Será algun virus ?

Será algun virus ?

Postby Armando » Thu Jun 26, 2008 10:59 pm

Amigos:

Disculpen el OT, resulta que en la red de un cliente, por alguna razón que desconozco y por eso consulto en el foro, al dar clic al icono MiPC de alguna terminal muestra todas las unidades y carpetas disponibles, C:\ D:\, etc pero al dar clic sobre el icono del DD (C:\) no lo abre por el contrario muestra un diálogo para elegir el programa con el que se desea abrir el DD :shock: , asume que se trata de un fichero no del disco duro y lo que es pero asume que se trata de un fichero desconocido por eso pide el programa con el que debe abrirlo.

Supongo que debe ser algun virus pero me gustaría escuchar sus comentarios y opiniones.

Saludos
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Armando
 
Posts: 3239
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México

Postby Ricardo Ramirez E. » Thu Jun 26, 2008 11:35 pm

Armando :

Esa es una tecnica bastante vulgar de los virus.... activa la opcion de poder ver archivos ocultos. y veras que en la unidade con problemas hay un archivo ?:\autorun.inf similares a los de los cds.... puedes eliminar ese archivo.. y editar el mismo para ver a que aplicacion llamo el bicho este :)
y claro esta pagar tambien la aplicacion ...

Saludos.
Ricardo Ramirez!
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
Ricardo Ramirez E.
 
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde

Postby Armando » Fri Jun 27, 2008 12:19 am

Ricardo:

Esa es una tecnica bastante vulgar de los virus.... activa la opcion de poder ver archivos ocultos. y veras que en la unidade con problemas hay un archivo ?:\autorun.inf similares a los de los cds.... puedes eliminar ese archivo.. y editar el mismo para ver a que aplicacion llamo el bicho este
y claro esta pagar tambien la aplicacion ...


Gracias por la explicación, podrías ampliar un poco más la información ?, no me queda claro lo de si borro el archivo y luego lo edito podré ver la aplicación que llamó o pagar la aplicación, quiero entender que el cliente tiene una aplicación "pirata" ?

Saludos y gracias por el aporte
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Armando
 
Posts: 3239
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México

Postby Ricardo Ramirez E. » Fri Jun 27, 2008 3:08 am

Armando..
Normalmente las unidades c:\, e:\ f:\ no deberiam tener autoarranque (autorun.inf) ... eso quiere decir que puedes y debes borrar todo autorun.inf... si editas este archivo podras ver a que aplicacion se llamma cuando das doble click ena determinada unidad, entonces... podras ver ahi que archivo(s) debes borrar tambien.

Que antivirus usa el cliente??
Prueba Kaspersky Anti-Virus: Escaner antivirus en línea gratuito
http://www.kaspersky.com/sp/virusscanner

Saludos.!
Ricardo Ramirez
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
Ricardo Ramirez E.
 
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde

Postby Armando » Fri Jun 27, 2008 3:50 am

Ricardo:

Ahora si esta mucho más claro, resulta ser que el cliente no usa antivirus o mejor dicho algunas terminales tienen antivirus (PANDA GRATUITO) y otras no, peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?

Un abrazo
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Armando
 
Posts: 3239
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México

Postby Ricardo Ramirez E. » Fri Jun 27, 2008 4:05 am

Armando....
Me parece bien.. pues es un crimen tener una pc sin algun antivirus....
La aplicacion no puede generar ese tipo de errores :)

Saludos
Ricardo Ramirez!
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
Ricardo Ramirez E.
 
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde

Postby joseluisysturiz » Fri Jun 27, 2008 5:17 am

Pues si amigo, eso es un SEÑOR VIRUS, como te dijo el colega, te crea un AUTORUN.INF, asi que si has metido tu algun pendrive en ese pc, debe tener virus, al igual que un virus llamado Knight, aparte del antivirus que te reocomiendan, limpia temporales de internet si lo tienes y la carpeta TEMP dentro del directorio WINDOWS, yo lo elimine rapidisimo con NOD32, la version de prueba te hace actualizaciones por el tiempo de prueba, algo como 30 dias...en mi particular no me gustan los antivirus gratuitos...pero entre gustos y colores... :lol:

Nota: si no puedes limpiar el disco, colocalo como esclavo en otro pc que tenga antivirus y lo limpias sin que se active el virus.
Dios no está muerto...

Gracias a mi Dios ante todo!
User avatar
joseluisysturiz
 
Posts: 2064
Joined: Fri Jan 06, 2006 9:28 pm
Location: Guatire - Caracas - Venezuela

Postby mmercado » Fri Jun 27, 2008 5:36 am

Armando wrote:peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?

