Avast WEBforum
Non-English Zone => Espanol => Topic started by: onakiri on October 15, 2011, 06:35:41 PM
-
Hola, tengo un USB Teclast que viene con un "sistema" para ponerle claves y cuando lo enchufo al PC me sale que tiene un troyano o algo asi que es el archivo autorun que esta en la raiz del USB supuestamente y cuando le digo al Avast! que lo elimine me sale "Error: Acceso denegado (5)", alguien sabe como eliminar el "troyano"?
saludos
-
Hola, tengo un USB Teclast que viene con un "sistema" para ponerle claves y cuando lo enchufo al PC me sale que tiene un troyano o algo asi que es el archivo autorun que esta en la raiz del USB supuestamente y cuando le digo al Avast! que lo elimine me sale "Error: Acceso denegado (5)", alguien sabe como eliminar el "troyano"?
saludos
Hola onakiri y bienvenido al foro.
En principio por lo que comentas, entiendo que tu llave usb dispone de un sistema de protección de lectura y/o escritura por software pero lo que avast te está detectando es una amenaza en tu usb (que no tiene nada que ver con qué tu stick USB tenga un sistema de protección de lectura/escritura) y eso es mala señal ya que posiblemente hayas sido infectado por algún tipo de malware. Sería bueno que nos comentaras que amenaza encontró AVAST para hacernos una idea de a lo que te enfrentas.
Los cd's, dvd's, pendrives, etc, contienen en su carpeta raíz un fichero llamado autorun.inf en el cual se establece que fichero queremos que se abra (ejecute) nada más insertar el cd,dvd ó stick USB. Normalmente existe una llamada a un fichero de tipo setup.exe, install.exe, por poner un ejemplo. Los virus que infectan los sticks USB lo que hacen es copiarse a los sticks USB ellos mismos (se autoreplican) y modifican el fichero autorun.inf añadiendo una referencia a ellos mismos garantizando así que cada vez que el pendrive usb es insertado en un sistema, se ejecute el fichero establecido en autorun.inf (en este caso el propio virus) infectando así el sistema donde sea insertado el stick USB si éste no dispone de un antivirus actualizado y que lo reconozca. Cuando un sistema resulta infectado, todo stick USB que se inserte queda automáticamente infectado para replicarse en otros sistemas mediante el mismo procedimiento y así sucesivamente...
Si quieres más información sobre autorun.inf puedes visitar el siguiente enlace dónde lo explican muy bien por si no te quedó clara mi explicación. Enlace: http://multingles.net/docs/juansa/chiqui_autorun.htm (http://multingles.net/docs/juansa/chiqui_autorun.htm)
Por otra parte, el error que te devuelve Windows (Error de acceso nº5) se debe principalmente a dos motivos:
1) No dispone de los privilegios suficientes (necesita ser usuario administrador)
2) El stick ó llave USB está protegido contra escritura.
Comprueba que el usb por su parte externa no tenga un interruptor que diga "lock/unlock" ó algo similar.
Si tu usb no dispone de ninguna pestaña o interruptor de bloqueo contra escritura, posiblemente se trate de un problema de elevación de permisos (no estás identificado como usuario administrador) ó en el peor de los casos, tu sistema (windows) se encuentra infectado por un malware y éste se encuentra activo en memoria (residente) y bloquea todo intento que haga el usuario ó el mismo antivirus por eliminarlo ya que el fichero que intenta eliminar el antivirus (el propio malware) está abierto en otro proceso.
Para solucionarlo:
1) Comprueba que el pendrive ó stick usb no se encuentra protegido contra escritura mediante un interruptor. Si está bloqueado, desbloquéalo y analízalo de nuevo con el AVAST para que elimine el malware. Si esto no funciona pasa al paso nº2.
2) Inicia sesión como el usuario Administrador ó cualquier otro usuario perteneciente al grupo de administradores. Analiza el USB con tu AVAST e intenta eliminar el virus ahora.
Espero haberte ayudado.
Un saludo.
-
Onakiri.
Aparte de la info que populous te dio arriba, tengo dos sitios que puedes chequear a ver si te ayudan en algo:
http://es.kioskea.net/faq/6965-quitar-proteccion-contra-escritura-de-memoria-usb
http://es.kioskea.net/faq/342-eliminar-virus-de-una-memoria-usb-o-un-dispositivo-extraible
Es dificil, por lo menos para mi, conseguir informacion confiable de sitios web en español porque no conosco muchos. Si no puedes resolver el problema chequea los siguientes sitios web.
Si sabes ingles puedes abrir un nuevo topico aqui en Avast:
Lee primero esto:
http://forum.avast.com/index.php?topic=53253.0
y despues abres un topico aqui:
http://forum.avast.com/index.php?board=4.0
Si es en español hazlo aqui:
http://www.forospyware.com/foro-de-virus-y-spywares/
Suerte.
-
Mi nivel de inglés es muy bajo y la web de forospyware ya puse un tema sobre esto y no me contestaron, ahora mismo no tengo el USB por la tarde cuando lo tenga hago la prueba
gracias y saludos
-
Mi nivel de inglés es muy bajo y la web de forospyware ya puse un tema sobre esto y no me contestaron, ahora mismo no tengo el USB por la tarde cuando lo tenga hago la prueba
gracias y saludos
Hola de nuevo onakiri
Mira la siguiente URL http://www.infospyware.com/utiles/usbfix/ (http://www.infospyware.com/utiles/usbfix/). Se trata de una herramienta específica para eliminar virus de sticks usb y demás medios extraibles. Esta herramienta la recomiendan desde http://www.forospyware.com/ (http://www.forospyware.com/) el foro que te recomendó el amigo iroc9555.
Un saludo!
-
Probé el del USB fix y el RAV pero el antivirus Avast! me sigue diciendo que tengo virus, os dejo el post donde pregunte al forospyware con fotos del sistema anti escritura o lectura que tiene mi USB por si sirve de algo
http://www.forospyware.com/t384518.html
saludos y gracias
-
Probé el del USB fix y el RAV pero el antivirus Avast! me sigue diciendo que tengo virus, os dejo el post donde pregunte al forospyware con fotos del sistema anti escritura o lectura que tiene mi USB por si sirve de algo
http://www.forospyware.com/t384518.html
saludos y gracias
Hola, no sabía que era comprando en china...
Hace algún tiempo me regalaron uno que también venía de china. Recuerdo que era de 4 GB cuando en España lo máximo que podías encontrar en las tiendas eran de 1GB (hablo hace 3 años aproximadamente). Finalmente resultó ser FALSO y no tenía 4 GB en realidad, sino 512 MB. Tenía un programa (similar al tuyo) que se activaba al introducir el pendrive y lo que hacía era "engañar" al sistema de archivos de windows sobre el espacio real del pendrive y encima el programita ese era un virus que no hubo forma de eliminar. En su momento leí en un foro de yahoo que lo que había que hacer para saber si era pirata ó no, es decir, si no me habían engañado, era intentar llenar los 4GB. Cual fue mi sorpresa cuando al copiar una película descargada de internet de tan solo 700 MB no cabía en el pendrive.. Era de 512MB!!! Y encima me saltaba una alerta del antivirus diciéndome que contenía un troyano y no lo podía eliminar. Lo que hice para solucionarlo fue FORMATEAR el pendrive borrando el programa que traía pero se me quedó con una capacidad, esta vez sí real, de 512 MB. Cuidado con las cosas esas ya que China es considerada junto a Israel uno de los países con más fabricantes y distribuidores de malware que existen y yo personalmente prefiero pagar un poco más antes de llevarme luego un disgusto.
