Hola, tengo un USB Teclast que viene con un “sistema” para ponerle claves y cuando lo enchufo al PC me sale que tiene un troyano o algo asi que es el archivo autorun que esta en la raiz del USB supuestamente y cuando le digo al Avast! que lo elimine me sale “Error: Acceso denegado (5)”, alguien sabe como eliminar el “troyano”?

saludos

Hola onakiri y bienvenido al foro.

En principio por lo que comentas, entiendo que tu llave usb dispone de un sistema de protección de lectura y/o escritura por software pero lo que avast te está detectando es una amenaza en tu usb (que no tiene nada que ver con qué tu stick USB tenga un sistema de protección de lectura/escritura) y eso es mala señal ya que posiblemente hayas sido infectado por algún tipo de malware. Sería bueno que nos comentaras que amenaza encontró AVAST para hacernos una idea de a lo que te enfrentas.

Los cd’s, dvd’s, pendrives, etc, contienen en su carpeta raíz un fichero llamado autorun.inf en el cual se establece que fichero queremos que se abra (ejecute) nada más insertar el cd,dvd ó stick USB. Normalmente existe una llamada a un fichero de tipo setup.exe, install.exe, por poner un ejemplo. Los virus que infectan los sticks USB lo que hacen es copiarse a los sticks USB ellos mismos (se autoreplican) y modifican el fichero autorun.inf añadiendo una referencia a ellos mismos garantizando así que cada vez que el pendrive usb es insertado en un sistema, se ejecute el fichero establecido en autorun.inf (en este caso el propio virus) infectando así el sistema donde sea insertado el stick USB si éste no dispone de un antivirus actualizado y que lo reconozca. Cuando un sistema resulta infectado, todo stick USB que se inserte queda automáticamente infectado para replicarse en otros sistemas mediante el mismo procedimiento y así sucesivamente…

Si quieres más información sobre autorun.inf puedes visitar el siguiente enlace dónde lo explican muy bien por si no te quedó clara mi explicación. Enlace: http://multingles.net/docs/juansa/chiqui_autorun.htm

Por otra parte, el error que te devuelve Windows (Error de acceso nº5) se debe principalmente a dos motivos:

1. No dispone de los privilegios suficientes (necesita ser usuario administrador)
2. El stick ó llave USB está protegido contra escritura.

Comprueba que el usb por su parte externa no tenga un interruptor que diga “lock/unlock” ó algo similar.

Si tu usb no dispone de ninguna pestaña o interruptor de bloqueo contra escritura, posiblemente se trate de un problema de elevación de permisos (no estás identificado como usuario administrador) ó en el peor de los casos, tu sistema (windows) se encuentra infectado por un malware y éste se encuentra activo en memoria (residente) y bloquea todo intento que haga el usuario ó el mismo antivirus por eliminarlo ya que el fichero que intenta eliminar el antivirus (el propio malware) está abierto en otro proceso.

Para solucionarlo:

1. Comprueba que el pendrive ó stick usb no se encuentra protegido contra escritura mediante un interruptor. Si está bloqueado, desbloquéalo y analízalo de nuevo con el AVAST para que elimine el malware. Si esto no funciona pasa al paso nº2.

2. Inicia sesión como el usuario Administrador ó cualquier otro usuario perteneciente al grupo de administradores. Analiza el USB con tu AVAST e intenta eliminar el virus ahora.

Espero haberte ayudado.

Un saludo.

Onakiri.

Aparte de la info que populous te dio arriba, tengo dos sitios que puedes chequear a ver si te ayudan en algo:

http://es.kioskea.net/faq/6965-quitar-proteccion-contra-escritura-de-memoria-usb

http://es.kioskea.net/faq/342-eliminar-virus-de-una-memoria-usb-o-un-dispositivo-extraible

Es dificil, por lo menos para mi, conseguir informacion confiable de sitios web en español porque no conosco muchos. Si no puedes resolver el problema chequea los siguientes sitios web.

Si sabes ingles puedes abrir un nuevo topico aqui en Avast:

Lee primero esto:

http://forum.avast.com/index.php?topic=53253.0

y despues abres un topico aqui:

http://forum.avast.com/index.php?board=4.0

Si es en español hazlo aqui:

http://www.forospyware.com/foro-de-virus-y-spywares/

Suerte.

