FiveTech Support Forums

FiveWin / Harbour / xBase community
Board indexActive topicsAll discussionsLogin (GitHub)
Board index FiveWin para Harbour/xHarbour Será algun virus ?
Armando
Posts: 3358
Joined: Fri Oct 07, 2005 08:20 PM
Será algun virus ?
Posted: Thu Jun 26, 2008 10:59 PM

Amigos:

Disculpen el OT, resulta que en la red de un cliente, por alguna razón que desconozco y por eso consulto en el foro, al dar clic al icono MiPC de alguna terminal muestra todas las unidades y carpetas disponibles, C:\ D:\, etc pero al dar clic sobre el icono del DD (C:) no lo abre por el contrario muestra un diálogo para elegir el programa con el que se desea abrir el DD :shock: , asume que se trata de un fichero no del disco duro y lo que es pero asume que se trata de un fichero desconocido por eso pide el programa con el que debe abrirlo.

Supongo que debe ser algun virus pero me gustaría escuchar sus comentarios y opiniones.

Saludos

SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 AM
Será algun virus ?
Posted: Thu Jun 26, 2008 11:35 PM

Armando :

Esa es una tecnica bastante vulgar de los virus.... activa la opcion de poder ver archivos ocultos. y veras que en la unidade con problemas hay un archivo ?:\autorun.inf similares a los de los cds.... puedes eliminar ese archivo.. y editar el mismo para ver a que aplicacion llamo el bicho este :)
y claro esta pagar tambien la aplicacion ...

Saludos.
Ricardo Ramirez!

Saludos

Ricardo R.

xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
Armando
Posts: 3358
Joined: Fri Oct 07, 2005 08:20 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 12:19 AM
Ricardo:


Esa es una tecnica bastante vulgar de los virus.... activa la opcion de poder ver archivos ocultos. y veras que en la unidade con problemas hay un archivo ?:\autorun.inf similares a los de los cds.... puedes eliminar ese archivo.. y editar el mismo para ver a que aplicacion llamo el bicho este
y claro esta pagar tambien la aplicacion ...


Gracias por la explicación, podrías ampliar un poco más la información ?, no me queda claro lo de si borro el archivo y luego lo edito podré ver la aplicación que llamó o pagar la aplicación, quiero entender que el cliente tiene una aplicación "pirata" ?

Saludos y gracias por el aporte
SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 AM
Será algun virus ?
Posted: Fri Jun 27, 2008 03:08 AM

Armando..
Normalmente las unidades c:\, e:\ f:\ no deberiam tener autoarranque (autorun.inf) ... eso quiere decir que puedes y debes borrar todo autorun.inf... si editas este archivo podras ver a que aplicacion se llamma cuando das doble click ena determinada unidad, entonces... podras ver ahi que archivo(s) debes borrar tambien.

Que antivirus usa el cliente??
Prueba Kaspersky Anti-Virus: Escaner antivirus en línea gratuito

http://www.kaspersky.com/sp/virusscanner

Saludos.!
Ricardo Ramirez

Saludos

Ricardo R.

xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
Armando
Posts: 3358
Joined: Fri Oct 07, 2005 08:20 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 03:50 AM

Ricardo:

Ahora si esta mucho más claro, resulta ser que el cliente no usa antivirus o mejor dicho algunas terminales tienen antivirus (PANDA GRATUITO) y otras no, peroooo ahora tratan de echarle la culpa a mi aplicación :evil: , por eso es que estoy molestando al foro para demostrar mi inocencia :lol: , que te parece ?

Un abrazo

SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 AM
Será algun virus ?
Posted: Fri Jun 27, 2008 04:05 AM

Armando....
Me parece bien.. pues es un crimen tener una pc sin algun antivirus....
La aplicacion no puede generar ese tipo de errores :)

Saludos
Ricardo Ramirez!

Saludos

Ricardo R.

xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
joseluisysturiz
Posts: 2064
Joined: Fri Jan 06, 2006 09:28 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 05:17 AM

Pues si amigo, eso es un SEÑOR VIRUS, como te dijo el colega, te crea un AUTORUN.INF, asi que si has metido tu algun pendrive en ese pc, debe tener virus, al igual que un virus llamado Knight, aparte del antivirus que te reocomiendan, limpia temporales de internet si lo tienes y la carpeta TEMP dentro del directorio WINDOWS, yo lo elimine rapidisimo con NOD32, la version de prueba te hace actualizaciones por el tiempo de prueba, algo como 30 dias...en mi particular no me gustan los antivirus gratuitos...pero entre gustos y colores... :lol:

Nota: si no puedes limpiar el disco, colocalo como esclavo en otro pc que tenga antivirus y lo limpias sin que se active el virus.

Dios no está muerto...



Gracias a mi Dios ante todo!
mmercado
Posts: 782
Joined: Wed Dec 19, 2007 07:50 AM
Será algun virus ?
Posted: Fri Jun 27, 2008 05:36 AM
Armando wrote:peroooo ahora tratan de echarle la culpa a mi aplicación :-) , por eso es que estoy molestando al foro para demostrar mi inocencia :-) , que te parece ?

