Ver Tema - [CERRADO] (03471974) Virus que modifica archivos de word en .xcod.scr

[PedroRaez Perfil]

Cada vez que analizo todo el PC (particiones C y D) encuentra y corrige multitud de fallos y detecta muchos más archivos que pone como "no neutralizados".

Siguen existiendo muchos archivos acabados en .exe que antes eran archivos de word y han terminado con esa extensión ya no se si por el propio virus o el antivirus.

De todos los archivos que pone como no neutralizados hemos ido eliminando los que parecían irrecuperables por si propagaban la infección.

El problema es que si compartimos de nuevo carpetas que tienen los archivos reparados nos parece que se volviesen a infectar. Aun así esta tarde volveré a pasar el escaneado completo y después probaré a compartir una de las carpetas del servidor para ver si se modifican.

Un saludo.

[PandaSupport1]

El problema es que si compartimos de nuevo carpetas que tienen los archivos reparados nos parece que se volviesen a infectar. Aun así esta tarde volveré a pasar el escaneado completo y después probaré a compartir una de las carpetas del servidor para ver si se modifican.

Un saludo.

Ok, quedamos a la espera...

[PedroRaez Perfil]

Buenos días,

El análisis acabó esta noche.

Tras hacer el análisis completo estos son los resultados:
- Escaneados 363667
- Neutralizados 216
- No neutralizados 1654

p4.png

p6.png

Desde la web no consigo que me salga un informe en el que se vean estas detecciones.

Un saludo.

[PedroRaez Perfil]

Por añadir un poco más de información al intentar eliminar los archivos marcados como "no neutralizados" me dice que están en uso y no puedo hacerlos.

Según he visto creo que los bloquea el proceso PSANHost.exe.

También hemos notado que al entrar en las carpetas del servidor aparecen archivos .doc nuevos. Como si el antivirus acabase de repararlos. Y eso lo ha hecho ahora mismo mientras veía las carpetas con virus que supuestamente ya estaban escaneadas.

No se si probar a compartir ya alguna de las carpetas para ver si de verdad se ha ido este molesto virus del todo.

Un saludo.

[PandaSupport1]

Por añadir un poco más de información al intentar eliminar los archivos marcados como "no neutralizados" me dice que están en uso y no puedo hacerlos.

Según he visto creo que los bloquea el proceso PSANHost.exe.

También hemos notado que al entrar en las carpetas del servidor aparecen archivos .doc nuevos. Como si el antivirus acabase de repararlos. Y eso lo ha hecho ahora mismo mientras veía las carpetas con virus que supuestamente ya estaban escaneadas.

No se si probar a compartir ya alguna de las carpetas para ver si de verdad se ha ido este molesto virus del todo.

Un saludo.

Que acción realiza el antivirus sobre "los no neutralizados"?? Informar???
Podrías adjuntarme alguno de estos ficheros ?

[PedroRaez Perfil]

Adjunto el .rar con los archivos infectados.

La contraseña te la envío por privado.

Un saludo.

[PedroRaez Perfil]

Este fin de semana tras las pruebas hechas en el equipo y ver que no se borraban más de 1000 archivos (aunque sí se creaba un .doc reparado con el mismo nombre) procedimos al borrado manual.

Tras hacer todo el proceso usamos una herramienta de renombrado para eliminar todos los xcod y scr de los nombres de los archivos.

Pasando el antivirus al ordenador entero solo encontró virus en la carpeta del propio antivirus y los neutralizó.

Hoy se volvió a meter el ordenador en la red de la oficina y ya ha vuelto a operar el virus. ¿cómo entra ese virus al equipo?

Ninguno de los demás equipos han registrado los mismos problemas. ¿se sabe como capar a este virus para que no vuelva a atacarnos? porque la situación ya es un poco desesperada tras varias semanas de lucha.

Un saludo.

[PandaSupport1]

Hola Pedro,

Necesitaríamos un nuevo control remoto a tu maquina paa ver que está pasando.
Por cierto, las otras maquinas de la red, que protección tienen instalada?

[CJ166 Perfil]

Aqui hay informacion al respecto por parte de Microsoft http://www.microsoft.com/security/porta ... FQuervar.A no se si Panda ya en la base de inteligencia colectiva lo tenga 100% identificado, por lo que he leido varias empresas lo han sufrido de manera alarmante con los mismo sintomas apenas comparte una carpeta el virus se ejecuta.

[VirusBuster]

TEMA CERRADO por falta de respuesta del cliente