Mi nivel de inglés es muy bajo y la web de forospyware ya puse un tema sobre esto y no me contestaron, ahora mismo no tengo el USB por la tarde cuando lo tenga hago la prueba

gracias y saludos

Hola de nuevo onakiri

Mira la siguiente URL http://www.infospyware.com/utiles/usbfix/. Se trata de una herramienta específica para eliminar virus de sticks usb y demás medios extraibles. Esta herramienta la recomiendan desde http://www.forospyware.com/ el foro que te recomendó el amigo iroc9555.

Un saludo!

Probé el del USB fix y el RAV pero el antivirus Avast! me sigue diciendo que tengo virus, os dejo el post donde pregunte al forospyware con fotos del sistema anti escritura o lectura que tiene mi USB por si sirve de algo

http://www.forospyware.com/t384518.html

saludos y gracias

Hola, no sabía que era comprando en china…

Hace algún tiempo me regalaron uno que también venía de china. Recuerdo que era de 4 GB cuando en España lo máximo que podías encontrar en las tiendas eran de 1GB (hablo hace 3 años aproximadamente). Finalmente resultó ser FALSO y no tenía 4 GB en realidad, sino 512 MB. Tenía un programa (similar al tuyo) que se activaba al introducir el pendrive y lo que hacía era “engañar” al sistema de archivos de windows sobre el espacio real del pendrive y encima el programita ese era un virus que no hubo forma de eliminar. En su momento leí en un foro de yahoo que lo que había que hacer para saber si era pirata ó no, es decir, si no me habían engañado, era intentar llenar los 4GB. Cual fue mi sorpresa cuando al copiar una película descargada de internet de tan solo 700 MB no cabía en el pendrive… Era de 512MB!!! Y encima me saltaba una alerta del antivirus diciéndome que contenía un troyano y no lo podía eliminar. Lo que hice para solucionarlo fue FORMATEAR el pendrive borrando el programa que traía pero se me quedó con una capacidad, esta vez sí real, de 512 MB. Cuidado con las cosas esas ya que China es considerada junto a Israel uno de los países con más fabricantes y distribuidores de malware que existen y yo personalmente prefiero pagar un poco más antes de llevarme luego un disgusto.

Puede ser que en tu caso se trate de un falso positivo, pero yo si estuviese en tu lugar, formatearía la tarjeta (aunque perderás el programa que trae de protección) pero al menos podrás usarlo (o deberías).

Sube los archivos Format.exe, Lock.exe y Teclast.exe a http://www.virustotal.com y pega aquí el resultado de los análisis para hacerme una idea.

Yo ni me lo planteba, yo formateaba el USB pero eso ya es a elección tuya si formateas el USB ó no. Y te aviso, que PERDERÁS todo lo que contiene incluso el programa que trae y en el peor de los casos, el pendrive podría quedar inutilizado si se trata de una falsificación ya que muchos necesitan de ese programa para funcionar…

¿Qué capacidad tiene el pendrive? Sólo por curiosidad…

No creo que sea falso, mi USB pone que tiene 4 GB y hace meses que lo uso y algunas veces lo lleno del todo y sobre formatearlo lo formateé varias veces algunas veces con el formateador de windows y otras veces con el programa que viene dentro del USB
Y aqui el reporte:
-FORMAT:

Antivirus Version Last Update Result
AhnLab-V3 2011.02.26.00 2011.02.25 -
AntiVir 7.11.3.240 2011.02.25 -
Antiy-AVL 2.0.3.7 2011.02.25 -
Avast 4.8.1351.0 2011.02.23 -
Avast5 5.0.677.0 2011.02.23 -
AVG 10.0.0.1190 2011.02.26 -
BitDefender 7.2 2011.02.26 -
CAT-QuickHeal 11.00 2011.02.25 -
ClamAV 0.96.4.0 2011.02.26 -
Commtouch 5.2.11.5 2011.02.25 -
Comodo 7811 2011.02.25 -
DrWeb 5.0.2.03300 2011.02.26 -
eSafe 7.0.17.0 2011.02.24 -
eTrust-Vet 36.1.8184 2011.02.25 -
F-Prot 4.6.2.117 2011.02.25 -
F-Secure 9.0.16160.0 2011.02.25 -
Fortinet 4.2.254.0 2011.02.25 -
GData 21 2011.02.25 -
Ikarus T3.1.1.97.0 2011.02.25 -
Jiangmin 13.0.900 2011.02.25 -
K7AntiVirus 9.90.3967 2011.02.25 -
McAfee 5.400.0.1158 2011.02.26 -
McAfee-GW-Edition 2010.1C 2011.02.25 -
Microsoft 1.6603 2011.02.25 -
NOD32 5908 2011.02.25 -
Norman 6.07.03 2011.02.25 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.25 -
PCTools 7.0.3.5 2011.02.25 -
Prevx 3.0 2011.02.26 -
Rising 23.46.04.05 2011.02.25 Trojan.Win32.Generic.125FA9D6
Sophos 4.61.0 2011.02.26 -
SUPERAntiSpyware 4.40.0.1006 2011.02.26 -
Symantec 20101.3.0.103 2011.02.25 -
TheHacker 6.7.0.1.139 2011.02.25 -
TrendMicro 9.200.0.1012 2011.02.25 -
TrendMicro-HouseCall 9.200.0.1012 2011.02.26 -
VBA32 3.12.14.3 2011.02.25 Worm.Qvod.gj
VIPRE 8538 2011.02.25 -
ViRobot 2011.2.25.4329 2011.02.25 -
VirusBuster 13.6.222.1 2011.02.25 -

-LOCK:

-Teclast:

saludos y gracias

Onakiri.

Es mejor solo copiar y pegar la direccion URL de Virus Total para asi poder ver el resultado. De la forma que lo hicistes, aparte de que ocupa mucho espacio, no se puede ver el resultado total al final de la pagina.

Si haz formateado el pen drive y usado este procedimiento:

http://es.kioskea.net/faq/342-eliminar-virus-de-una-memoria-usb-o-un-dispositivo-extraible

y todavia Avast te detecta un troyano y por lo que veo nadie contesta en Forospyware es tiempo que te armes de valor y un amigo con un poquito de conocimiento de ingles y abras un topico en el foro de Avast a ver si Essexboy te puede ayudar.

http://forum.avast.com/index.php?board=4.0

o te armas de valor y bota por la ventana el pen drive y compra otro de marca conocida. Puede que por eso no te hayan contestado todavia en el foro. Se diran " y que pasa que no compra otro, mucho trabajo para algo tan dispensable. A mi particularmente me gusta Kingston.

Suerte, amigo.

Hola de nuevo, por partes:

a) Sobre el formateo: Si formateas el pendrive debería borrarse todo su contenido, incluido esos archivos que me indicas. Si lo has formateado otras veces no entiendo como siguen apareciéndote esos archivos y ese programa dentro… Además, si formateas usando el programa que viene dentro… ¿Qué sentido tiene? ¿Se borra y luego se vuelve a grabar? … ¿Estás seguro que estás formateando ó simplemente estás borrando el contenido? Si se borra se borra todo, tenga lo que tenga… no entiendo como se borra y luego te siguen apareciendo esos ficheros en la raiz… Ló unico que se me ocurre es que sea tu propio windows el que está infectado y que por mucho que formatees, cuando insertas el pendrive de nuevo, se vuelve a infectar ya que el virus podría estar activo en memoria (residente) oculto entre el resto de procesos legítimos del sistema y puede pasar desapercibido…

b) Sobre el resultado de los análisis de virustotal:

format.exe

Rising Antivirus - Trojan.Win32.Generic.125FA9D6

lock.exe
eSafe - Suspicious File (Fichero sospechoso)

Teclast: NO ENCUENTRA NADA.