Puede ser que en tu caso se trate de un falso positivo, pero yo si estuviese en tu lugar, formatearía la tarjeta (aunque perderás el programa que trae de protección) pero al menos podrás usarlo (o deberías).
Sube los archivos Format.exe, Lock.exe y Teclast.exe a http://www.virustotal.com (http://www.virustotal.com) y pega aquí el resultado de los análisis para hacerme una idea.
Yo ni me lo planteba, yo formateaba el USB pero eso ya es a elección tuya si formateas el USB ó no. Y te aviso, que PERDERÁS todo lo que contiene incluso el programa que trae y en el peor de los casos, el pendrive podría quedar inutilizado si se trata de una falsificación ya que muchos necesitan de ese programa para funcionar...
¿Qué capacidad tiene el pendrive? Sólo por curiosidad...
-
No creo que sea falso, mi USB pone que tiene 4 GB y hace meses que lo uso y algunas veces lo lleno del todo y sobre formatearlo lo formateé varias veces algunas veces con el formateador de windows y otras veces con el programa que viene dentro del USB
Y aqui el reporte:
-FORMAT:
[spoiler]Antivirus Version Last Update Result
AhnLab-V3 2011.02.26.00 2011.02.25 -
AntiVir 7.11.3.240 2011.02.25 -
Antiy-AVL 2.0.3.7 2011.02.25 -
Avast 4.8.1351.0 2011.02.23 -
Avast5 5.0.677.0 2011.02.23 -
AVG 10.0.0.1190 2011.02.26 -
BitDefender 7.2 2011.02.26 -
CAT-QuickHeal 11.00 2011.02.25 -
ClamAV 0.96.4.0 2011.02.26 -
Commtouch 5.2.11.5 2011.02.25 -
Comodo 7811 2011.02.25 -
DrWeb 5.0.2.03300 2011.02.26 -
eSafe 7.0.17.0 2011.02.24 -
eTrust-Vet 36.1.8184 2011.02.25 -
F-Prot 4.6.2.117 2011.02.25 -
F-Secure 9.0.16160.0 2011.02.25 -
Fortinet 4.2.254.0 2011.02.25 -
GData 21 2011.02.25 -
Ikarus T3.1.1.97.0 2011.02.25 -
Jiangmin 13.0.900 2011.02.25 -
K7AntiVirus 9.90.3967 2011.02.25 -
McAfee 5.400.0.1158 2011.02.26 -
McAfee-GW-Edition 2010.1C 2011.02.25 -
Microsoft 1.6603 2011.02.25 -
NOD32 5908 2011.02.25 -
Norman 6.07.03 2011.02.25 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.25 -
PCTools 7.0.3.5 2011.02.25 -
Prevx 3.0 2011.02.26 -
Rising 23.46.04.05 2011.02.25 Trojan.Win32.Generic.125FA9D6
Sophos 4.61.0 2011.02.26 -
SUPERAntiSpyware 4.40.0.1006 2011.02.26 -
Symantec 20101.3.0.103 2011.02.25 -
TheHacker 6.7.0.1.139 2011.02.25 -
TrendMicro 9.200.0.1012 2011.02.25 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.26 -
VBA32 3.12.14.3 2011.02.25 Worm.Qvod.gj
VIPRE 8538 2011.02.25 -
ViRobot 2011.2.25.4329 2011.02.25 -
VirusBuster 13.6.222.1 2011.02.25 -[/spoiler]
-LOCK:
[spoiler]
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
PandaBeta - - -
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - -
[/spoiler]
-Teclast:
[spoiler]
a-squared 4.0.0.101 2009.03.27 -
AhnLab-V3 5.0.0.2 2009.03.27 -
AntiVir 7.9.0.129 2009.03.27 -
Antiy-AVL 2.0.3.1 2009.03.27 -
Authentium 5.1.2.4 2009.03.27 -
Avast 4.8.1335.0 2009.03.26 -
AVG 8.5.0.283 2009.03.27 -
BitDefender 7.2 2009.03.27 -
CAT-QuickHeal 10.00 2009.03.26 -
ClamAV 0.94.1 2009.03.27 -
Comodo 1086 2009.03.27 -
DrWeb 4.44.0.09170 2009.03.27 -
eSafe 7.0.17.0 2009.03.26 -
eTrust-Vet 31.6.6420 2009.03.27 -
F-Prot 4.4.4.56 2009.03.27 -
F-Secure 8.0.14470.0 2009.03.27 -
Fortinet 3.117.0.0 2009.03.27 -
GData 19 2009.03.27 -
Ikarus T3.1.1.48.0 2009.03.27 -
K7AntiVirus 7.10.683 2009.03.27 -
Kaspersky 7.0.0.125 2009.03.27 -
McAfee 5565 2009.03.26 -
McAfee+Artemis 5565 2009.03.26 -
McAfee-GW-Edition 6.7.6 2009.03.27 -
Microsoft 1.4502 2009.03.27 -
NOD32 3969 2009.03.27 -
NOD32Beta 3969 2009.03.27 -
Norman 6.00.06 2009.03.27 -
nProtect 2009.1.8.0 2009.03.27 -
Panda 10.0.0.10 2009.03.27 -
PCTools 4.4.2.0 2009.03.27 -
Prevx1 V2 2009.03.27 -
Rising 21.22.42.00 2009.03.27 -
Sophos 4.40.0 2009.03.27 -
Sunbelt 3.2.1858.2 2009.03.26 -
Symantec 1.4.4.12 2009.03.27 -
TheHacker 6.3.3.7.292 2009.03.26 -
TrendMicro 8.700.0.1004 2009.03.27 -
VBA32 3.12.10.1 2009.03.26 -
ViRobot 2009.3.27.1666 2009.03.27 -
[/spoiler]
saludos y gracias
-
Onakiri.
Es mejor solo copiar y pegar la direccion URL de Virus Total para asi poder ver el resultado. De la forma que lo hicistes, aparte de que ocupa mucho espacio, no se puede ver el resultado total al final de la pagina.
Si haz formateado el pen drive y usado este procedimiento:
http://es.kioskea.net/faq/342-eliminar-virus-de-una-memoria-usb-o-un-dispositivo-extraible
y todavia Avast te detecta un troyano y por lo que veo nadie contesta en Forospyware es tiempo que te armes de valor y un amigo con un poquito de conocimiento de ingles y abras un topico en el foro de Avast a ver si Essexboy te puede ayudar.
http://forum.avast.com/index.php?board=4.0
o te armas de valor y bota por la ventana el pen drive y compra otro de marca conocida. Puede que por eso no te hayan contestado todavia en el foro. Se diran " y que pasa que no compra otro, mucho trabajo para algo tan dispensable. A mi particularmente me gusta Kingston.
Suerte, amigo.
-
No creo que sea falso, mi USB pone que tiene 4 GB y hace meses que lo uso y algunas veces lo lleno del todo y sobre formatearlo lo formateé varias veces algunas veces con el formateador de windows y otras veces con el programa que viene dentro del USB
Hola de nuevo, por partes:
a) Sobre el formateo: Si formateas el pendrive debería borrarse todo su contenido, incluido esos archivos que me indicas. Si lo has formateado otras veces no entiendo como siguen apareciéndote esos archivos y ese programa dentro.. Además, si formateas usando el programa que viene dentro.. ¿Qué sentido tiene? ¿Se borra y luego se vuelve a grabar? ... ¿Estás seguro que estás formateando ó simplemente estás borrando el contenido? Si se borra se borra todo, tenga lo que tenga.. no entiendo como se borra y luego te siguen apareciendo esos ficheros en la raiz... Ló unico que se me ocurre es que sea tu propio windows el que está infectado y que por mucho que formatees, cuando insertas el pendrive de nuevo, se vuelve a infectar ya que el virus podría estar activo en memoria (residente) oculto entre el resto de procesos legítimos del sistema y puede pasar desapercibido..
b) Sobre el resultado de los análisis de virustotal:
format.exe
Rising Antivirus - Trojan.Win32.Generic.125FA9D6
lock.exe
eSafe - Suspicious File (Fichero sospechoso)
Teclast: NO ENCUENTRA NADA.
