Error: Acceso denegado (5)

[ady4um]

Si bien coincido en que requerimos más datos precisos (como el modelo exacto o el link al manual, o si es un UFD o un MP3), quiero aclarar algo que seguramente se escapa un poco, justamente por las vueltas que le estamos dando al tema.

Se trata de:

Lo has formateado, has usado las herramientas que se te aconsejaron y todavía, todavía el programa con el archivo esta ahí.

Lo que onakiri ha formateado no es la "partición" en donde se encuentra el autorun.exe, sino la otra. La parte que es de "sólo-lectura", que es parte de la característica de seguridad del UFD/MP3 player, es la que contiene el autorun.exe.

A pesar de que no hemos recibido clara respuesta sobre varias preguntas, aquí agrego un par de links para quien pueda interesarle.

Estas herramientas son parcialmente avanzadas y potencialmente "peligrosas" en manos de quien no sabe lo que hace.

http://nirsoft.net/utils/usb_devices_view.html puede ayudar a identificar el chip del USB (entre otras características), y a partir de él quizás el modelo.

"Bootice" es una de varias herramientas que permite ver todas las particiones del UFD, y modificarlas.

Bootice downloads: http://bootice.narod.ru/

Bootice review en inglés:
http://www.pendriveapps.com/bootice-partition-flash-drive-edit-boot-sector/ (aquí hay también un download, pero no sé si es la ultima versión).

Lo reitero: ambos productos deben ser utilizados con cierto cuidado y conocimiento, en especial Bootice (o utilidades equivalentes). Si no es usado correctamente, puede incluso arruinar el boot normal del sistema o borrar la partición erronea.

Onakiri, por favor contribuye con las respuestas requeridas para poder avanzar.

[onakiri]

Con USB Device View me ha dado este resultado

==================================================
Nombre del Dispositivo: Port_#0008.Hub_#0005
Descripción       : Teclast CoolFlash USB Device
Tipo de Dispositivo: Almacenamiento Masivo
Conectado         : Si
Desconectar de Modo Seguro: Si
Disabled          : No
Hub USB           : No
Letra de la Unidad: H:, J:
Núero de Serie   : 00000000000103
Fecha de Creación : 23/10/2011 21:40:21
Fecha de la última Conexión/Desconexión: 23/10/2011 22:17:26
Código del Vendedor: 1307
Código del Producto: 0165
Firmware Revision : 1.00
Clase USB         : 08
Subclase USB      : 06
Protocolo USB     : 50
Hub / Puerto      :
Nombre del Equipo :
Nombre del Vendedor:
Nombre del Producto:
ParentId Prefix   :
Service Name      : USBSTOR
Service Description: Controlador de dispositivo de almacenamiento USB
Driver Filename   : USBSTOR.SYS
Device Class      : USB
Device Mfg        : @usbstor.inf,%generic.mfg%;Dispositivo de almacenamiento USB compatible
Power             : 98 mA
USB Version       : 2.00
Driver Description: Dispositivo de almacenamiento USB
Driver Version    : 6.1.7601.17577
Instance ID       : USB\VID_1307&PID_0165\00000000000103
==================================================   

Que tengo que ver para saber el modelo del USB, respecto a si es USB de almacenamiento o mp3, es USB de almacenamiento como indica el resultado de arriba. Sobre la herramienta Bootice leeré atentamente alguna guia en internet y os comentaré el resultado
Dejo el reanalisis del archivo Autorun.exe
http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227
Si sigues sin poder verlo me dices que es lo que quieres ver concretamente y te lo pego aquí

Lo del enviarlo al equipo de AVAST!, ademas de adjuntar el archivo de mensaje pongo " Avast can not clean " no? y al abrir un post en "Viruses and worms" pongo lo que puse en el primer post y les digo que envié el archivo a virus@avast.com?

