Soy un usuario habitual del software UGRIB, http://www.grib.us/ programa que permite al usuario retirar datos meteorológicos aportados por la N.O.A.A (U.S. National Oceanic and Atmospheric Administration) y encripatdos en ficheros del tipo .GRIB que el propio programa desencripta y traduce sobre un mapa dando así una previsión meteorológica sobre la zona del planeta y lapso de tiempo solicitados por el usuario. Llevo años utilizándolo y NUNCA he tenido un sólo problema de virus con él.
Desde hace unos días, al intentar dscargar el archivo .GRIB correspondiente a la zona que solicito obtengo sistemáticamente una alerta de AVAST! indicando que el archivo que intento descargar a través de UGRIB contiene elementos maliciosos (concretamente WIN32: evo-gen ), que ha sido bloqueado y dirigido automáticamente al baúl sin permitirme descargar y/o utilizar los datos meteorológicos que deseo obtener a través de UGRIB.
He enviado varias veces el archivo a AVAST! utilizando la función para ello indicada y no he obtenido (como anunciado, de hecho) respuesta alguna. Quisiera saber si este archivo contiene efectivamente algún elemento nocivo o si se trata de una falsa alerta a fin de establecer una excepción en AVAST para el programa UGRIB.
Os dejo una captura de pantalla del software funcionando y el disparo de la alerta.
El archivo que avast! esta detectando es una libreria dinamica ( hdwkdpih.dll ) ejecutada por csc.exe que pertenece a Visual Studio o algun programa de .NET SDK. Como no puedo ver la ruta exacta de ninguno de los archivos no estoy seguro.
¿ Cual archivo ? Te pregunto porque me hablas de un archivo .GRIB pero eso no es lo que sale en la alerta. Es el hdwkdpih.dll que esta siendo detectado.
WIN32:Evo-gen [Susp] es un archivo sospechoso a la hora de ejecutarse. Yo trate de buscar informacion de esa libreria y no encontre nada al respecto. Puedes mandarlo a Virus Total para ser analizado por + de 40 analizadores. Reporta los resultados ( copia/pega la ruta del resultado para ver los comentarios ) https://www.virustotal.com/
¿ Como lo reportastes ? Generalmente uno lo puede reportar o con la alerta " Informar de falso positivo " o, mi preferido, cuando lo tienes en el baul. Click derecho > " Enviar a AVAST software… " donde llenas un formulario de informacion respecto al archivo. Despues tienes que esperar que avast! actualice para que el formulario y archivo sea mandado. Generalmente puede tomar de una a dos semanas para que avast! no lo vuelva a detectar si es un F/P. Si no lo es, avast! no tiene obligacion de comunicartelo y seguira detectandolo.
Tambien puedes mandar una copia del archivo por e-mail a virus[arroba]avast[punto]com
Lo comprimes y le das una clave " virus ". Añade un texto con tu explicacion y porque tu crees que es un F/P. tambien tu e-mail.
He enviado el archivo a AVAST! desde el baúl a través de la opción click derecho “enviar a AVAST! Software…” rellenando debidamente el formulario en inglés dando toda la explicación sobre el problema y adjuntando mi dirección e-mail en 4 ocasiones ( pues he obtenido el archivo supuestamente malicioso en 4 intentos realizados en horas y días diferentes de descarga de archivos .GRIB a través del software UGRIB), y aún no he obtenido respuesta (en el cuadro de diálogo indican que no se contactará con el remitente a no ser en caso de necesidad por parte de AVAST!).
Efectivamente no se trata de un archivo.GRIB: me expliqué mal, pues ése es el tipo de archivo que hubiese obtenido en caso de que AVAST! no hubiese bloqueado la descarga tras la detección del Win32:Evo-gen. De hecho mi problema es doble: no sólo obtengo el archivo sospechoso Win32:evo-gen sistemáticamente a cada intento de descarga sino que ya no puedo descargar archivos GRIB através del programa UGRIB puesto que AVAST! bloquea la descarga.
El nombre del archivo es u8v6usqc.dll y Ubicación original es: C:\Users\User (es decir, mi nombre de usuario)\AppData\Local\Temp
Acabo de darme cuenta ahora mismo de que, en el baúl, situándome sobre el archivo y dando click derecho sobre él existe también la opción “Análisis”. Clickando en ella se ejecuta el análisis y tras él (me aparece el mensaje “u8v6usqc.dll – no hay virus --”. ¿Significa que no se trata entonces de un virus?
Ha… pero esa es otra libreria. De todas forma yo avise a Milos, jefe del laboratorio de avast! para que buscara tus envios y revisara las detecciones. Esperemos a ver que dice.