Ante estos resultados, yo te diría que es un falso positivo pero esos son los archivos que se ven. No obstante el archivo que contiene el virus o la amenaza que avast ha detectado es, seguramente, otro que se encuentra oculto... De hecho fíjate que en los tres análisis avast no detectó nada, por lo tanto no son esos archivos los que están infectados, sino alguno oculto... activa mostrar archivos y carpetas ocultos en tu explorador de windows ó dime exactamente qué amenaza detecta AVAST y en qué fichero/s...
Yo te comenté que analizaras en virustotal esos 3 ficheros porque son los que se veían en la carpeta raíz de tu pendrive (en la captura de pantalla que subiste a forospyware) pero a lo mejor, la amenaza que avast te detecta se encuentra oculta y por eso no se muestra... es decir, has analizado los archivos que no son.
Avast te dirá que ha encontrado una amenaza y en qué fichero y ese es el que tienes que analizar también en virus total y si detecta varias infecciones, analizar por separado cada archivo que avast te identifica como amenaza en virustotal.
Y en cuanto a lo que te comentó Iroc9555 totalmente de acuerdo con él y es más, ya yo habría tirado ese usb a la basura pero si no tienes otro, de momento intenta no meterlo en otro pc hasta que soluciones el problema para evitar infectar otros sistemas...
c) Resultados de virustotal.com: Lo que te comentó Iroc9555 sobre los resultados es muy sencillo. Cada vez que analices un archivo, despues de hacer el upload eres redirigido a una página donde se van mostrando los resultados poco a poco.. pues esa URL (dirección) de la página de resultados es la que tendrías que copiar aquí y así es muchísimo más fácil de leer y de interpretar los resultados.
Ya nos contarás...
-
Al final lo de formatear solo habia formateado la partición que es la memoria de 4 GB pero la partición de programa de "seguridad" no me dejaba formatear y el archivo autorun.inf (que es el que me muestra como infectado con trojano en el avast) no me deja eliminiar
saludos
-
Al final lo de formatear solo habia formateado la partición que es la memoria de 4 GB pero la partición de programa de "seguridad" no me dejaba formatear y el archivo autorun.inf (que es el que me muestra como infectado con trojano en el avast) no me deja eliminiar
saludos
Hola de nuevo onakiri,
¿Has tenido en cuenta las indicaciones que te hemos dado?
Es que si no das más información y no sabemos que has hecho y que no, es imposible que te podamos seguir ayudando...
Saludos
-
Al final lo de formatear solo habia formateado la partición que es la memoria de 4 GB pero la partición de programa de "seguridad" no me dejaba formatear y el archivo autorun.inf (que es el que me muestra como infectado con trojano en el avast) no me deja eliminiar
Aparentemente el pendrive tiene 2 particiones. Una es identificada como una particion "extraible normal", y la otra es identificada como un CD (es decir, le dice a Windows que no es un UFD comun, sino un CD, posiblemente NO RE-grabable).
La "particion" que aparece como si fuera un CD es probablemente la de "seguridad" (no RE-grabable).
Es posible que tengas que configurar Windows Explorer para mostrar los archivos de sistema y ocultos. Luego abre el autorun.inf con el bloc de notas (notepad.exe) y pega aqui su contenido. NO abras el autorun.inf con doble click ni con ningun otro programa que no sea el notepad.
(Perdon que no uso acentos. No tengo en este momento un teclado español.)
-
Los procesos eso de kioskea para eliminar el virus ya lo he hecho. Sobre el formateo, como dije antes, formatee la partición (supuestamente partición donde tiene 4 gb para guardar cosas, lo llamaré partición "A" de ahora en adelante) ya que la otra partición (supuestamente la partición del programa de seguridad, lo llamaré partición "B" de ahora en adelante) no me deja, ayer expulsé la partición "B" dando clic derecho en la partición desde MI PC y después a "expulsar" luego formatee la partición "A" a NTFS y despues lo volví a formatear a FAT32, pero nada me sigue mostrando con troyano. En cuanto a los archivos ocultos, al poner visible todos los archivos ocultos me aparecen estos archivos: Autorun.exe, Autorun.inf, Format.exe, Lock.exe, Teclast.cdd y Teclast.exe. De todos estos el AVAST me dice que autorun.inf tiene troyano y al abrirlo con notepad me aparece esto
[AutoRun]
OPEN=autorun.exe
ICON=autorun.exe,0
Y ahora virustotal.com no se por qué no me deja entrar, cuando pueda entrar en virustotal.com analizo el archivo autorun.inf
saludos y lo siento mucho por las molestias
-
Los procesos eso de kioskea para eliminar el virus ya lo he hecho. Sobre el formateo, como dije antes, formatee la partición (supuestamente partición donde tiene 4 gb para guardar cosas, lo llamaré partición "A" de ahora en adelante) ya que la otra partición (supuestamente la partición del programa de seguridad, lo llamaré partición "B" de ahora en adelante) no me deja, ayer expulsé la partición "B" dando clic derecho en la partición desde MI PC y después a "expulsar" luego formatee la partición "A" a NTFS y despues lo volví a formatear a FAT32, pero nada me sigue mostrando con troyano. En cuanto a los archivos ocultos, al poner visible todos los archivos ocultos me aparecen estos archivos: Autorun.exe, Autorun.inf, Format.exe, Lock.exe, Teclast.cdd y Teclast.exe. De todos estos el AVAST me dice que autorun.inf tiene troyano y al abrirlo con notepad me aparece esto
[AutoRun]
OPEN=autorun.exe
ICON=autorun.exe,0
Y ahora virustotal.com no se por qué no me deja entrar, cuando pueda entrar en virustotal.com analizo el archivo autorun.inf
saludos y lo siento mucho por las molestias
Hola de nuevo y no tienes que disculparte que no es ninguna molestia. :) Nosotros somos usuarios de avast como tú a los que nos gusta ayudar en la medida de nuestras posibilidades así que descuida y vamos a ver si te solucionamos el problema ;)
Te comento:
Cuando avast te detecta como amenaza autorun.inf no te está diciendo que ese fichero sea un virus, sino que mientras se abría se intentó ejecutar una amenaza. Un archivo .inf NUNCA podrá ser infectado ya que un archivo .inf no se puede infectar, sólo se infectan los archivos ejecutables (.exe,.com), los de macro (.xls,.mdb,.doc,.docx,etc) y los pdfs que contienen macros.
Por lo tanto lo que te indica avast es que detectó una amenaza mientras se procesaba autorun.inf, lo cual es lógico ya que es lo primero que se "ejecuta" al introducir tu pendrive. Si te fijas en tu fichero autorun.inf observa la linea siguiente:
OPEN=autorun.exe
Cuando insertas tu pendrive, Windows de forma automática, busca y abre el fichero autorun.inf y lee la linea "OPEN=...." y abre el fichero que se especifica a continuación de la variable OPEN. Si te fijas en el contenido del autorun.inf llama a un archivo "OCULTO" llamado "AUTORUN.EXE" el cual no debería ser oculto (síntoma de que es un virus) y que ESE SI ES EL VIRUS y ese es el que tienes que subir a www.virustotal.com (http://www.virustotal.com).
