde consola.

  17. Esto lo saque de taringa y funciono de maravillas.

    Create un archivo .bat con el notepad de windows con este contenido:

    @echo off
    title Pendrive
    color 1E
    @echo ———————————————-
    @echo —- REPARACION DE FICHEROS PENDRIVE —-
    @echo ———————————————-
    @echo Cambiando Atributo de Carpetas
    Attrib /d /s -r -h -s *.*
    @echo ———————————————-
    @echo Eliminado Accesos Directos
    if exist *.lnk del *.lnk
    @echo ———————————————-
    @echo Eliminado Autorun
    if exist autorun.inf del autorun.inf
    @echo ———————————————-
    @echo Operacion OK…
    @echo ———————————————-
    @echo ———————————————-
    @echo Por ElPelado
    @echo ———————————————-
    @echo ———————————————-
    @echo Saludos… A todos
    pause

    Copia el archivo “repapen.bat” (yo le puse asi) que creaste al pendriver y ejecutalo….. listo en lo que tarde tu pc. (borra el virus y hace aparecer las carpetas.

    Igualmente si el virus lo tenes instalado en tu PC el mejor para eliminarlo es Malwarebytes y el antivirus que no lo ve es AVAST yo me pase a NOD32 que lo detecta facilmente en los pendrivers infectados.

Dejar respuesta

Please enter your comment!
Please enter your name here