virus SCRIPTLOUNCHER.A

[ROMEOUPN]

[b][color=darkblue]En el servidor de donde trabajo encontró el panda antivirus online el virus SCRIPTLOUNCHER.A e indica que los limpió. Pero si vuelvo a pasar el antivirus me vuleve a marcar lo mismo. Cómo puedo resolver ese problema?





Por su atención y ayuda gracias.[/color][/b]

[flacoroo]

bajate estos archivos y los pegas a C: y reinicias el servidor en modo seguro y los ejecutas solo los dos ultimos.....



[url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotif[/url]

[url=http://www.zonavirus.com/descargas/elistara.asp]ElistarA[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]ElitrIP[/url]



despues de eso se ejecutara un archivo en C: InfoSat.txt copias su contenido y lo pegas en un post aqui.....para ver las acciones que se realizaron.

[msc hotline sat]

SI no lo resuelve con lo indicado por flacoroo, envienos muestra del fichero donde le detecta el troyano segun indicamos:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tras analizarlo lo controlaremos e implementaremos su eliminacion en nuestrras utilidades, de lo cual informaremos



saludos



ms, 16-03-2007

[ROMEOUPN]

[color=darkblue][b]el lúnes que no hay gente en mi trabajo haré lo que me dicen. Mucvhas gracias por su ayuda.[/b][/color]

[ROMEOUPN]

[color=darkblue][b]RESULTADOS EN INFOSAT[/b][/color]





Wed Mar 21 08:03:50 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Mar 21 08:03:52 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Compac\ContPAQ\Cliente\APPKEYX.DLL --> Eliminado, PWS-WoW

C:\Program Files\Compac\ContPAQ\Server\APPKEYX.DLL --> Eliminado, PWS-WoW

C:\Program Files\CompacW\Bin\APPKEYX.DLL --> Eliminado, PWS-WoW

C:\WINDOWS\Help\BENEFICIOS_CONTPAQI.EXE --> Eliminado, NetPals (BHO)



Wed Mar 21 08:08:51 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Wed Mar 21 08:18:11 2007

EliTriIP v3.35 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Mar 21 08:18:12 2007

EliTriIP v3.35 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Mar 21 08:21:12 2007

EliTriIP v3.35 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Wed Mar 21 08:21:16 2007

EliTriIP v3.35 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\SYS\Compartido\Adobe.Acrobat.7.0.Professional.incl.KeyGen-PARADOX\Adobe Acrobat 7 Pro2\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)

E:\SYS\Compartido\comp_calidad\Calidad\LeyFed_010605.exe --> Eliminado, ServU-Daemon v4 (Dropper)

E:\SYS\Compartido\comp_sistemas\adobe acrobat 7.0 pro\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)

E:\SYS\Compartido\comp_sistemas\mechanical\vve\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

E:\SYS\Ingenieria\adobe acrobat 7.0 pro\AUTORUN.INF --> Eliminado, BackDoor.CMQ (inf)







[b][color=darkblue]NOTA

: SIGUE APARECIENDOME INFECTADOS DENTRO DE MI CARPETA COMPARTIDA LOS ARCHIVOS AUTORUN.BAT Y AUTORUN.INFO con el SCRIPTLAUNCHER.A y el HOST.ESE con el DROOPER.UN[/color][/b]

[lucl]

sigue las indicaciones que te dio msc, con el archivo en cuestion, saludos




[quote="msc hotline sat"]SI no lo resuelve con lo indicado por flacoroo, envienos muestra del fichero donde le detecta el troyano segun indicamos:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tras analizarlo lo controlaremos e implementaremos su eliminacion en nuestrras utilidades, de lo cual informaremos



saludos



ms, 16-03-2007[/quote]

[msc hotline sat]

Pues a no ser que los ficheros eliminados por el ELISTARA fueran los que tenia que enviar, proceda al envio y a su recepcion los analizaremos e informaremos



saludos



ms, 21-03-2007

[ROMEOUPN]

[color=darkblue][b]Los archivos que me parecen como infectados la los envié a la direccion de correo que amablemnete me dieron.



Esos aparecen como infectados en el analisis antivirus y son eliminados pero se generan automaticamente de nuevo.





Provocan que a la hora de abrir la carpeta compartida (que es donde se encuentan( en forma de unidad virtual, en las otras maquinas aparezca el cuadro de dialogo de abrir con, creo que es por el contenido del archivo .inf.





Agradecería la ayuda que me puedan brindar.[/b][/color]

[msc hotline sat]

Dentro del AUTORUN.BAT figura la carga del AUTORUN.VBS , suponemos que será la madre del cordero, envienoslo y lo analizaremos



saludos



ms, 22-03-2007

[ROMEOUPN]

[b][color=darkblue]EL ARTCHIVO QUE ME INDICAS LO ENCUENTRO, LE DOY COPIAR Y A LA HORA DE PEGAR EL WINDOWS ME INDICA QUE YA NO ESTÁ EN LA UBICACION ESPECIFICADA.[/color][/b]

[msc hotline sat]

Piensa que lo mas normal es que esté oculto, con atributos de sistema y demás...



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 27-03-2007

[ROMEOUPN]

[color=darkblue][b]Desde que comenzaron a aparecer los problemas tengo desmarcadas las opciones de"Ocultar extensiones de archivo para tipos de archivo conocidos" y la de Ocultar archivos protegidos del sistema operativo" . y tengo activa la de "Mostrar archivos y carpetas ocultos". y así me presenta el problema que les indiqué en mi comentario anterior.[/b][/color]

[msc hotline sat]

Pues o tienes algun Rootkit que los oculta o se han eliminado ya...



No se han recibido las muestras indicadas con la referencia ROMEOUPN, mejor vuelvelas a enviar siguiendo las indicaciones:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 27-03-2007

[ROMEOUPN]

[color=darkblue][b]Las acabo de reenviar.[/b][/color]



aqui si va :roll:

[msc hotline sat]

Mañana lo analizaremos, la linea de recepcion de muestras y la de analisis de sospechosos ya están cerradas por hoy, pero mañana seguiremos... si Dios quiere



saludos



ms, 27-03-2007

[ROMEOUPN]

[color=darkblue][b]Hola, sólo para preguntarles si tuvieron tiempo para analizar los archivos que les envié. Sigo por aqui con mi problema.

[/b]

[/color]

[msc hotline sat]

El ultimo dia de trabajo antes de las minivacaciones de Semana Santa, el miercoles 4, nos fuimos habiendo procesado todo lo pendiente, y no consta que con su referencia hubiera entrado nada



Recuerde que ha de empaquetar sus ficheros en un ZIP o RAR con password VIRUS y enviarlo a zonavirus@satinfo.es, como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Vuelvalo a enviar pero fijese en la manera que indicamos de hacerlo, porque si no es asi no lo vamos a procesar ...



saludos



ms, 10-04-2007