A veces www.virustotal.com (http://www.virustotal.com) debido a la sobrecarga de sus servidores no se abre pero existe otra página (www.jotti.org (http://www.jotti.org)) que también sirve para lo mismo aunque utiliza menos motores antivirus que los que usa virustotal, es decir, escanea con menos antivirus aunque sí con los más populares y potentes del mercado. Pero insisto como te dije en su momento que lo que tienes que subir es el fichero AUTORUN.EXE y pegar la url de los resultados aquí y ya lo valoramos.
No obstante, espera al resultado de virustotal.org ó de Jotti.org por si acaso se trate de un falso positivo de Avast lo cual se resolvería de una forma muy sencilla.
Saludos!
-
la otra partición (supuestamente la partición del programa de seguridad, lo llamaré partición "B" de ahora en adelante) no me deja
La razón de que Windows no te deje "formatear" esa partición es porque no la considera una "partición", sino un CD (como ya explique arriba).
Quizás esto sea una característica del producto que adquiriste. Por ejemplo, podría ser usado para copiar archivos ISO y bootearlos? No lo sé en realidad; no conozco ese producto.
La "seguridad" que te ofrece el producto es justamente que no deja que Windows sobre-escriba por error un archivo guardado en esa "partición", ya que es identificada como "read-only" CD (CD de "solo-lectura"). Es posible que exista algún software para usar esa "partición" de manera de guardar archivos una vez y que no puedan ser modificados por un simple error de usuario en Windows. Reitero, no lo sé porque desconozco el producto. Sólo estoy presentando una posibilidad potencial.
Sobre el resto, por favor sigue las indicaciones ya ofrecidas por Populous y luego pega aquí el link al informe de VirusTotal (y los otros sitios para chequeos).
-
la otra partición (supuestamente la partición del programa de seguridad, lo llamaré partición "B" de ahora en adelante) no me deja
La razón de que Windows no te deje "formatear" esa partición es porque no la considera una "partición", sino un CD (como ya explique arriba).
Quizás esto sea una característica del producto que adquiriste. Por ejemplo, podría ser usado para copiar archivos ISO y bootearlos? No lo sé en realidad; no conozco ese producto.
La "seguridad" que te ofrece el producto es justamente que no deja que Windows sobre-escriba por error un archivo guardado en esa "partición", ya que es identificada como "read-only" CD (CD de "solo-lectura"). Es posible que exista algún software para usar esa "partición" de manera de guardar archivos una vez y que no puedan ser modificados por un simple error de usuario en Windows. Reitero, no lo sé porque desconozco el producto. Sólo estoy presentando una posibilidad potencial.
Sobre el resto, por favor sigue las indicaciones ya ofrecidas por Populous y luego pega aquí el link al informe de VirusTotal (y los otros sitios para chequeos).
Totalmente de acuerdo contigo ady4um y debemos valorar y tener en cuenta distintas posibilidades; yo también desconozco ese producto y de hecho es la primera vez que oigo decir que una memoria usb tiene particiones... pero bueno, todos los dias se aprente algo nuevo no? jeje,
En fin, a esperar a ver que yo estoy intrigado de saber que pasa con ese usb... ???
Un saludo! :)
-
es la primera vez que oigo decir que una memoria usb tiene particiones...
Muchos UFDs tienen particiones. Hay más de un producto que viene "de fábrica" con más de una partición, y hay más de un software que permite particionar UFDs.
En la gran mayoría de casos, sólo una partición (de UFDs) es visible en Windows en un cierto instante, y el resto está marcado con un atributo de "oculto".
Pero no hay muchos productos que vengan con una "partición" que sea identificada por Windows como si fuera un CD. Este tipo de productos tiene funciones (objetivos / usos) específicas, en lugar de ser usados como UFDs "comunes".
Tendremos que esperar al feedback de Onakiri.
-
es la primera vez que oigo decir que una memoria usb tiene particiones...
Muchos UFDs tienen particiones. Hay más de un producto que viene "de fábrica" con más de una partición, y hay más de un software que permite particionar UFDs.
En la gran mayoría de casos, sólo una partición (de UFDs) es visible en Windows en un cierto instante, y el resto está marcado con un atributo de "oculto".
Pero no hay muchos productos que vengan con una "partición" que sea identificada por Windows como si fuera un CD. Este tipo de productos tiene funciones (objetivos / usos) específicas, en lugar de ser usados como UFDs "comunes".
Tendremos que esperar al feedback de Onakiri.
Lo dicho, todos los días se aprende algo nuevo... :o Yo nunca los he visto y si los he tenido en mis manos no me he fijado que tuviesen varias particiones así que muchas gracias por la información! :)
Ahora como bien dices a esperar a ver que tal le ha ido a Onakiri
Un saludo! :)
-
Dejo reporte de virustotal y de jotti del archivo Autorun.exe
Virustotal (http://http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1302227427)
Jotti (http://virusscan.jotti.org/es/scanresult/905fb6e47b45386d76f1657b082cf9b41967e6d3)
Luego lo volví a analizar con el virustotal y me sale en resultado 1 más
Segundo analisis de Virustotal (http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319297536)
saludos
-
Los links a VT no funcionaron para mi (y NO es por el doble http). El link a Jotti sí funciona.
Dado que algunos AV no identifican ningún malware y otros sí, me pregunto si realmente es malware (que todavía no es completamente identificado por todos) o es algún FP, siendo una aplicación "de seguridad".
Mi primera recomendación es que onakiri consiga algún manual de usuario (en algún idioma) sobre el producto que adquirió para saber primero cómo se supone que funciona y si este autorun.exe es o no correcto. Si hay algún link a algún manual (aunque no sea en español), puede ser útil pegarlo aquí también.
-
Puff, es que ni se que modelo de USB es, ya que en el USB no pone nada y tampoco tengo la caja ya que lo tengo hace casi 1 año, en la web tampoco encuentro el modelo del USB ya que esta en chino y no entiendo nada. Si no hay otra opción entonces me aguantaré con este USB hasta que me compre uno nuevo
saludos y gracias
-
Puff, es que ni se que modelo de USB es, ya que en el USB no pone nada y tampoco tengo la caja ya que lo tengo hace casi 1 año, en la web tampoco encuentro el modelo del USB ya que esta en chino y no entiendo nada. Si no hay otra opción entonces me aguantaré con este USB hasta que me compre uno nuevo
saludos y gracias
Hola de nuevo onakiri, te comento:
En mi opinión sí que se trata de algún tipo de malware..
Avira
Bitdefender
Gdata
Los motores de los antivirus anteriormente citados son considerados junto al del Avast, kaspersky, Norton y F-Secure los más potentes del mercado y no lo digo yo, sino las estadísticas. Como referencia puedes echar un vistazo a www.av-comparatives.org (http://www.av-comparatives.org) y mira el ranking de detecciones por antivirus y verás de lo que te hablo. GDATA incluso utiliza dos motores y lo ha detectado como un troyano.
En mi humilde opinión y no digo que yo tenga razón y los demás no, no creo que sea un FP (Falso Positivo) debido a que son muchos y de los mejores antivirus del mercado los que detectan autorun.exe como amenaza... Además que no es habitual ni lógico que desde un fichero autorun.inf se llame a un fichero "oculto", como en este caso es autorun.exe. Lo normal es que llame a algún fichero de instalación tipo "SETUP.EXE" "config.exe" ó PEPITO.EXE si lo prefieres, pero NUNCA a un fichero oculto.
He tenido en mis manos muchas muestras de virus de llave usb y en el 95% de los casos actúan de la misma forma que en tu caso, es decir, modifica el fichero autorun.inf y se copian al pendrive con el nombre autorun.exe y le ponen el atributo oculto (+h) al archivo para pasar desapercibido a los ojos del usuario. De hecho si quieres hacer una prueba, inserta un CD de algun juego y/o programa original y mira el contenido del fichero autorun.inf.... Verás como llama a un fichero .EXE que NO SE ENCUENTRA OCULTO en el disco, podrá estar a lo mejor, en una carpeta diferente a la raíz \ pero NUNCA oculto...
