Será algun virus ?

Post Reply
User avatar
Armando
Posts: 2479
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México
Contact:

Será algun virus ?

Post by Armando »

Amigos:

Disculpen el OT, resulta que en la red de un cliente, por alguna razón que desconozco y por eso consulto en el foro, al dar clic al icono MiPC de alguna terminal muestra todas las unidades y carpetas disponibles, C:\ D:\, etc pero al dar clic sobre el icono del DD (C:\) no lo abre por el contrario muestra un diálogo para elegir el programa con el que se desea abrir el DD :shock: , asume que se trata de un fichero no del disco duro y lo que es pero asume que se trata de un fichero desconocido por eso pide el programa con el que debe abrirlo.

Supongo que debe ser algun virus pero me gustaría escuchar sus comentarios y opiniones.

Saludos
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde
Contact:

Post by Ricardo Ramirez E. »

Armando :

Esa es una tecnica bastante vulgar de los virus.... activa la opcion de poder ver archivos ocultos. y veras que en la unidade con problemas hay un archivo ?:\autorun.inf similares a los de los cds.... puedes eliminar ese archivo.. y editar el mismo para ver a que aplicacion llamo el bicho este :)
y claro esta pagar tambien la aplicacion ...

Saludos.
Ricardo Ramirez!
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
Armando
Posts: 2479
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México
Contact:

Post by Armando »

Ricardo:
Esa es una tecnica bastante vulgar de los virus.... activa la opcion de poder ver archivos ocultos. y veras que en la unidade con problemas hay un archivo ?:\autorun.inf similares a los de los cds.... puedes eliminar ese archivo.. y editar el mismo para ver a que aplicacion llamo el bicho este
y claro esta pagar tambien la aplicacion ...
Gracias por la explicación, podrías ampliar un poco más la información ?, no me queda claro lo de si borro el archivo y luego lo edito podré ver la aplicación que llamó o pagar la aplicación, quiero entender que el cliente tiene una aplicación "pirata" ?

Saludos y gracias por el aporte
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde
Contact:

Post by Ricardo Ramirez E. »

Armando..
Normalmente las unidades c:\, e:\ f:\ no deberiam tener autoarranque (autorun.inf) ... eso quiere decir que puedes y debes borrar todo autorun.inf... si editas este archivo podras ver a que aplicacion se llamma cuando das doble click ena determinada unidad, entonces... podras ver ahi que archivo(s) debes borrar tambien.

Que antivirus usa el cliente??
Prueba Kaspersky Anti-Virus: Escaner antivirus en línea gratuito
http://www.kaspersky.com/sp/virusscanner

Saludos.!
Ricardo Ramirez
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
Armando
Posts: 2479
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México
Contact:

Post by Armando »

Ricardo:

Ahora si esta mucho más claro, resulta ser que el cliente no usa antivirus o mejor dicho algunas terminales tienen antivirus (PANDA GRATUITO) y otras no, peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?

Un abrazo
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde
Contact:

Post by Ricardo Ramirez E. »

Armando....
Me parece bien.. pues es un crimen tener una pc sin algun antivirus....
La aplicacion no puede generar ese tipo de errores :)

Saludos
Ricardo Ramirez!
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
User avatar
joseluisysturiz
Posts: 2024
Joined: Fri Jan 06, 2006 9:28 pm
Location: Guatire - Caracas - Venezuela
Contact:

Post by joseluisysturiz »

Pues si amigo, eso es un SEÑOR VIRUS, como te dijo el colega, te crea un AUTORUN.INF, asi que si has metido tu algun pendrive en ese pc, debe tener virus, al igual que un virus llamado Knight, aparte del antivirus que te reocomiendan, limpia temporales de internet si lo tienes y la carpeta TEMP dentro del directorio WINDOWS, yo lo elimine rapidisimo con NOD32, la version de prueba te hace actualizaciones por el tiempo de prueba, algo como 30 dias...en mi particular no me gustan los antivirus gratuitos...pero entre gustos y colores... :lol:

Nota: si no puedes limpiar el disco, colocalo como esclavo en otro pc que tenga antivirus y lo limpias sin que se active el virus.
Dios no está muerto...

Gracias a mi Dios ante todo!
User avatar
mmercado
Posts: 782
Joined: Wed Dec 19, 2007 7:50 am
Location: Salamanca, Gto., México

Post by mmercado »

Armando wrote:peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?
Yo por las dudas, no voy a comprar tu aplicacción :D

Ya en la parte seria, se me hace raro que sea tu primer encuentro con el famosísimo AutoRun.