No. Es solo que le deteccion es hecha cuando se ejecuta el archivo heuristicamente mientras en el baul tiene que ser una deteccion conocida. Ningun Evo-gen sera detectado como virus en el baul.
Cada vez que trato de descargar un archivo .GRIB a través de UGRIB aterriza en mi PC el Win32:evo-gen. Por si sirve de algo, éstos son los nombres y ubicaciones que se hallan en el baúl, correspondientes a varios intentos de descarga realizados en diferentes fechas y horas:
hdwkdpih.dll Ubicado en C:\Users\User (mi nombre de usuario)\AppData\Local\Temp
Bueno si. Lo que yo veo es que se usa una libreria ( .dll ) diferente para cada archivo que deseas abrir con el programa. Aparte que es una libreria en temporales que al abrir el archivo se borra sola o cuando limpies los temps, no se necesita para otra cosa mas. La cosa es que avast! esta detectando esa libreria ( .dll ) lo mas seguro es un F/P y esto es para que el lab de avast! lo resuelva. En este momento no se me ocurre como excluirlo al menos que creas un wild card con .dll ( *.dll ) pero eso seria muy peligroso porque excluiria cualquier dll.
Haz referencia a este topico ( copia/pega la direccion del topico ) para que tu reporte no sea tan extenso en la forma de contacto. Seria bueno que mandaras uno de esos .dll a Virus Total para saber el resultado y tambien copiar/pegar la direccion de ese reporte en tu forma de contacto.
De acuerdo, mandaré los archivos a las direcciones que me indicas.
Por otra parte, para ampliar la información, acabo de descargarme e instalar el software ZYGRIB http://www.zygrib.org/ que ya conocía y tenía instalado en otro PC anteriormente, y que sirve exactamente para lo mismo. Recolecta los datos meteorológicos de la misma fuente (N.O.A.A) y al proceder a descargar el archivo AVAST! no ha dado ninguna alerta y he recibido el archivo .GRIB solicitado sin ningún problema… con lo cual se puede suponer que el problema lo tiene sólo el software UGRIB (instalado desde hace unos meses en este PC y siempre funcionando perfectamente hasta hace unos días).
Pasando por dicha opción el formulario me obliga a enviar un archivo y no encuentro dicho archivo: sólo lo encuentro en en baúl de AVAST y no sé cómo acceder a la ubicación que me indica, que es C:\Users\User (mi nombre de usuario)\AppData\Local\Temp
A través del cuadro de selección de archivos del formulario entro en Users, en User y a continuación hay varias carpetas, “mis imágenes”, mi música" etc, pero ninguna que se llame “AppData”. Sí puedo acceder a esa ubicación desde otra herramienta de búsqueda que utilizo (Everything. S.O = Win7 Ultimate) pero no desde la del formulario. No tratándose de una página web no he podido seleccionar en la página que me indicas la opción “Informar sobre alerta de falso virus en la web”
He tenido que enviarlo a través de la opción “Consultas sobre el sitio web” :-\ indicando que no se trataba de una consulta sino de un posible F/P. He indicado la dirección de este hilo y he expuesto brevemente el problema.
Y como se suele decir, “con ésto, y un bizcocho, hasta mañana a las ocho” ;D que va siendo hora de irse a dormir (las 04 A.M!) :o
C:\Users\User (tu nombre de usuario)\AppData\Local\Temp puede que sea una carpeta o archivo oculto asi que tendras que buscar opciones de carpetas y marcar " Mostrar todos los archivos ocultos ". ve imagen
Tambien ten encuenta que si avast! ha enviado esos archivos al baul tendras que restauralos por medio de las opciones que te da el baul.
“Tanto tiempo” buscando la manera de cómo ver los archivos ocultos en Win7 sin lograrlo… y aquí está! ;D Gracias. Mañana lo enviaré a través del formulario da través de la opción correcta
Siguiendo tus consejos hoy he restaurado a través de la función “Restaurar” de AVAST! dos de los archivos y he enviado el kb-nc1ca.dll (el último de la “colección” ;D ) y el u8v6usqc.dll a http://www.avast.com/es-es/contact-form.php?loadStyles seleccionando la función “Informar sobre alerta de falso virus en archivo” y estoy esperando respuesta.
u8v6usqc.dll y kb-nc1ca.dll también han sido enviados a https://www.virustotal.com/ y tras posterior análisis ambos han obtenido un ratio de detección de 0/52
Milos me contesto en un mensage y esta buscando tus paquetes que mandastes. Yo le explique lo que estaba pasando. Espero que reciba una solucion pronto.
