Tema: Spyware en mi servidor
Ver Mensaje Individual
  post #4 (permalink)  
Antiguo 22/11/07, 10:15:14
Avatar de <¡D3vIL!>
<¡D3vIL!> <¡D3vIL!> está offline
Warrior
  
Registrado: may 2006
Ubicación: <¡ChiL3!>
Mensajes: 6.811
Re: Spyware en mi servidor
Hola

Como el LOg de HJT muestra infecciones, lo vamos haber, pero recuerda que solamente puedes pegarlo cuando un Integrante del staff te lo solicite ok?
  • "Apaga Restaurar Sistema"
  • "Reinicia a prueba de fallos"
  • Ejecuta el HijackThis, cierra todos los navegadores, cheka estas y dale a fix
    • R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
    • O4 - HKLM\..\Run: [Windows Lsass Services] C:\WINDOWS\system\lsass.exe
    • O4 - HKLM\..\Run: [cdxmwtx] C:\WINDOWS\system32\cdxmwtx.exe
    • O4 - HKLM\..\Run: [agqpwcuxvev] C:\WINDOWS\system32\agqpwcuxvev.exe
    • O4 - HKLM\..\Run: [itihcnrotpl] C:\WINDOWS\system32\itihcnrotpl.exe
    • O4 - HKLM\..\Run: [o] C:\WINDOWS\system32\o.exe
    • O4 - HKLM\..\Run: [hbzsbe] C:\WINDOWS\system32\hbzsbe.exe
    • O23 - Service: Print Spooler Service (ipjbpzmuxv) - Unknown owner - C:\WINDOWS\system32\agqpwcuxvev.exe
  • Usa el Ccleaner para limpiar el sistema,primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
  • Reinicia el PC a "Modo normal"

Descarga The Avenger y lo guardas en el escritorio.
  • Dale doble click a avenger.exe del escritorio para ejecutarlo.
  • Debajo "Script file to execute" elige "Input Script Manually".
  • Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
  • Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrio.
Código:
Files to delete:
C:\WINDOWS\system\lsass.exe
C:\WINDOWS\system32\cdxmwtx.exe
C:\WINDOWS\system32\agqpwcuxvev.exe
C:\WINDOWS\system32\itihcnrotpl.exe
C:\WINDOWS\system32\o.exe
C:\WINDOWS\system32\hbzsbe.exe
  • Nota el código fue creado específicamente para este usuario. Si no eres usuario, NO sigas estas instrucciones, ya que podría dañar tú sistema!
  • Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
  • Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
  • El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.

Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí
  • Descarga la herramienta ComboFix.exe y guárdala en el escritorio de Win.
  • Hace doble-click en el archivo combofix.exe y sigue los avisos.
  • Cuando termine este generara un reporte que se situa en C:\ComboFix.txt pegar el informe en este mismo mensaje.
    • Nota* Puede que algunos Antivirus detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

PD// Debes ejecutar y pegar el reporte de HJT en Modo normal

Salu2
Recuerda volver
<¡D3ViL!>

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.