Edit:Ya tengo el modelo del USB, es este


saludos y lo siento mucho por salirme del tema

[Populous]

Con USB Device View me ha dado este resultado

==================================================
Nombre del Dispositivo: Port_#0008.Hub_#0005
Descripción       : Teclast CoolFlash USB Device
Tipo de Dispositivo: Almacenamiento Masivo
Conectado         : Si
Desconectar de Modo Seguro: Si
Disabled          : No
Hub USB           : No
Letra de la Unidad: H:, J:
Núero de Serie   : 00000000000103
Fecha de Creación : 23/10/2011 21:40:21
Fecha de la última Conexión/Desconexión: 23/10/2011 22:17:26
Código del Vendedor: 1307
Código del Producto: 0165
Firmware Revision : 1.00
Clase USB         : 08
Subclase USB      : 06
Protocolo USB     : 50
Hub / Puerto      :
Nombre del Equipo :
Nombre del Vendedor:
Nombre del Producto:
ParentId Prefix   :
Service Name      : USBSTOR
Service Description: Controlador de dispositivo de almacenamiento USB
Driver Filename   : USBSTOR.SYS
Device Class      : USB
Device Mfg        : @usbstor.inf,%generic.mfg%;Dispositivo de almacenamiento USB compatible
Power             : 98 mA
USB Version       : 2.00
Driver Description: Dispositivo de almacenamiento USB
Driver Version    : 6.1.7601.17577
Instance ID       : USB\VID_1307&PID_0165\00000000000103
==================================================   

Que tengo que ver para saber el modelo del USB, respecto a si es USB de almacenamiento o mp3, es USB de almacenamiento como indica el resultado de arriba. Sobre la herramienta Bootice leeré atentamente alguna guia en internet y os comentaré el resultado
Dejo el reanalisis del archivo Autorun.exe
http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227
Si sigues sin poder verlo me dices que es lo que quieres ver concretamente y te lo pego aquí

Lo del enviarlo al equipo de AVAST!, ademas de adjuntar el archivo de mensaje pongo " Avast can not clean " no? y al abrir un post en "Viruses and worms" pongo lo que puse en el primer post y les digo que envié el archivo a virus@avast.com?

Edit:Ya tengo el modelo del USB, es este


saludos y lo siento mucho por salirme del tema

RESULTADOS ANALISIS ARCHIVO AUTORUN.EXE EN VIRUSTOTAL.COM

AhnLab-V3 - Trojan/Win32.Gen
AntiVir - TR/Agent.274432.CO
Avast - Win32:Trojan-gen
BitDefender - Trojan.Generic.5099995
CAT-QuickHeal   - Trojan.Agent.ni
Commtouch - W32/MalwareF.HJLO
Emsisoft - Trojan.SuspectCRC!IK
eSafe - Win32.TRAgent.Co
F-Prot - W32/MalwareF.HJLO
F-Secure -Trojan.Generic.5099995
GData - Trojan.Generic.5099995
Ikarus - Trojan.SuspectCRC
K7AntiVirus - Riskware
McAfee   5.400.0.1158 - Generic.dx!qrw
McAfee-GW-Edition - Generic.dx!qrw
Norman (NOD32) - W32/Suspicious_Gen2.HSEFF
Panda - Trj/CI.A
PCTools - Trojan.Gen
Symantec - Trojan.Gen
TrendMicro - TROJ_SPNR.03CG11
TrendMicro-HouseCall - TROJ_SPNR.03CG11

http://www.virustotal.com/file-scan/report.html?id=363f5c67024f7ca780944b36db0c238005d0985b740df31e467cbeaca520b2f2-1319298227

Result: 22 /43 (51.2%) - Una tasa de detección del 51,2 % -  

Hola de nuevo onakiri, ahora ya no tengo ninguna duda.

