-
Drex
- Mensajes: 4
- Registrado: 11 Mar 2012, 22:51
Mensaje
por Drex » 11 Mar 2012, 23:03
Buenas noches a todos,
tengo un problemon muy grave. Tengo un portal de snowboard que es http://www.snowornever.es, y desde hace unos días si buscas cualquier palabra en google o bing, y te sale un link del portal, al pulsar me bloquea la entrada el antivirus Kasperky y no me deja entrar. Me dice que hay un troyano. Pasa con otros antivirus y tengo unas perdidas del 40% de visitas diarias.
Me he puesto en contacto con el proveedor del servidor y me dicen que ellos no ven el problema. Me dijeron que si me bajaba los archivos, les pasaba el antivirus y les subia tra vez se solucionaria. Y ni con esas
¿QUÉ PUEDO HACER? Nadie me da una solución!!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 12 Mar 2012, 07:01
Pues pruebe el ELISTARA y nos postea el informe resultante:
[quote="para DESCARGAR el ELISTARA, msc"]
http://www.zonavirus.com/descargas/descargar-elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el
resultado
del proceso [/quote]
Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder
con el SPROCES :
[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)
http://www.zonavirus.com/descargas/descargar-sproces.asp
Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.
saludos
ms, 12-3-2012
RSPJAZ
PD.- y diganos el nombre del troyano que le detecta el AV, ello puede ayudar. ms.
-
Drex
- Mensajes: 4
- Registrado: 11 Mar 2012, 22:51
Mensaje
por Drex » 12 Mar 2012, 19:17
Muchas gracias msc hotline sat pero el ELISTARA se me queda bloqueado cunado está Eliminacion Contenido %WinTEMP%.
Me salen estos avisos en la web:
No se puede proporcionar la URL solicitada
El objeto solicitado en la URL:
http://www.snowornever.es/estaciones
Amenaza detectada:
el objeto infectado HEUR:Trojan.Script.Generic
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 12 Mar 2012, 19:30
Tiene su antivirus residente y está interceptando el proceso del ELISTARA.
Debe arrancar en MODO SEGURO y probarlo SIN EL ANTIVIRUS RESIDENTE
Tras ello, posteenos el informe que generará en C:\infosat.txt, gracias
saludos
ms, 12-3-2012
NOTA: Y antes, elimine temporales (del IE y de windows) ms.
-
Drex
- Mensajes: 4
- Registrado: 11 Mar 2012, 22:51
Mensaje
por Drex » 12 Mar 2012, 20:26
Esto es lo que me indica infosat.txt:
(12-3-2012 18:37:37 (GMT))
EliStartPage v25.06 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Marzo del 2012)
--------------------------------------------------
Usuario: Jorge
ID de Usuario: S-1-5-21-2646295582-3959609425-3133777589-1005
Lista de Acciones (por Acción Directa):
Detectado HOSTS no Standar.
Restaurado HOSTS por el Original.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(12-3-2012 18:37:49 (GMT))
EliStartPage v25.06 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Marzo del 2012)
--------------------------------------------------
Usuario: Administrator
ID de Usuario: S-1-5-21-2646295582-3959609425-3133777589-500
Lista de Acciones (por Acción Directa):
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(12-3-2012 19:16:06 (GMT))
EliStartPage v25.06 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 9 de Marzo del 2012)
--------------------------------------------------
Usuario: Administrator
ID de Usuario: S-1-5-21-2646295582-3959609425-3133777589-500
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP635\A0234922.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP635\A0234950.EXE --> Eliminado, SpyRealtek
Nº Total de Directorios: 16395
Nº Total de Ficheros: 173437
Nº de Ficheros Analizados: 57197
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3
[b]¿QUÉ HAGO?[/b]
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 13 Mar 2012, 07:13
Pues puede ser un falso positivo del antivirus Kaspersky, ya que es una detección heuristica: el objeto infectado HEUR:Trojan.Script.Generic, y si es asi, los que lo usen pueden tener problemas.
No nos dice en el fichero donde detecta dicho troyano, mire si se lo indica y envienos el fichero en cuestion para analizar.
Para ello recordar[/b]:
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 13-3-2012
-
Drex
- Mensajes: 4
- Registrado: 11 Mar 2012, 22:51
Mensaje
por Drex » 16 Mar 2012, 00:24
Problema solucionado!! Era un virus que se encontraba en la carpeta https del servidor y que no podia detectarse! Gracias por la ayuda!!
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 16 Mar 2012, 11:01
Pues gracias por decirnoslo, z si tiene una muestra, envienosla para analiyar z controlar.
En cualquier caso, damos el Tema por solucionado z procedemos a cerrarlo
saludOS
ms,16.3.2012
msc hotline sat Virus Research Engineer