Ante estos resultados, yo te diría que es un falso positivo pero esos son los archivos que se ven. No obstante el archivo que contiene el virus o la amenaza que avast ha detectado es, seguramente, otro que se encuentra oculto… De hecho fíjate que en los tres análisis avast no detectó nada, por lo tanto no son esos archivos los que están infectados, sino alguno oculto… activa mostrar archivos y carpetas ocultos en tu explorador de windows ó dime exactamente qué amenaza detecta AVAST y en qué fichero/s…

Yo te comenté que analizaras en virustotal esos 3 ficheros porque son los que se veían en la carpeta raíz de tu pendrive (en la captura de pantalla que subiste a forospyware) pero a lo mejor, la amenaza que avast te detecta se encuentra oculta y por eso no se muestra… es decir, has analizado los archivos que no son.

Avast te dirá que ha encontrado una amenaza y en qué fichero y ese es el que tienes que analizar también en virus total y si detecta varias infecciones, analizar por separado cada archivo que avast te identifica como amenaza en virustotal.

Y en cuanto a lo que te comentó Iroc9555 totalmente de acuerdo con él y es más, ya yo habría tirado ese usb a la basura pero si no tienes otro, de momento intenta no meterlo en otro pc hasta que soluciones el problema para evitar infectar otros sistemas…

c) Resultados de virustotal.com: Lo que te comentó Iroc9555 sobre los resultados es muy sencillo. Cada vez que analices un archivo, despues de hacer el upload eres redirigido a una página donde se van mostrando los resultados poco a poco… pues esa URL (dirección) de la página de resultados es la que tendrías que copiar aquí y así es muchísimo más fácil de leer y de interpretar los resultados.

Ya nos contarás…

Al final lo de formatear solo habia formateado la partición que es la memoria de 4 GB pero la partición de programa de “seguridad” no me dejaba formatear y el archivo autorun.inf (que es el que me muestra como infectado con trojano en el avast) no me deja eliminiar

saludos

Hola de nuevo onakiri,

¿Has tenido en cuenta las indicaciones que te hemos dado?

Es que si no das más información y no sabemos que has hecho y que no, es imposible que te podamos seguir ayudando…

Saludos

Aparentemente el pendrive tiene 2 particiones. Una es identificada como una particion “extraible normal”, y la otra es identificada como un CD (es decir, le dice a Windows que no es un UFD comun, sino un CD, posiblemente NO RE-grabable).

La “particion” que aparece como si fuera un CD es probablemente la de “seguridad” (no RE-grabable).

Es posible que tengas que configurar Windows Explorer para mostrar los archivos de sistema y ocultos. Luego abre el autorun.inf con el bloc de notas (notepad.exe) y pega aqui su contenido. NO abras el autorun.inf con doble click ni con ningun otro programa que no sea el notepad.

(Perdon que no uso acentos. No tengo en este momento un teclado español.)

Los procesos eso de kioskea para eliminar el virus ya lo he hecho. Sobre el formateo, como dije antes, formatee la partición (supuestamente partición donde tiene 4 gb para guardar cosas, lo llamaré partición “A” de ahora en adelante) ya que la otra partición (supuestamente la partición del programa de seguridad, lo llamaré partición “B” de ahora en adelante) no me deja, ayer expulsé la partición “B” dando clic derecho en la partición desde MI PC y después a “expulsar” luego formatee la partición “A” a NTFS y despues lo volví a formatear a FAT32, pero nada me sigue mostrando con troyano. En cuanto a los archivos ocultos, al poner visible todos los archivos ocultos me aparecen estos archivos: Autorun.exe, Autorun.inf, Format.exe, Lock.exe, Teclast.cdd y Teclast.exe. De todos estos el AVAST me dice que autorun.inf tiene troyano y al abrirlo con notepad me aparece esto

[AutoRun] OPEN=autorun.exe ICON=autorun.exe,0

Y ahora virustotal.com no se por qué no me deja entrar, cuando pueda entrar en virustotal.com analizo el archivo autorun.inf

saludos y lo siento mucho por las molestias

Hola de nuevo y no tienes que disculparte que no es ninguna molestia. Nosotros somos usuarios de avast como tú a los que nos gusta ayudar en la medida de nuestras posibilidades así que descuida y vamos a ver si te solucionamos el problema

Te comento:

Cuando avast te detecta como amenaza autorun.inf no te está diciendo que ese fichero sea un virus, sino que mientras se abría se intentó ejecutar una amenaza. Un archivo .inf NUNCA podrá ser infectado ya que un archivo .inf no se puede infectar, sólo se infectan los archivos ejecutables (.exe,.com), los de macro (.xls,.mdb,.doc,.docx,etc) y los pdfs que contienen macros.