Si esto fuera el recuento de votos de unas elecciones generales, sería MAYORÍA ABSOLUTA ya que es la mitad de los votos + 1  

No sé que opinarán los demás pero yo no tengo la más mínima duda de que se trata de un malware en concreto perteneciente a la familia Caballos de Troya ó vulgarmente conocidos como Troyanos. Sólo hay que mirar los resultados del análisis... más del 50% de los antivirus lo detectan como una amenaza. Pero una vez más indico, es MI OPINIÓN cómo los demás también podrán tener la suya propia.

Yo por mi parte doy por terminada mi intervención en este hilo porque ya no tengo nada más que aportar porque para mi está claro y desde un principio lo tuve siempre muy claro que se trataba de un malware pero quería estar seguro y descartar otras posibilidades y ahora ya le toca el turno al laboratorio de avast y el foro de viruses & worms para que te digan como limpiar el UFD (USB Flash Disc ó pendrive/usb/stick usb/ para los amigos )

Lo que debes hacer es enviarlo siguiendo las instrucciones que te comentaba el amigo Iroc9555 en su anterior post y no olvides ponerle contraseña al archivo ó no lo podrás enviar por email. Avast dispone también de un analizador online en la siguiente url: http://onlinescan.avast.com/

Te busqué un poco de información sobre la amenaza que te ha detectado AVAST y los demás antivirus:

Información sobre el malware detectado:

Trojan Generic (que también puede ser llamado Trojan.Generic, TrojanGeneric) es un programa Troyano que puede contener un programa malicioso o puede llevar a cabo acciones que el usuario ni siquiera notó. Trojan Generic actúa de manera muy agresiva e incluso puede destruir el sistema de la computadora del usuario y robar datos personales. En ocasiones incluso los programas antivirus no pueden borrar este Troyano. Trojan Generic puede permitir que usuarios de otras computadoras tengan un total acceso al sistema de su computadora o a través de una brecha en la seguridad. El Trojan Generic se debe detectar y borrar lo antes posible por su propia seguridad. Fuente: / pcthreat.com

PD: Si quieres un consejo, en el caso de que finalmente no consigas limpiar ese pendrive, tíralo a la basura... Yo te recomiendo la marca "VERBATIM" que son muy buenos y están bastante bien de precio.  Hay algunos que incluso tienen un pequeño interruptor que evitan su escritura y por consiguiente puedes evitar que sea infectado si utilizas tu usb stick en un pc diferente al tuyo.

Un saludo y suerte!

[ady4um]

@Populous,

La única duda que me queda es la que comenté en mi post anterior (incluso antes del reporte de VT). Para ponerlo en otras palabras, un determinado antivirus puede detectar a otro antivirus (o a otro software de seguridad) como si fuera algún tipo de malware. Esto es especialmente cierto cuando la identificación es "general" (como en este caso, al menos parcialmente).

Las características que muestra el link de onakiri incluyen algún comentario sobre encriptación incluida (que es claramente parte de software de seguridad).

Los laboratorios de Avast requieren este dato para correctamente determinar si realmente es un troyano. De la misma manera que si se envía un exe de algún software de seguridad, sin aclarar de qué se trata realmente, los labs de Avast no podrían sino concluir que se trataría de un malware. Es por esto que hay opciones de "exclusión" o "excepción"

Onakiri, quizás es sólo cuestión de liberar algún botón de protección de solo lectura del UFD para poder sobrescribir ese archivo?

Me llama la atención que siendo un troyano, no lo hayas encontrado en tus equipos, (contagiado por el uso del UFD).

No es sólo el archivo especifico (que, en situaciones más simples, podría haber llegado al UFD por varios medios). El hecho de que haya una "partición" de sólo-lectura identificada como CD es una indicación de que eso no llegó allí mediante una simple copia o simple infección de un troyano.

Si deseas deshacerte de todo eso, Bootice puede reparticionar todo el UFD, eliminando esa partición (al menos, puede hacerlo en teoría). Pero si hay algún botón físico impidiendo la escritura del UFD (o de la "partición" identificada como CD), nada puede remover este archivo (de la misma manera que no podrías remover un archivo MP3 o wav de un CD-R).