Si quieres un consejo, yo abriría un hilo en el foro de viruses&worms ( http://forum.avast.com/index.php?board=4.0 (http://forum.avast.com/index.php?board=4.0) )y les enviaría el fichero autorun.exe comprimido en un zip con contraseña.
Ponle por ejemplo de contraseña "Infected" o "virus" y enviáselos por email a virus@avast.com pero abre un hilo en el foro para que estén al tanto.. Diles que tu antivirus AVAST lo detecta pero no lo elimina.... La detección que te están haciendo los motores antivirus son genéricas, es decir, no te están identificando a un troyano específico sino que tiene "rastros" o "características" similares a las de los troyanos en su código.... Yo si quieres un consejo haría eso y sobre todo, no sigas usando ese pendrive ni lo insertes en otro sistema hasta que te respondan los del laboratorio de avast.
Yo soy informático y desarrollador pero no pertenezco al equipo de Avast (ojalá) y no quiero meterme donde nadie me llama ni asesorarte profesionalmente ya que para eso está el equipo de Avast el cual te garantizo que son unos magnificos profesionales y muy competentes.
Yo lo único que hago es desde mis más de 15 años de experiencia como profesional en el mundo de la informática, en concreto en los campos de programación y seguridad informática es intentar ayudar y aconsejar a los demás usuarios.
Yo que tu esperaría también las opiniones de otros miembros del foro ya que yo, y lo quiero dejar claro, no pertenezco al equipo de Avast; simplemente soy un usuario como tú al que le gusta mucho avast y que confía en su protección.
Pero si quieres mi opinión, se trata de un malware en toda regla...
Espero haberte aclarado algo tus dudas...
Un saludo!
-
Quiero dejar claro que NO he dicho que no sea un malware, pero tampoco sé con absoluta certeza que sí lo sea.
Acaso esto apareció recientemente? Qué pasaba antes, durante este último año?
Si estás interesado, hay software (portable) que puede ayudarte a identificar el modelo, pero no puedo asegurarte nada, y es posible que te pueda confundir más que lo que pueda ayudarte.
Es nueva esta "partición" que aparece como CD? O ya existía desde antes?
No me queda claro qué pasaba hasta ahora. Qué cambió?
-
Quiero dejar claro que NO he dicho que no sea un malware, pero tampoco sé con absoluta certeza que sí lo sea.
Acaso esto apareció recientemente? Qué pasaba antes, durante este último año?
Si estás interesado, hay software (portable) que puede ayudarte a identificar el modelo, pero no puedo asegurarte nada, y es posible que te pueda confundir más que lo que pueda ayudarte.
Es nueva esta "partición" que aparece como CD? O ya existía desde antes?
No me queda claro qué pasaba hasta ahora. Qué cambió?
Yo no digo que sea una malware , yo lo que he dicho es que "en mi opinión" y basándome en mi experiencia SI que es un malware pero lógicamente, somos humanos y cualquiera se puede equivocar y cometer errores, pero creo que es esa la base del aprendizaje, lanzar hipótesis, algunas serán correctas y otras no, y a partir de la experiencia, aprender, pero en ningún momento lo dije por ti ady4um ni por nadie en absoluto, simplemente di mi opinión como tu has dado la tuya y no creo que sea cuestión de quien tenga ó no razón sino de ayudar a resolverle el problema al amigo onakiri...
Un saludo! ;)
-
En muchos casos, "características de seguridad" son muy parecidas a algún malware.
Lo que traté de expresar es que no estamos hablando de "tener razón o no". No hay contradicciones.
Onakiri, si decides eliminar el archivo autorun.exe (cosa que aun no sabes cómo hacer), no tandrás forma de recuperarlo en el caso que descubras que es parte de la "seguridad" de tu UFD, en lugar de ser un malware.
Dado que de todas formas no sabes como eliminarlo (toda la "partición" te aparece "de solo-lectura"), mi propuesta es que investigues más a fondo las características especiales de tu UFD.
Siempre podrás eliminar definitivamente "todo". Como no tengo en claro qué ha pasado "ahora" que aparece este "nuevo" sospechoso, mi posición suele ser mas conservadora e investigar más, antes de tomar decisiones irreversibles.
Si el UFD no tuviera estas características especiales de seguridad, no tendría ninguna duda en coincidir en que es probablemente mejor eliminar el archivo (o ponerlo en el chest de Avast). Las características "de seguridad" del UFD, y el hecho de que no conozcamos qué sucedió ahora para que este problema salga a la luz (en lugar de haberlo hecho un año atrás), es lo que me hace ser más cauteloso en este caso en particular.
-
Si luego de tener el USB use el sistema solo 1-2 semanas luego ya no lo uso a si que si pudiera eliminar aunque solo sea el autorun.exe o toda esa partición sería mejor y si no hay forma seguiré las instrucciones de Populous
Edit: Por cierto no es que la partición apareció, tarde tanto en poner un post aquí por que antes apenas utilizaba el USB e ignoraba a avast! de que me decía que era un virus pero ahora que lo utilizo más empiezo a preocuparme
Edit2: sorry si tardo en contestar
saludos y gracias
-
Yo sigo pensando que debieras buscar algún manual o ayuda sobre cómo funciona esa partición.
Hablamos de un simple UFD o de un MP3 player o similar?
-
Onakiri.
Se recomendo que abrieras un topico en " Viruses and worms ". Populous te recomienda que mandes el archivo a virus@avast.com para estar seguro de que es un F/P o si de verdad es una infeccion.
Lo comprimes, usa ZIP o RAR. Nombralo F/P ? Lo aseguras con un password, virus. Añade al archivo una nota " Avast can not clean ".
Tanto VT and Jotti detectan " algo " y digo algo porque ha sido mi experiensa que no siempre ellos estan correctos. Si mas del 60% detectara y definitivamente te muestran el sello de malware, arriba y a la derecha, es otra cosa. Si Avast detecta algo GData tambien porque usan el mismo buscador asi que no cuenta.
Como no conocemos el producto y sabemos que un producto puede comportarce como malware, solamente ve Google, y ahora con el euristic analisis hay suficientes F/P, pero si Populous con su experiencia te asegura que esta infectado, su opinion, y Avast no lo limpia, bueno eso es cosa de Avast averiguar como hacerlo. Tu mismo lo has dicho: Lo has formateado, has usado las herramientas que se te aconsejaron y todavia, todavia el programa con el archivo esta ahi.
No se esta llegando a nada con este hilo porque se estan repitiendo las cosas de otra manera y cuando los hilos se alargan los que te estan ayudando, que normalmente leen otros muchos hilos, pierden lo que se pregunto al inicio.
....cuando le digo al Avast! que lo elimine me sale "Error: Acceso denegado (5)", alguien sabe como eliminar el "troyano"?
Como dicen los gringos " la bola esta de tu lado del patio " y es tu turno. Buscate un amigo que sepa ingles y abre un hilo en Viruses and Worms y manda ese archivo a virus@avast.com.
Tanto los consejos de Populous, ady4um, y mios son nuestra propia opinion pero sin mas evidencias fisicas, como tener pen drive, tener el manual, leer chino, etc, solo podemos ir dando opinones en circulos.
Suerte
-
Onakiri.
Se recomendo que abrieras un topico en " Viruses and worms ". Populous te recomienda que mandes el archivo a virus@avast.com para estar seguro de que es un F/P o si de verdad es una infeccion.
