Eliminar Virus Win32/Dorkbot.B (transmitido vía USB)

Recientemente me topé con este virus (variante Dorkbot.B, aunque también existen la A y la D; que se transmite generalmente por el puerto USB), luego de utilizar mi HDD externo USB 3.0 en un PC ajeno. Apenas conecté el disco externo a mi notebook, el antivirus ESET Nod 32 lo detectó inmediatamente, aunque no lo podía desinfectar, sólo enviar a cuarentena (algo es algo).

Screenshot detección de Win32/Dorkbot.B y puesta en cuarentena

 En sí es un virus de bajo riesgo, pero bastante molesto, porque cambia los directorios raíz por accesos directos maliciosos (escondiendo tus datos) y se clona en varias partes, incluyendo el MBR...si es que éste alcanza a infectar tu equipo principal. Para mi fortuna, esto no sucedió, pero estaba residente en mi disco externo, implicando que en cualquier otro equipo que lo conectase, se infectaría también.


Buscando una solución al respecto, encontré estas dos formas efectivas de eliminarlo sin tener que formatear la unidad implicada (y, por ende, no perder nuestros valiosos datos), con diferentes niveles de automatización:

1. USBFix: http://www.forospyware.com/t349829.html (completamente explicado y descarga).
2. ElistarA: http://www.zonavirus.com/descargas/descargar-elistara.asp (descarga).

Siguiendo el segundo método, bajamos la aplicación "ElistarA", lo descomprimimos en el escritorio (para mayor visibilidad) y seguimos el siguiente procedimiento: 

1. Iniciar el sistema en modo seguro (presionando F8 mientras arranca el PC y seleccionando modo seguro).
2. Si usan Windows Vista/Windows 7 ejecutar la aplicación con el botón derecho sobre el archivo "ElistarA.exe" y dar clic en "Ejecutar como administrador".
3. Después presionar "aceptar" al aviso, seleccionar primero el disco C:/ y hacer clic en "explorar", una vez que finalice el proceso de búsqueda, seleccionar los otros discos o particiones locales si es que tuvieran. Asimismo, con las unidades de USB o tarjetas de memoria infectadas conectadas al PC.
4. Una vez que encuentre las instancias de Dorkbot.B eliminarlas.
5. Posteriormente, eliminar el residuo del virus abriendo la aplicación WinRar (o similar como WinZip u otros), explorar todas las unidades raíz examinadas previamente (C:/, E:/, F:/ o las que apliquen) y eliminar la carpeta "RECYCLER.BIN".
6. Finalmente, recuperar los atributos de las carpetas que el virus ocultó, ir a: "Inicio" - "Ejecutar..." y escribir "cmd", ejecutar la aplicación con el botón derecho y dar clic en "Ejecutar como administrador". En la consola escribir el siguiente comando: "attrib -s -r -h /s /d :\*.*" (sin las comillas), donde corresponde a la letra de la unidad raíz donde hayamos examinado con "ElistarA" (ejemplo: para una unidad USB en la partición E: attrib -s -r -h /s /d E:\*.*).

 Por si te intriga saber qué significan estos comandos en particular, acá el desglose de cada uno:

• attrib: Para visualizar o modificar atributo (attribute).
• /d: Para poder procesar carpetas (directory).
• /s: Para poder procesar sub-carpetas (subdirectory).
• -r: Quitar atributos de sólo lectura (read).
• -h: Quitar atributos de oculto (hidden).
• -s: Quitar atributos de sistema (system).
• *.*: Para archivos de cualquier nombre y con cualquier extensión.