Quizás puedes consultar sobre las características de este modelo específico de UFD con el lugar en donde lo adquiriste (o en algún competidor).

Repito aquí que Bootice puede hacer mucho daño si es mal utilizado.

[onakiri]

Ya probé bootice, pero nada, me sigue apareciendo la partición CDFS, también busque por google sobre como eliminar particiones CDFS pero tampoco me funciono. Ahora me pondré a redactar el correo a avast a ver si me lo puede solucionar ellos

PD: el USB no lleva ningún botón/interruptor para ponerlo en solo escritura

Edit: Puse un topic en viruses and worms pero el archivo no me deja enviarlo desde Gmail ni desde Hotmail, me dicen que no es posible enviar archivos ejecutable, ¿alguna solución?

saludos y gracias

[ady4um]

Curiosamente, he encontrado el mismo tipo de problema descripto en http://ubuntuforums.org/archive/index.php/t-776134.html.

Ese caso es en Ubuntu, y el nombre específico no es autorun.exe, pero el problema es prácticamente el mismo, y la solución ofrecida (switch read - only on/off) es la misma. El usuario reporta que le ha dado resultado, y se trata del mismo modelo de UFD.

Como lo he dicho antes, si la "partición" está marcada como CD "read-only", no puede borrarse. Nuevamente volvemos en círculos a que se requiere un manual (o un link a uno).

[iroc9555]

Onakiri.

Para poder mandar el archivo tienes que comprimirlo con ZIP o RAR y poner un Password ( virus )

Ve las imagenes:

[ady4um]

Onakiri, no olvides incluir en el texto del email la clave/password que usas para el zip, para que los labs puedan abrirlo y analizarlo.

Puedes incluir en tu email el link a este topic también.

[onakiri]

Ayer habia enviado el archivo por avast manualmente, y ahora siguiendo el mini-tutorial de iroc9555 y he conseguido enviarlo, muchas gracias por el mini-tutorial y por haberles explicado al foro de "viruses and worms"

saludos

[iroc9555]

Onakiri.

No hay de que. El trabajo de informacion y busqueda fue hecho por Populous y Ady4um.

Esperemos que se interesen y contesten en el forum de " Viruse and Worms ". Como se posteo durante el fin de semana puede que tarde par de dias, si no haz un reply y escribe:

 I have not recieved any news from the Avast team about the sample I sent. I would like some one to tell me what to do. If it is realy infected, or is it a F/P ?

http://forum.avast.com/index.php?topic=87207.0

De todas forma cheque si el pen drive todavia es detectado como infeccioso porque puede venir en una actualizacion de Avast que ya no lo detecte. SI es un F/P.

Suerte.

[onakiri]

Despues de enviar el archivo a virus@avast.com recibí este mensaje

Hello,
thank you for sending sample. It is some "Teclast Password Master". Detection will be changed to PUP (Potentially Unwanted Program).

Best regards,
Milos Hrdy
Virus analyst

Que lo intenté traducir con google pero no me ha quedado muy claro

saludos

[Populous]

Despues de enviar el archivo a virus@avast.com recibí este mensaje

Hello,
thank you for sending sample. It is some "Teclast Password Master". Detection will be changed to PUP (Potentially Unwanted Program).

Best regards,
Milos Hrdy
Virus analyst

Que lo intenté traducir con google pero no me ha quedado muy claro

saludos

Hola de nuevo onakiri, te traduzco:

Hola,

Gracias por enviarnos la muestra. El problema está en algo relacionado con el TECLAST PASSWORD MASTER. Cambiaremos nuestro tipo de detección a PUP (Programa potencialmente no deseado.)

Un saludo
Milos Hrdy
Analista de Virus.


