Buenas a todos.
Tengo una curiosidad.
Tengo en mi empresa aproximadamente 50 equipos en los cuales 10 aproximadamente le he pasado la aplicación ELISTART.exe y en todos me ha detectado dicho archivo
"C:\I386\IDEREGAD.EXE --> Eliminado, DownLoader.ACT", en este equipo en el cual estoy mandado este post tiene tambien dicho archivo, antes de eliminarlo le he pasado varios antivirus online,spywares... etc etc pero ninguno me ha detectado dicho troyano, solamente el Elistart.exe
Me gustaría saber si ese archivo es verdad que es un troyano que se nos está exandiendo o es un fallo de la aplicación por el cual te detecta ese archivo como troyano.
Cuando se elimina ese archivo luego nos dá un problema con el IE y tengo que desinstalar el SP2 del xp y volver a instalar siendo un trabajo que dura su tiempo.
Me gustaría saber si es verdad que es troyano/virus ya que he visto donde se instala... en qeu apartado dle registro... y no he encontrado ningun rastro de dicho virus/troyano y ningun otro antivirus lo detecta.
Me gustaría saber si es un fallo de la aplicación o es cierto que se me está expandiendo con el consiguiente problema a desinstalar el SP2 y volver a reinstalar.
Gracias y saludos.
troyano DOWNLOADER.ACT
-
ShArKWhite
- Mensajes: 48
- Registrado: 29 Nov 2005, 14:47
troyano DOWNLOADER.ACT
---------------------------------------
-----Málaga La Bella-----
-----Málaga La Bella-----
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues nos complacerá atender su solictud . para lo cual le rogamos que nos envie el indicado fichero C:\I386\IDEREGAD.EXE, ya que si el ELISTARA.EXE se lo detecta y elimina es porque detecta en él la cadena de deteccion con la que se detecta el DownLoader.ACT, segun la muestra que tenemos, pero siempre puede existir un fichero atipìco que contenga la cadena sin ser virus, el cual excluiremos de dicha deteccion si es el caso.
Puede enviarnos la muestra indicada azonavirus@satinfo.es anexada a una mail en cuyo texto nos indique como referencia "REF DUDOSOACT" , y tan pronto lo analicemos, le informaremos el resultado como respuesta de este Tema, asi como corregiremos en su caso dicha deteccion.
saludos
ms, 29-11-2005
Nota: En las máquinas que tenemos XP con SP2 no tenemos este fichero, ni tampoco en las w2000, y no nos da ningun problema el I.E. ???
Puede enviarnos la muestra indicada a
saludos
ms, 29-11-2005
Nota: En las máquinas que tenemos XP con SP2 no tenemos este fichero, ni tampoco en las w2000, y no nos da ningun problema el I.E. ???
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida la muestra que nos ha enviado, efectivamente la cadena de deteccion del Downloader ACT, existe en este fichero, sin estar realmente infectado, razón por la cual hemos buscado otra cadena de deteccion para dicho virus que no tenga este fichero, y asi eliminar la falsa alarma, pero seguir detectando el virus donde estuviere.
Ya hemos realizado la correccion en nuestra utilidad ELISTARA, que se puede descargar para pruebas de evaluacion en este foro, con el mismo link que la anterior, ya que la hemos subido sustituyendola
Agradecemos su colaboracion y lamentamos el susto y el tiempo perdido, que procuramos evitar testeando en nuestros tambien 50 ordenadores, pero es que este fichero no lo tenemos ni en XP ni en W2000 ambos actualizados y con conexion a internet por varios sistemas (routers ADSL, RDSI, parabolica por radiofrecuencia para la web, etc) asi como miles de usuarios que no han detectado dicha incidencia, como tampoco los foreros de zonavirus, que tampoco lo habían percibido, estando ya desde hace 2 meses implementado, por lo que posiblemente este fichero sea de alguna utilidad aparte de windows y del I.E. y parches de microsoft.
