Es un malware que se aprovecha de la vulnerabilidad de los accesos directos, pero tambien crea una carpeta en las memorias llamada "RECYCLER" al igual que otros malwares previos...
hace un tiempo desarrolle varios scripts de este tipo, aqui os dejo uno que les sirve para la causa, ustedes le podrian hacer la interfaz para que "se vea mas bonito"
@Echo Off
@title S.M.A.R.T. - RECYCLER FIX
@Color 0a
::Clean .LNK and RECYCLER from USB Pendrives
::Coded by SmartGenius / thesmartgenius
::http://smart.code-makers.net
Setlocal enabledelayedexpansion
Echo.
Echo. S.M.A.R.T. - RECYCLER FIX
Echo. Analisis y Limpieza de Memorias USB
Echo. para el Virus RECYCLER (Variante .LNK)
Echo.
Call :QueryDrives USBDrives
Echo. Unidades USB Disponibles: %USBDrives%
Echo.
Echo. Presione cualquier tecla para iniciar el Analisis
Pause >nul
For %%U in (%USBDrives%) DO (
If Exist "%%U:" (
Echo. Analizando Disco %%U:
If Exist "%%U:\RECYCLER" (
Echo.
Echo. Amenaza encontrada en la Unidad "%%U:"
Echo.
Echo. Por favor espere...
Cd %%U:>nul&%%U:&CD\
For /f "tokens=*" %%l in ('dir /b *.lnk') do (
Attrib -h "%%~nl" 2>nul
Set /a "Am+=1"
Echo. !Am! - %%~nl
)
Echo.
Del /f /q *.lnk 2>nul
Echo. Total Eliminados: !Am!
RD /s /q RECYCLER 2>nul
)))
Echo.
Echo. Analisis Finalizado
Echo. Presione cualquier tecla para salir...
Echo.
Pause>nul&Pause>nul
Exit /b 0
:QueryDrives
Set "%~1="
Set "HexValue=530054004F00520041"
Reg Query HKLM\SYSTEM\MOUNTEDDEVICES | Find "%HexValue%" 9>NUL 1>&9 2>&1 || Set "HexValue=550053004200530054"
For /F "delims=\: TOKENS=0X3" %%D in ('Reg Query HKLM\SYSTEM\MOUNTEDDEVICES ^| FIND "%HexValue%"') DO (
VOL %%D: 8>NUL 1>&8 2>&1 && (
Set "TmpD=!TmpD!,%%D"
))
Set "%~1=!TmpD:~1!"
Goto :Eof
Mas info:
http://smart.code-makers.net/?p=27Saludos.