Este es un virus que se propaga principalmente a través de los dispositivos de almacenamiento USB y siembra un programa oculto en el directorio raiz del disco duro, ya sea local o en el servidor en redes de area local.

El visualizar y después eliminar el archivo AutoRun.inf, así como el programa que supuestamente es ejecutado por dicho script (normalmente un copy.exe, host.exe o algún otro exe), no es suficiente para eliminar el virus, ya que se reproduce inmediatamente. Estos exes que supuestamente se ejecutan con el AutoRun, algunas veces existen (obviamente también ocultos) pero en realidad no son los responsables de la carga o reproducción del gusano.

Revisa el directorio raíz del disco duro:

C\:>Dir *.inf /A
C\:>Dir *.com /A
C\:>Dir *.exe /A

Normalmente en el directorio raiz del disco duro no debería existir ningún AutoRun.inf, tampoco es normal que existan ejecutables en dicho directorio, y el único *.com que debería existir es ntdetect.com.

Si encuentras otro *.com (regularmente con un nombre parecido a ntdetect), has encontrado al responsable de la dispersión del virus.

Haz lo necesario para eliminar los archivos mencionados comenzando con el *.com, usa attrib para quitarles los atributos de ocultos, solo lectura y sistema, después simplemente bórralos (ojo, no vayas a borrar ntdetect.com).

Es complicado y laborioso el procedimiento, pero creo demostrarle al mundo la inocencia de tu aplicación, bien lo vale :D

Un abrazo.

Manuel Mercado
Carlos Mora
Posts: 988
Joined: Thu Nov 24, 2005 3:01 pm
Location: Madrid, España

Post by Carlos Mora »

Armando wrote:Ricardo:

Ahora si esta mucho más claro, resulta ser que el cliente no usa antivirus o mejor dicho algunas terminales tienen antivirus (PANDA GRATUITO) y otras no, peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?

Un abrazo
Me parece excelente! Ahora puedes cobrarle por sacarle el virus! Eso si, si no le cobras, volverás a pasar por esta situación.

Un saludo,

Carlos.
User avatar
Armando
Posts: 2479
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México
Contact:

Post by Armando »

Amigos del foro:

Mil gracias a todos, que hariamos sin este fabuloso foro ?.

Voy con mi hacha a demostrar mi inocencia.

Un abrazo a todos
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
ADBLANCO
Posts: 299
Joined: Mon Oct 22, 2007 3:03 pm
Location: Valencia - Venezuela

Post by ADBLANCO »

Tiene TODAS las características del 'W32/Perlovga', Se aloja en Autorun.inf apoyado en copy.exe.
El problema es que hay que eliminar simultáneamente TODAS las llamadas a COPY que encuentres en el disco y TODAS los archivos autorun.inf y copy.exe inválidos (muy dificil), Te sale re-formatear el disco.
Buenas noticias: no pierdes tus fuentes (puedes respaldarlos, no copiarlos)
Saludos

Angel, Valencia, Venezuela

xH .997 - FW 7.9 - BCC55 - WorkShop - MySql
User avatar
Armando
Posts: 2479
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México
Contact:

Post by Armando »

Angel:

Muchas gracias por el comentario, lo bueno es que el virus esta en la red de mi cliente no en mi PC :lol:

Saludos
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
User avatar
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 am
Location: Praia - Cape Verde
Contact:

Post by Ricardo Ramirez E. »

Armando ...
Muchas gracias por el comentario, lo bueno es que el virus esta en la red de mi cliente no en mi PC
Si utilizas memorias USB, hay una probabilidad grande de que el bicho este tu memoria USB...


Saludos.
Ricardo Ramírez!
Saludos
Ricardo R.
xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
fleal
Posts: 234
Joined: Tue Oct 25, 2005 12:39 am
Location: México, DF

y para

Post by fleal »

Armando,

Y para que puedas tener a salvo tu memoria usb...

http://www.captura-digital.com/info/mx_ ... s_v3.5.png
User avatar
Armando
Posts: 2479
Joined: Fri Oct 07, 2005 8:20 pm
Location: Toluca, México
Contact:

Post by Armando »

Fer:

'Chas gracias.

Un abrazo
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
Post Reply