Yo por las dudas, no voy a comprar tu aplicacción :-)

Ya en la parte seria, se me hace raro que sea tu primer encuentro con el famosísimo AutoRun.

Este es un virus que se propaga principalmente a través de los dispositivos de almacenamiento USB y siembra un programa oculto en el directorio raiz del disco duro, ya sea local o en el servidor en redes de area local.

El visualizar y después eliminar el archivo AutoRun.inf, así como el programa que supuestamente es ejecutado por dicho script (normalmente un copy.exe, host.exe o algún otro exe), no es suficiente para eliminar el virus, ya que se reproduce inmediatamente. Estos exes que supuestamente se ejecutan con el AutoRun, algunas veces existen (obviamente también ocultos) pero en realidad no son los responsables de la carga o reproducción del gusano.

Revisa el directorio raíz del disco duro:

C\:>Dir *.inf /A
C\:>Dir *.com /A
C\:>Dir *.exe /A

Normalmente en el directorio raiz del disco duro no debería existir ningún AutoRun.inf, tampoco es normal que existan ejecutables en dicho directorio, y el único *.com que debería existir es ntdetect.com.

Si encuentras otro *.com (regularmente con un nombre parecido a ntdetect), has encontrado al responsable de la dispersión del virus.

Haz lo necesario para eliminar los archivos mencionados comenzando con el *.com, usa attrib para quitarles los atributos de ocultos, solo lectura y sistema, después simplemente bórralos (ojo, no vayas a borrar ntdetect.com).

Es complicado y laborioso el procedimiento, pero creo demostrarle al mundo la inocencia de tu aplicación, bien lo vale :-)

Un abrazo.

Manuel Mercado
manuelmercado at prodigy dot net dot mx
Carlos Mora
Posts: 989
Joined: Thu Nov 24, 2005 03:01 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 11:41 AM
Armando wrote:Ricardo:

Ahora si esta mucho más claro, resulta ser que el cliente no usa antivirus o mejor dicho algunas terminales tienen antivirus (PANDA GRATUITO) y otras no, peroooo ahora tratan de echarle la culpa a mi aplicación :-) , por eso es que estoy molestando al foro para demostrar mi inocencia :-) , que te parece ?

Un abrazo

Me parece excelente! Ahora puedes cobrarle por sacarle el virus! Eso si, si no le cobras, volverás a pasar por esta situación.

Un saludo,

Carlos.
Saludos
Carlos Mora
http://harbouradvisor.blogspot.com/
StackOverflow http://stackoverflow.com/users/549761/carlos-mora
“If you think education is expensive, try ignorance"
Armando
Posts: 3358
Joined: Fri Oct 07, 2005 08:20 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 12:23 PM

Amigos del foro:

Mil gracias a todos, que hariamos sin este fabuloso foro ?.

Voy con mi hacha a demostrar mi inocencia.

Un abrazo a todos

SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
ADBLANCO
Posts: 299
Joined: Mon Oct 22, 2007 03:03 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 06:16 PM

Tiene TODAS las características del 'W32/Perlovga', Se aloja en Autorun.inf apoyado en copy.exe.
El problema es que hay que eliminar simultáneamente TODAS las llamadas a COPY que encuentres en el disco y TODAS los archivos autorun.inf y copy.exe inválidos (muy dificil), Te sale re-formatear el disco.
Buenas noticias: no pierdes tus fuentes (puedes respaldarlos, no copiarlos)

Saludos



Angel, Valencia, Venezuela



xH .997 - FW 7.9 - BCC55 - WorkShop - MySql
Armando
Posts: 3358
Joined: Fri Oct 07, 2005 08:20 PM
Será algun virus ?
Posted: Fri Jun 27, 2008 06:19 PM

Angel:

Muchas gracias por el comentario, lo bueno es que el virus esta en la red de mi cliente no en mi PC :lol:

Saludos

SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero
Ricardo Ramirez E.
Posts: 161
Joined: Wed Jan 25, 2006 10:45 AM
Será algun virus ?
Posted: Sat Jun 28, 2008 01:38 PM
Armando ...

Muchas gracias por el comentario, lo bueno es que el virus esta en la red de mi cliente no en mi PC


Si utilizas memorias USB, hay una probabilidad grande de que el bicho este tu memoria USB...


Saludos.
Ricardo Ramírez!
Saludos

Ricardo R.

xHarbour 1.1.0 Simplex , Microsoft Visual Studio 2008, Bcc55, Fwh Build. 9.01
fleal
Posts: 234
Joined: Tue Oct 25, 2005 12:39 AM
y para
Posted: Sat Jun 28, 2008 02:23 PM

Armando,

Y para que puedas tener a salvo tu memoria usb...

http://www.captura-digital.com/info/mx_ ... s_v3.5.png

Armando
Posts: 3358
Joined: Fri Oct 07, 2005 08:20 PM
Será algun virus ?
Posted: Sat Jun 28, 2008 04:27 PM

Fer:

'Chas gracias.

Un abrazo

SOI, s.a. de c.v.
estbucarm@gmail.com
http://www.soisa.mex.tl/
http://sqlcmd.blogspot.com/
Tel. (722) 174 44 45
Carpe diem quam minimum credula postero

Continue the discussion

Static archive · New replies & topics via GitHub Discussions