Lo comprimes, usa ZIP o RAR. Nombralo F/P ? Lo aseguras con un password, virus. Añade al archivo una nota " Avast can not clean ".
Tanto VT and Jotti detectan " algo " y digo algo porque ha sido mi experiensa que no siempre ellos estan correctos. Si mas del 60% detectara y definitivamente te muestran el sello de malware, arriba y a la derecha, es otra cosa. Si Avast detecta algo GData tambien porque usan el mismo buscador asi que no cuenta.
Como no conocemos el producto y sabemos que un producto puede comportarce como malware, solamente ve Google, y ahora con el euristic analisis hay suficientes F/P, pero si Populous con su experiencia te asegura que esta infectado, su opinion, y Avast no lo limpia, bueno eso es cosa de Avast averiguar como hacerlo. Tu mismo lo has dicho: Lo has formateado, has usado las herramientas que se te aconsejaron y todavia, todavia el programa con el archivo esta ahi.
No se esta llegando a nada con este hilo porque se estan repitiendo las cosas de otra manera y cuando los hilos se alargan los que te estan ayudando, que normalmente leen otros muchos hilos, pierden lo que se pregunto al inicio.
....cuando le digo al Avast! que lo elimine me sale "Error: Acceso denegado (5)", alguien sabe como eliminar el "troyano"?
Como dicen los gringos " la bola esta de tu lado del patio " y es tu turno. Buscate un amigo que sepa ingles y abre un hilo en Viruses and Worms y manda ese archivo a virus@avast.com.
Tanto los consejos de Populous, ady4um, y mios son nuestra propia opinion pero sin mas evidencias fisicas, como tener pen drive, tener el manual, leer chino, etc, solo podemos ir dando opinones en circulos.
Suerte
Estimado amigo iroc9555 ! , no podría estar más de acuerdo contigo! Ahora creo que es el momento de que Onakiri mueva ficha y envíe esa muestra al laboratorio de muestras de avast para que ellos lo analicen y descartar de una vez por todas que se trate de un malware. Es que es lo que tu comentabas Iroc9555, sin el pendrive en nuestras manos, ni el archivo posiblemente infectado, ni nada de nada, no hacemos más que dar palos de ciego y hacer conjeturas basándonos en la poca información que tenemos...
En fin, a ver si finalmente Onakiri consigue solucionarlo y nos desvela el misterio! :P
Un saludo! ;)
PD:
Onakiri, ¿Por qué no envias de nuevo el archivo autorun.exe a www.virustotal.com (http://www.virustotal.com)? Es que el último análisis que enviaste no pudimos ver los resultados porque las url's fallaban y sería muy valioso ver esos resultados... Sin lugar a duda viendo el resultado en virustotal podríamos hacernos una idea mucho más amplia de si se trata de un malware ó no, ya que yo comparto también la valoración de amenazas que hace Iroc5995 en cuanto a si una amenaza es detectada por al menos el 60% de los antivirus y sale el avatar de "malware" en la zona superior derecha de la pantalla podemos asegurar con muy poco margen de error que se trata de un malware, es que jotti.org está bien pero sirve para hacerte una idea pero tampoco es muy fiable ya que son pocos motores los que analizan.. Ten en cuenta que los servicios tipo virustotal.com lo que hacen es analizar a "demanda" archivos, es decir, los analizan buscando amenazas que se encuentran plenamente identificadas en sus bases de datos de firmas antivirus, pero no utilizan la heúristica antivirus para detectar amenazas desconocidas, ni defensas proactivas (basadas en comportamiento), etc,. Pero estos servicios SI sirven al menos para ver si hay "algo" malo ó al menos "extraño" en los archivos....
Inténtalo una vez más y pega la url de la página de los resultados para verla... pero no dejes de enviar los archivos a virus@avast.com tal y como te indicamos y siguiendo las instrucciones de Iroc9555 en el envío vale?
Suerte y esperemos que se te solucione el problema! :)
-
Si bien coincido en que requerimos más datos precisos (como el modelo exacto o el link al manual, o si es un UFD o un MP3), quiero aclarar algo que seguramente se escapa un poco, justamente por las vueltas que le estamos dando al tema.
Se trata de:
Lo has formateado, has usado las herramientas que se te aconsejaron y todavía, todavía el programa con el archivo esta ahí.
Lo que onakiri ha formateado no es la "partición" en donde se encuentra el autorun.exe, sino la otra. La parte que es de "sólo-lectura", que es parte de la característica de seguridad del UFD/MP3 player, es la que contiene el autorun.exe.
A pesar de que no hemos recibido clara respuesta sobre varias preguntas, aquí agrego un par de links para quien pueda interesarle.
Estas herramientas son parcialmente avanzadas y potencialmente "peligrosas" en manos de quien no sabe lo que hace.
http://nirsoft.net/utils/usb_devices_view.html (http://nirsoft.net/utils/usb_devices_view.html) puede ayudar a identificar el chip del USB (entre otras características), y a partir de él quizás el modelo.
"Bootice" es una de varias herramientas que permite ver todas las particiones del UFD, y modificarlas.
Bootice downloads: http://bootice.narod.ru/ (http://bootice.narod.ru/)
Bootice review en inglés:
http://www.pendriveapps.com/bootice-partition-flash-drive-edit-boot-sector/ (http://www.pendriveapps.com/bootice-partition-flash-drive-edit-boot-sector/) (aquí hay también un download, pero no sé si es la ultima versión).
Lo reitero: ambos productos deben ser utilizados con cierto cuidado y conocimiento, en especial Bootice (o utilidades equivalentes). Si no es usado correctamente, puede incluso arruinar el boot normal del sistema o borrar la partición erronea.
Onakiri, por favor contribuye con las respuestas requeridas para poder avanzar.
-
Con USB Device View me ha dado este resultado
==================================================
Nombre del Dispositivo: Port_#0008.Hub_#0005
Descripción : Teclast CoolFlash USB Device
Tipo de Dispositivo: Almacenamiento Masivo
Conectado : Si
Desconectar de Modo Seguro: Si
Disabled : No
Hub USB : No
Letra de la Unidad: H:, J:
Núero de Serie : 00000000000103
Fecha de Creación : 23/10/2011 21:40:21
Fecha de la última Conexión/Desconexión: 23/10/2011 22:17:26
Código del Vendedor: 1307
Código del Producto: 0165
Firmware Revision : 1.00
Clase USB : 08
Subclase USB : 06
Protocolo USB : 50
Hub / Puerto :
Nombre del Equipo :
Nombre del Vendedor:
Nombre del Producto:
ParentId Prefix :
Service Name : USBSTOR
Service Description: Controlador de dispositivo de almacenamiento USB
Driver Filename : USBSTOR.SYS
Device Class : USB
Device Mfg : @usbstor.inf,%generic.mfg%;Dispositivo de almacenamiento USB compatible
Power : 98 mA
USB Version : 2.00
Driver Description: Dispositivo de almacenamiento USB
Driver Version : 6.1.7601.17577
Instance ID : USB\VID_1307&PID_0165\00000000000103
==================================================
Que tengo que ver para saber el modelo del USB, respecto a si es USB de almacenamiento o mp3, es USB de almacenamiento como indica el resultado de arriba. Sobre la herramienta Bootice leeré atentamente alguna guia en internet y os comentaré el resultado
Dejo el reanalisis del archivo Autorun.exe
http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227
Si sigues sin poder verlo me dices que es lo que quieres ver concretamente y te lo pego aquí
Lo del enviarlo al equipo de AVAST!, ademas de adjuntar el archivo de mensaje pongo " Avast can not clean " no? y al abrir un post en "Viruses and worms" pongo lo que puse en el primer post y les digo que envié el archivo a virus@avast.com?