Por lo tanto lo que te indica avast es que detectó una amenaza mientras se procesaba autorun.inf, lo cual es lógico ya que es lo primero que se “ejecuta” al introducir tu pendrive. Si te fijas en tu fichero autorun.inf observa la linea siguiente:
[size=10pt][size=10pt]OPEN=autorun.exe[/size][/size]

Cuando insertas tu pendrive, Windows de forma automática, busca y abre el fichero autorun.inf y lee la linea “OPEN=…” y abre el fichero que se especifica a continuación de la variable OPEN. Si te fijas en el contenido del autorun.inf llama a un archivo “OCULTO” llamado “AUTORUN.EXE” el cual no debería ser oculto (síntoma de que es un virus) y que ESE SI ES EL VIRUS y ese es el que tienes que subir a www.virustotal.com.

A veces www.virustotal.com debido a la sobrecarga de sus servidores no se abre pero existe otra página (www.jotti.org) que también sirve para lo mismo aunque utiliza menos motores antivirus que los que usa virustotal, es decir, escanea con menos antivirus aunque sí con los más populares y potentes del mercado. Pero insisto como te dije en su momento que lo que tienes que subir es el fichero [size=10pt]AUTORUN.EXE[/size] y pegar la url de los resultados aquí y ya lo valoramos.

No obstante, espera al resultado de virustotal.org ó de Jotti.org por si acaso se trate de un falso positivo de Avast lo cual se resolvería de una forma muy sencilla.

Saludos!

La razón de que Windows no te deje “formatear” esa partición es porque no la considera una “partición”, sino un CD (como ya explique arriba).

Quizás esto sea una característica del producto que adquiriste. Por ejemplo, podría ser usado para copiar archivos ISO y bootearlos? No lo sé en realidad; no conozco ese producto.

La “seguridad” que te ofrece el producto es justamente que no deja que Windows sobre-escriba por error un archivo guardado en esa “partición”, ya que es identificada como “read-only” CD (CD de “solo-lectura”). Es posible que exista algún software para usar esa “partición” de manera de guardar archivos una vez y que no puedan ser modificados por un simple error de usuario en Windows. Reitero, no lo sé porque desconozco el producto. Sólo estoy presentando una posibilidad potencial.

Sobre el resto, por favor sigue las indicaciones ya ofrecidas por Populous y luego pega aquí el link al informe de VirusTotal (y los otros sitios para chequeos).

Totalmente de acuerdo contigo ady4um y debemos valorar y tener en cuenta distintas posibilidades; yo también desconozco ese producto y de hecho es la primera vez que oigo decir que una memoria usb tiene particiones… pero bueno, todos los dias se aprente algo nuevo no? jeje,

En fin, a esperar a ver que yo estoy intrigado de saber que pasa con ese usb… ???

Un saludo!

Muchos UFDs tienen particiones. Hay más de un producto que viene “de fábrica” con más de una partición, y hay más de un software que permite particionar UFDs.

En la gran mayoría de casos, sólo una partición (de UFDs) es visible en Windows en un cierto instante, y el resto está marcado con un atributo de “oculto”.

Pero no hay muchos productos que vengan con una “partición” que sea identificada por Windows como si fuera un CD. Este tipo de productos tiene funciones (objetivos / usos) específicas, en lugar de ser usados como UFDs “comunes”.

Tendremos que esperar al feedback de Onakiri.

Lo dicho, todos los días se aprende algo nuevo… :o Yo nunca los he visto y si los he tenido en mis manos no me he fijado que tuviesen varias particiones así que muchas gracias por la información!

Ahora como bien dices a esperar a ver que tal le ha ido a Onakiri

Un saludo!

Dejo reporte de virustotal y de jotti del archivo Autorun.exe

Virustotal

Jotti

Luego lo volví a analizar con el virustotal y me sale en resultado 1 más

Segundo analisis de Virustotal

saludos