En cualquier caso ya está subsanado
---v10.69-(30 de Noviembre del 2005) (Solución falsa alarma con el "IDEREGAD.EXE")
saludos
ms, 30-11-2005
Ya hemos realizado la correccion en nuestra utilidad ELISTARA, que se puede descargar para pruebas de evaluacion en este foro, con el mismo link que la anterior, ya que la hemos subido sustituyendola
Agradecemos su colaboracion y lamentamos el susto y el tiempo perdido, que procuramos evitar testeando en nuestros tambien 50 ordenadores, pero es que este fichero no lo tenemos ni en XP ni en W2000 ambos actualizados y con conexion a internet por varios sistemas (routers ADSL, RDSI, parabolica por radiofrecuencia para la web, etc) asi como miles de usuarios que no han detectado dicha incidencia, como tampoco los foreros de zonavirus, que tampoco lo habían percibido, estando ya desde hace 2 meses implementado, por lo que posiblemente este fichero sea de alguna utilidad aparte de windows y del I.E. y parches de microsoft.
En cualquier caso ya está subsanado
---v10.69-(30 de Noviembre del 2005) (Solución falsa alarma con el "IDEREGAD.EXE")
saludos
ms, 30-11-2005
Última edición por msc hotline sat el 10 May 2007, 06:20, editado 2 veces en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
ShArKWhite
- Mensajes: 48
- Registrado: 29 Nov 2005, 14:47
Gracias
Buenas a todos.
Antes de nada gracias por la rápida respuesta que habeis dado a este asunto.
Solo queria saber si fuera posible que entrada del registro borra la aplicación ELISTARTA cuando detecta dicho archivo , ya que para subsanar el problema tengo que desinstalar el SP2 del xp y volverlo a instalar con el consiguiente inconveniente de tener que interrumpir el trabajo de los usuarios.
Me gusta´ria saber que entrada del registro elimina para así poder restaurarlo en el equipo con dicho archivo y no tener que hacer los pasos antes mecionados.
Un saludo y muchas gracias.
Antes de nada gracias por la rápida respuesta que habeis dado a este asunto.
Solo queria saber si fuera posible que entrada del registro borra la aplicación ELISTARTA cuando detecta dicho archivo , ya que para subsanar el problema tengo que desinstalar el SP2 del xp y volverlo a instalar con el consiguiente inconveniente de tener que interrumpir el trabajo de los usuarios.
Me gusta´ria saber que entrada del registro elimina para así poder restaurarlo en el equipo con dicho archivo y no tener que hacer los pasos antes mecionados.
Un saludo y muchas gracias.
---------------------------------------
-----Málaga La Bella-----
-----Málaga La Bella-----
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues estamos de suerte.
Mirando en el código fuente del ELISTARA lo que procede realizar cuando detecta cadena de deteccion del Downloader ACT en un fichero, resulta que al ser un downloader que no crea clave de ejecuion en posteriores reinicios, sino que simplemente descarga troyanos al ejecutarlo, el ELISTARA elimina el fichero que contiene esta clave, tras detener el proceso para que no esté residente en memoria, y windows nos permita eliminarlo, pero no se elimina en este caso ninguna clave al no tener conocimiento de que cree ninguna, al menos asi se comportó la muestra recibida en su día.
Así que en este caso, simplemente copie de nuevo el fichero eliminado y reinicie el ordenador, ya que al respecto no se elimina ninguna clave.
Además, las claves que se hubieran eliminado hubieran tenido un valor propio del las del virus, diferente del que pudiere tener la clave de carga del programa IDEREGAD.EXE, que dificilmente pudiera ser el mismo que el utilizado por el virus para su clave.
saludos
ms, 1-12-2005
Mirando en el código fuente del ELISTARA lo que procede realizar cuando detecta cadena de deteccion del Downloader ACT en un fichero, resulta que al ser un downloader que no crea clave de ejecuion en posteriores reinicios, sino que simplemente descarga troyanos al ejecutarlo, el ELISTARA elimina el fichero que contiene esta clave, tras detener el proceso para que no esté residente en memoria, y windows nos permita eliminarlo, pero no se elimina en este caso ninguna clave al no tener conocimiento de que cree ninguna, al menos asi se comportó la muestra recibida en su día.
Así que en este caso, simplemente copie de nuevo el fichero eliminado y reinicie el ordenador, ya que al respecto no se elimina ninguna clave.
Además, las claves que se hubieran eliminado hubieran tenido un valor propio del las del virus, diferente del que pudiere tener la clave de carga del programa IDEREGAD.EXE, que dificilmente pudiera ser el mismo que el utilizado por el virus para su clave.
saludos
ms, 1-12-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online