Edit:Ya tengo el modelo del USB, es este (http://www.teclast.com/topic.php?action=product&channelID=70&topicID=140&productID=692&keyword=)
saludos y lo siento mucho por salirme del tema :(
-
Con USB Device View me ha dado este resultado==================================================
Nombre del Dispositivo: Port_#0008.Hub_#0005
Descripción : Teclast CoolFlash USB Device
Tipo de Dispositivo: Almacenamiento Masivo
Conectado : Si
Desconectar de Modo Seguro: Si
Disabled : No
Hub USB : No
Letra de la Unidad: H:, J:
Núero de Serie : 00000000000103
Fecha de Creación : 23/10/2011 21:40:21
Fecha de la última Conexión/Desconexión: 23/10/2011 22:17:26
Código del Vendedor: 1307
Código del Producto: 0165
Firmware Revision : 1.00
Clase USB : 08
Subclase USB : 06
Protocolo USB : 50
Hub / Puerto :
Nombre del Equipo :
Nombre del Vendedor:
Nombre del Producto:
ParentId Prefix :
Service Name : USBSTOR
Service Description: Controlador de dispositivo de almacenamiento USB
Driver Filename : USBSTOR.SYS
Device Class : USB
Device Mfg : @usbstor.inf,%generic.mfg%;Dispositivo de almacenamiento USB compatible
Power : 98 mA
USB Version : 2.00
Driver Description: Dispositivo de almacenamiento USB
Driver Version : 6.1.7601.17577
Instance ID : USB\VID_1307&PID_0165\00000000000103
==================================================
Que tengo que ver para saber el modelo del USB, respecto a si es USB de almacenamiento o mp3, es USB de almacenamiento como indica el resultado de arriba. Sobre la herramienta Bootice leeré atentamente alguna guia en internet y os comentaré el resultado
Dejo el reanalisis del archivo Autorun.exe
http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227
Si sigues sin poder verlo me dices que es lo que quieres ver concretamente y te lo pego aquí
Lo del enviarlo al equipo de AVAST!, ademas de adjuntar el archivo de mensaje pongo " Avast can not clean " no? y al abrir un post en "Viruses and worms" pongo lo que puse en el primer post y les digo que envié el archivo a virus@avast.com?
Edit:Ya tengo el modelo del USB, es este (http://www.teclast.com/topic.php?action=product&channelID=70&topicID=140&productID=692&keyword=)
saludos y lo siento mucho por salirme del tema :(
RESULTADOS ANALISIS ARCHIVO AUTORUN.EXE EN VIRUSTOTAL.COM
AhnLab-V3 - Trojan/Win32.Gen
AntiVir - TR/Agent.274432.CO
Avast - Win32:Trojan-gen
BitDefender - Trojan.Generic.5099995
CAT-QuickHeal - Trojan.Agent.ni
Commtouch - W32/MalwareF.HJLO
Emsisoft - Trojan.SuspectCRC!IK
eSafe - Win32.TRAgent.Co
F-Prot - W32/MalwareF.HJLO
F-Secure -Trojan.Generic.5099995
GData - Trojan.Generic.5099995
Ikarus - Trojan.SuspectCRC
K7AntiVirus - Riskware
McAfee 5.400.0.1158 - Generic.dx!qrw
McAfee-GW-Edition - Generic.dx!qrw
Norman (NOD32) - W32/Suspicious_Gen2.HSEFF
Panda - Trj/CI.A
PCTools - Trojan.Gen
Symantec - Trojan.Gen
TrendMicro - TROJ_SPNR.03CG11
TrendMicro-HouseCall - TROJ_SPNR.03CG11
http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227
Result: 22 /43 (51.2%) - Una tasa de detección del 51,2 % -
Hola de nuevo onakiri, ahora ya no tengo ninguna duda.
Si esto fuera el recuento de votos de unas elecciones generales, sería MAYORÍA ABSOLUTA ya que es la mitad de los votos + 1 ;D
No sé que opinarán los demás pero yo no tengo la más mínima duda de que se trata de un malware en concreto perteneciente a la familia Caballos de Troya ó vulgarmente conocidos como Troyanos. Sólo hay que mirar los resultados del análisis... más del 50% de los antivirus lo detectan como una amenaza. Pero una vez más indico, es MI OPINIÓN cómo los demás también podrán tener la suya propia.
Yo por mi parte doy por terminada mi intervención en este hilo porque ya no tengo nada más que aportar porque para mi está claro y desde un principio lo tuve siempre muy claro que se trataba de un malware pero quería estar seguro y descartar otras posibilidades y ahora ya le toca el turno al laboratorio de avast y el foro de viruses & worms para que te digan como limpiar el UFD (USB Flash Disc ó pendrive/usb/stick usb/ para los amigos ;))
Lo que debes hacer es enviarlo siguiendo las instrucciones que te comentaba el amigo Iroc9555 en su anterior post y no olvides ponerle contraseña al archivo ó no lo podrás enviar por email. Avast dispone también de un analizador online en la siguiente url: http://onlinescan.avast.com/ (http://onlinescan.avast.com/)
Te busqué un poco de información sobre la amenaza que te ha detectado AVAST y los demás antivirus:
Información sobre el malware detectado:
Trojan Generic (que también puede ser llamado Trojan.Generic, TrojanGeneric) es un programa Troyano que puede contener un programa malicioso o puede llevar a cabo acciones que el usuario ni siquiera notó. Trojan Generic actúa de manera muy agresiva e incluso puede destruir el sistema de la computadora del usuario y robar datos personales. En ocasiones incluso los programas antivirus no pueden borrar este Troyano. Trojan Generic puede permitir que usuarios de otras computadoras tengan un total acceso al sistema de su computadora o a través de una brecha en la seguridad. El Trojan Generic se debe detectar y borrar lo antes posible por su propia seguridad. Fuente: / pcthreat.com
PD: Si quieres un consejo, en el caso de que finalmente no consigas limpiar ese pendrive, tíralo a la basura... Yo te recomiendo la marca "VERBATIM" que son muy buenos y están bastante bien de precio. Hay algunos que incluso tienen un pequeño interruptor que evitan su escritura y por consiguiente puedes evitar que sea infectado si utilizas tu usb stick en un pc diferente al tuyo.
Un saludo y suerte! :)
-
@Populous,
La única duda que me queda es la que comenté en mi post anterior (incluso antes del reporte de VT). Para ponerlo en otras palabras, un determinado antivirus puede detectar a otro antivirus (o a otro software de seguridad) como si fuera algún tipo de malware. Esto es especialmente cierto cuando la identificación es "general" (como en este caso, al menos parcialmente).
Las características que muestra el link de onakiri incluyen algún comentario sobre encriptación incluida (que es claramente parte de software de seguridad).
Los laboratorios de Avast requieren este dato para correctamente determinar si realmente es un troyano. De la misma manera que si se envía un exe de algún software de seguridad, sin aclarar de qué se trata realmente, los labs de Avast no podrían sino concluir que se trataría de un malware. Es por esto que hay opciones de "exclusión" o "excepción"
Onakiri, quizás es sólo cuestión de liberar algún botón de protección de solo lectura del UFD para poder sobrescribir ese archivo?
Me llama la atención que siendo un troyano, no lo hayas encontrado en tus equipos, (contagiado por el uso del UFD).
No es sólo el archivo especifico (que, en situaciones más simples, podría haber llegado al UFD por varios medios). El hecho de que haya una "partición" de sólo-lectura identificada como CD es una indicación de que eso no llegó allí mediante una simple copia o simple infección de un troyano.
Si deseas deshacerte de todo eso, Bootice puede reparticionar todo el UFD, eliminando esa partición (al menos, puede hacerlo en teoría). Pero si hay algún botón físico impidiendo la escritura del UFD (o de la "partición" identificada como CD), nada puede remover este archivo (de la misma manera que no podrías remover un archivo MP3 o wav de un CD-R).