Yo por las dudas, no voy a comprar tu aplicacción :D

Ya en la parte seria, se me hace raro que sea tu primer encuentro con el famosísimo AutoRun.

Este es un virus que se propaga principalmente a través de los dispositivos de almacenamiento USB y siembra un programa oculto en el directorio raiz del disco duro, ya sea local o en el servidor en redes de area local.

El visualizar y después eliminar el archivo AutoRun.inf, así como el programa que supuestamente es ejecutado por dicho script (normalmente un copy.exe, host.exe o algún otro exe), no es suficiente para eliminar el virus, ya que se reproduce inmediatamente. Estos exes que supuestamente se ejecutan con el AutoRun, algunas veces existen (obviamente también ocultos) pero en realidad no son los responsables de la carga o reproducción del gusano.

Revisa el directorio raíz del disco duro:

C\:>Dir *.inf /A
C\:>Dir *.com /A
C\:>Dir *.exe /A

Normalmente en el directorio raiz del disco duro no debería existir ningún AutoRun.inf, tampoco es normal que existan ejecutables en dicho directorio, y el único *.com que debería existir es ntdetect.com.

Si encuentras otro *.com (regularmente con un nombre parecido a ntdetect), has encontrado al responsable de la dispersión del virus.

Haz lo necesario para eliminar los archivos mencionados comenzando con el *.com, usa attrib para quitarles los atributos de ocultos, solo lectura y sistema, después simplemente bórralos (ojo, no vayas a borrar ntdetect.com).

Es complicado y laborioso el procedimiento, pero creo demostrarle al mundo la inocencia de tu aplicación, bien lo vale :D

Un abrazo.

Manuel Mercado
User avatar
mmercado
 
Posts: 782
Joined: Wed Dec 19, 2007 7:50 am
Location: Salamanca, Gto., México

Postby Carlos Mora » Fri Jun 27, 2008 11:41 am

Armando wrote:Ricardo:

Ahora si esta mucho más claro, resulta ser que el cliente no usa antivirus o mejor dicho algunas terminales tienen antivirus (PANDA GRATUITO) y otras no, peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?

Un abrazo

Me parece excelente! Ahora puedes cobrarle por sacarle el virus! Eso si, si no le cobras, volverás a pasar por esta situación.

Un saludo,

Carlos.
Carlos Mora
 
Posts: 989
Joined: Thu Nov 24, 2005 3:01 pm
Location: Madrid, España

Postby Armando » Fri Jun 27, 2008 12:23 pm

Amigos del foro:

Mil gracias a todos, que hariamos sin este fabuloso foro ?.

Voy con mi hacha a demostrar mi inocencia.

Un abrazo a todos
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Armando
 
Posts: 3239
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México

Postby ADBLANCO » Fri Jun 27, 2008 6:16 pm

Tiene TODAS las características del 'W32/Perlovga', Se aloja en Autorun.inf apoyado en copy.exe.
El problema es que hay que eliminar simultáneamente TODAS las llamadas a COPY que encuentres en el disco y TODAS los archivos autorun.inf y copy.exe inválidos (muy dificil), Te sale re-formatear el disco.
Buenas noticias: no pierdes tus fuentes (puedes respaldarlos, no copiarlos)
Saludos

Angel, Valencia, Venezuela

xH .997 - FW 7.9 - BCC55 - WorkShop - MySql
User avatar
ADBLANCO
 
Posts: 299
Joined: Mon Oct 22, 2007 3:03 pm
Location: Valencia - Venezuela

Postby Armando » Fri Jun 27, 2008 6:19 pm

Angel:

Muchas gracias por el comentario, lo bueno es que el virus esta en la red de mi cliente no en mi PC :lol:

Saludos
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Armando
 
Posts: 3239
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México

Postby Ricardo Ramirez E. » Sat Jun 28, 2008 1:38 pm

Armando ...
Muchas gracias por el comentario, lo bueno es que el virus esta en la red de mi cliente no en mi PC


Si utilizas memorias USB, hay una probabilidad grande de que el bicho este tu memoria USB...


Saludos.
Ricardo Ramírez!
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
Ricardo Ramirez E.
 
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde

y para

Postby fleal » Sat Jun 28, 2008 2:23 pm

Armando,

Y para que puedas tener a salvo tu memoria usb...

http://www.captura-digital.com/info/mx_ ... s_v3.5.png
fleal
 
Posts: 234
Joined: Tue Oct 25, 2005 12:39 am
Location: México, DF

Postby Armando » Sat Jun 28, 2008 4:27 pm

Fer:

'Chas gracias.

Un abrazo
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Armando
 
Posts: 3239
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México


Return to FiveWin para Harbour/xHarbour

Who is online

Users browsing this forum: Google [Bot] and 49 guests