Un programa potencialmente no deseado es un programa que sin ser un virus, contiene otra clase de malware denominada así. Son programas que forman parte de otros programas y que aunque no suponen un riesgo para la seguridad del pc si pueden ocasionar molestias tales como espiar nuestras hábitos de navegación, las compras que hacemos, capturar las pulsaciones del teclado para robar contraseñas (keyloggers), etc.

De todas formas sólo te dicen que han cambiado la categoría o clasificación que hacen de ese fichero (AUTORUN.EXE) para AVAST pero no te dicen si debes eliminarlo y en caso de hacerlo cómo.... Avast desde su versión 5 incluye la detección de programas potencialmente no deseados como tal dejando al usuario decidir si usa y/o instala este tipo de programas bajo su responsabilidad y riesgo.

El texto siguiente lo extraje de la web de avast:

Detección de programas potencialmente no deseados
Detecta programas potencialmente no deseados, como herramientas de administración remota y registradores de pulsaciones de teclado comerciales. Se pueden configurar reglas personalizadas para estos tipos de programas.

Yo les volvería a preguntar aunque creo que lo han dejado a tu elección...

Un saludo!

[iroc9555]

Onakiri.

Eso fue rapido, no. 

Bueno al menos no es un virus. Tambien aprendimos algo. Avast parace que no estaba en conocimiento de ese programa y al no estar seguro es mejor ponerlo como un PUP para que el usuario decida. Puede que en el futuro, mientras mas teclast salen al mercado Europeo, Latino y Norte Americano lo eliminen de la deteccion de Avast.

Puedes, dependiendo que Escudo de Avast lo detecte, hacer que Avast lo ignore para que no te molesten las alertas.

Quisiera tu permiso para hacer un reply en el foro de Viruses and Worms de lo que te contestaron para informacion a los miembros del foro. Al menos que tu quieras hacerlo por tu cuenta.

Saludos

[ady4um]

La palabra clave aquí es "potencialmente" peligroso. Es decir que Avast ya no lo considera un malware "per se", y por supuesto que no es un troyano.

Como ya lo dije anteriormente, un programa de seguridad también puede ser confundido con un malware. Un programa de encriptación puede servir al usuario para impedir que alguien no autorizado vea información confidencial, o podría ser utilizado maliciosamente por un tercero para impedir al usuario real el acceso normal a los datos.

Esto es lo que sucede con este sistema de protección / encriptación del UFD de Teclast.

Así que, una vez más, volvemos a la misma conclusión: se requiere el manual (en cualquier idioma) para identificar las posibilidades / características reales del UFD, y así compararlas con el autorun.exe.

En este estado, no hay ninguna manera de saber su este PUP es malicioso, o simplemente tiene el potencial de ser usado maliciosamente por un tercero con mala intención (y que, en condiciones normales, usado por el usuario real del sistema, no tiene que ser considerado como nada malo).

[onakiri]

Onakiri.

Eso fue rapido, no. 

Bueno al menos no es un virus. Tambien aprendimos algo. Avast parace que no estaba en conocimiento de ese programa y al no estar seguro es mejor ponerlo como un PUP para que el usuario decida. Puede que en el futuro, mientras mas teclast salen al mercado Europeo, Latino y Norte Americano lo eliminen de la deteccion de Avast.

Puedes, dependiendo que Escudo de Avast lo detecte, hacer que Avast lo ignore para que no te molesten las alertas.

Quisiera tu permiso para hacer un reply en el foro de Viruses and Worms de lo que te contestaron para informacion a los miembros del foro. Al menos que tu quieras hacerlo por tu cuenta.

Saludos

Si puedes mejor, como yo uso el google para hablar en inglés pues supongo que no entenderían lo que les diga
Bueno sobre el aviso lo pondré en exclusiones ya que cada vez que enchufo el USB me sale el alerta y es un poco cansino xD

saludos y muchas gracias a todos los que me ayudaron con el tema