Quizás puedes consultar sobre las características de este modelo específico de UFD con el lugar en donde lo adquiriste (o en algún competidor).
Repito aquí que Bootice puede hacer mucho daño si es mal utilizado.
-
Ya probé bootice, pero nada, me sigue apareciendo la partición CDFS, también busque por google sobre como eliminar particiones CDFS pero tampoco me funciono. Ahora me pondré a redactar el correo a avast a ver si me lo puede solucionar ellos
PD: el USB no lleva ningún botón/interruptor para ponerlo en solo escritura
Edit: Puse un topic en viruses and worms pero el archivo no me deja enviarlo desde Gmail ni desde Hotmail, me dicen que no es posible enviar archivos ejecutable, ¿alguna solución?
saludos y gracias
-
Curiosamente, he encontrado el mismo tipo de problema descripto en http://ubuntuforums.org/archive/index.php/t-776134.html (http://ubuntuforums.org/archive/index.php/t-776134.html).
Ese caso es en Ubuntu, y el nombre específico no es autorun.exe, pero el problema es prácticamente el mismo, y la solución ofrecida (switch read - only on/off) es la misma. El usuario reporta que le ha dado resultado, y se trata del mismo modelo de UFD.
Como lo he dicho antes, si la "partición" está marcada como CD "read-only", no puede borrarse. Nuevamente volvemos en círculos a que se requiere un manual (o un link a uno).
-
Onakiri.
Para poder mandar el archivo tienes que comprimirlo con ZIP o RAR y poner un Password ( virus )
Ve las imagenes:
-
Onakiri, no olvides incluir en el texto del email la clave/password que usas para el zip, para que los labs puedan abrirlo y analizarlo.
Puedes incluir en tu email el link a este topic también.
-
Ayer habia enviado el archivo por avast manualmente, y ahora siguiendo el mini-tutorial de iroc9555 y he conseguido enviarlo, muchas gracias por el mini-tutorial y por haberles explicado al foro de "viruses and worms"
saludos
-
Onakiri.
No hay de que. El trabajo de informacion y busqueda fue hecho por Populous y Ady4um.
Esperemos que se interesen y contesten en el forum de " Viruse and Worms ". Como se posteo durante el fin de semana puede que tarde par de dias, si no haz un reply y escribe:
I have not recieved any news from the Avast team about the sample I sent. I would like some one to tell me what to do. If it is realy infected, or is it a F/P ?
http://forum.avast.com/index.php?topic=87207.0
De todas forma cheque si el pen drive todavia es detectado como infeccioso porque puede venir en una actualizacion de Avast que ya no lo detecte. SI es un F/P.
Suerte.
-
Despues de enviar el archivo a virus@avast.com recibí este mensaje
Hello,
thank you for sending sample. It is some "Teclast Password Master". Detection will be changed to PUP (Potentially Unwanted Program).
Best regards,
Milos Hrdy
Virus analyst
Que lo intenté traducir con google pero no me ha quedado muy claro
saludos
-
Despues de enviar el archivo a virus@avast.com recibí este mensaje
Hello,
thank you for sending sample. It is some "Teclast Password Master". Detection will be changed to PUP (Potentially Unwanted Program).
Best regards,
Milos Hrdy
Virus analyst
Que lo intenté traducir con google pero no me ha quedado muy claro
saludos
Hola de nuevo onakiri, te traduzco:
Hola,
Gracias por enviarnos la muestra. El problema está en algo relacionado con el TECLAST PASSWORD MASTER. Cambiaremos nuestro tipo de detección a PUP (Programa potencialmente no deseado.)
Un saludo
Milos Hrdy
Analista de Virus.
Un programa potencialmente no deseado es un programa que sin ser un virus, contiene otra clase de malware denominada así. Son programas que forman parte de otros programas y que aunque no suponen un riesgo para la seguridad del pc si pueden ocasionar molestias tales como espiar nuestras hábitos de navegación, las compras que hacemos, capturar las pulsaciones del teclado para robar contraseñas (keyloggers), etc.
De todas formas sólo te dicen que han cambiado la categoría o clasificación que hacen de ese fichero (AUTORUN.EXE) para AVAST pero no te dicen si debes eliminarlo y en caso de hacerlo cómo.... Avast desde su versión 5 incluye la detección de programas potencialmente no deseados como tal dejando al usuario decidir si usa y/o instala este tipo de programas bajo su responsabilidad y riesgo.
El texto siguiente lo extraje de la web de avast:
Detección de programas potencialmente no deseados
Detecta programas potencialmente no deseados, como herramientas de administración remota y registradores de pulsaciones de teclado comerciales. Se pueden configurar reglas personalizadas para estos tipos de programas.
Yo les volvería a preguntar aunque creo que lo han dejado a tu elección...
Un saludo!
-
Onakiri.
Eso fue rapido, no. :o
Bueno al menos no es un virus. Tambien aprendimos algo. Avast parace que no estaba en conocimiento de ese programa y al no estar seguro es mejor ponerlo como un PUP para que el usuario decida. Puede que en el futuro, mientras mas teclast salen al mercado Europeo, Latino y Norte Americano lo eliminen de la deteccion de Avast.
Puedes, dependiendo que Escudo de Avast lo detecte, hacer que Avast lo ignore para que no te molesten las alertas.
Quisiera tu permiso para hacer un reply en el foro de Viruses and Worms de lo que te contestaron para informacion a los miembros del foro. Al menos que tu quieras hacerlo por tu cuenta.
Saludos
-
La palabra clave aquí es "potencialmente" peligroso. Es decir que Avast ya no lo considera un malware "per se", y por supuesto que no es un troyano.
Como ya lo dije anteriormente, un programa de seguridad también puede ser confundido con un malware. Un programa de encriptación puede servir al usuario para impedir que alguien no autorizado vea información confidencial, o podría ser utilizado maliciosamente por un tercero para impedir al usuario real el acceso normal a los datos.
Esto es lo que sucede con este sistema de protección / encriptación del UFD de Teclast.
Así que, una vez más, volvemos a la misma conclusión: se requiere el manual (en cualquier idioma) para identificar las posibilidades / características reales del UFD, y así compararlas con el autorun.exe.
En este estado, no hay ninguna manera de saber su este PUP es malicioso, o simplemente tiene el potencial de ser usado maliciosamente por un tercero con mala intención (y que, en condiciones normales, usado por el usuario real del sistema, no tiene que ser considerado como nada malo).
-
Onakiri.
Eso fue rapido, no. :o
Bueno al menos no es un virus. Tambien aprendimos algo. Avast parace que no estaba en conocimiento de ese programa y al no estar seguro es mejor ponerlo como un PUP para que el usuario decida. Puede que en el futuro, mientras mas teclast salen al mercado Europeo, Latino y Norte Americano lo eliminen de la deteccion de Avast.
Puedes, dependiendo que Escudo de Avast lo detecte, hacer que Avast lo ignore para que no te molesten las alertas.
Quisiera tu permiso para hacer un reply en el foro de Viruses and Worms de lo que te contestaron para informacion a los miembros del foro. Al menos que tu quieras hacerlo por tu cuenta.
Saludos
Si puedes mejor, como yo uso el google para hablar en inglés pues supongo que no entenderían lo que les diga
Bueno sobre el aviso lo pondré en exclusiones ya que cada vez que enchufo el USB me sale el alerta y es un poco cansino xD
saludos y muchas gracias a todos los que me ayudaron con el tema :)
-
saludos y muchas gracias a todos los que me ayudaron con el tema
De nada, un placer :)