• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Virus Server 2003 (patched.GP)

    Buenos dias, tengo un problema muy grabe. En uno de los servidores que hay en el departamento de sistemas se infecto por un virus que lamentablemente no sabemos como paso. Ahora en estos momentos tengo ...

    1. #1
      Usuario Avatar de -nightwolf-
      Registrado
      dic 2005
      Ubicación
      argentina
      Mensajes
      5

      Virus Server 2003 (patched.GP)

      Buenos dias, tengo un problema muy grabe. En uno de los servidores que hay en el departamento de sistemas se infecto por un virus que lamentablemente no sabemos como paso. Ahora en estos momentos tengo varios inconvenientes como los siguientes
      • Deshabilitado el Administrador de Tareas
      • Deshabilitado el Regedit
      • Aparece en cuadro que en 60 segundos se cierra
      • El antivirus no se inicia
      • Algunos programas corren mal
      • Algunos programas no me deja instalar
      • El administrador como que perdio ciertos privilegios
      • El update no descarga nada

      Con respecto al cuadro de 60 segundos se cierra lo soluciono entrando rapido y ejecutando shutdown -a, paso a continuacion el registro del HiJackThis:

      Logfile of Trend Micro HijackThis v2.0.4
      Scan saved at 10:48:47, on 20/03/2014
      Platform: Windows 2003 SP2 (WinNT 5.02.3790)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\IBM\ServeRAID Manager\aqagent.exe
      E:\SOFTWARE\Arballon\Server\server.exe
      E:\SOFTWARE\Arballon\Server\server~1.exe
      E:\SOFTWARE\MSS\atrls40\atrls.exe
      E:\SOFTWARE\Arballon\Server\Server.exe
      C:\WINDOWS\system32\Dfssvc.exe
      C:\WINDOWS\System32\dns.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\HP\HPLaserJetService\HPLaserJetService.exe
      C:\WINDOWS\system32\HPSIsvc.exe
      C:\WINDOWS\system32\IBMIASRW.EXE
      C:\WINDOWS\system32\inetsrv\inetinfo.exe
      C:\WINDOWS\System32\ismserv.exe
      C:\Archivos de programa\Java\jre7\bin\jqs.exe
      E:\SOFTWARE\Powerware\LanSafe\Bin\PowerMonitor.exe
      C:\Archivos de programa\IBM\ServeRAID Manager\miniwinagent.exe
      E:\SOFTWARE\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\msftesql.exe
      E:\SOFTWARE\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
      E:\SOFTWARE\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\ntfrs.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\tcpsvcs.exe
      C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlbrowser.exe
      C:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\SysAid\IliAS.exe
      C:\WINDOWS\System32\vssvc.exe
      E:\SOFTWARE\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
      C:\WINDOWS\System32\svchost.exe
      E:\SOFTWARE\Powerware\LanSafe\bin\xyntservice.exe
      E:\SOFTWARE\Powerware\LanSafe\bin\httpserver.exe
      E:\SOFTWARE\Powerware\LanSafe\bin\status_glance.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      E:\SOFTWARE\Tibbo\Tibbo Device Server Toolkit\vspmon.exe
      C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
      C:\Archivos de programa\McAfee\Common Framework\udaterui.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\McAfee\Common Framework\McTray.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\ctfmon.exe
      E:\SOFTWARE\Tibbo\Tibbo Device Server Toolkit\vspmon.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\rdpclip.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\Explorer.EXE
      E:\SOFTWARE\Tibbo\Tibbo Device Server Toolkit\vspmon.exe
      C:\WINDOWS\System32\logon.scr
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\mmc.exe
      C:\WINDOWS\system32\scrnsave.scr
      F:\FILESERVER\Instaladores\Anti-Spyware\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O1 - Hosts: 172.16.3.6 avex.local
      O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre7\bin\ssv.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre7\bin\jp2ssv.dll
      O4 - HKLM\..\Run: [Windows Defender] "E:\software\Windows Defender\MSASCui.exe" -hide
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [TIBBO VSP Monitor] E:\SOFTWARE\Tibbo\Tibbo Device Server Toolkit\vspmon.exe
      O4 - HKLM\..\Run: [HPUsageTrackingLEDM] "C:\Archivos de programa\HP\HP UT LEDM\bin\hppusg.exe" "C:\Archivos de programa\HP\HP UT LEDM\"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
      O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
      O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
      O4 - HKUS\S-1-5-21-2540502433-824512320-3394226809-1129\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
      O4 - HKUS\S-1-5-21-2540502433-824512320-3394226809-1159\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
      O4 - HKUS\S-1-5-21-2540502433-824512320-3394226809-1453\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
      O4 - HKUS\S-1-5-21-2540502433-824512320-3394226809-1642\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
      O4 - HKUS\S-1-5-21-2540502433-824512320-3394226809-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
      O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
      O4 - Global Startup: Intelektron SVC Monitor.lnk = C:\Archivos de programa\Archivos comunes\Intelektron\ServComSVCM.exe
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O14 - IERESET.INF: START_PAGE_URL=http://fs0001
      O15 - ESC Trusted Zone: http://runonce.msn.com
      O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
      O16 - DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} (RtspVaPgCtrlNew Class) - http://172.16.3.31/RtspVaPgDec.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1373631453031
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1340827603597
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AVEX.local
      O17 - HKLM\Software\..\Telephony: DomainName = AVEX.local
      O17 - HKLM\System\CCS\Services\Tcpip\..\{60EA5616-EF06-4211-9BBB-6691F4983C4D}: NameServer = 172.16.3.6,172.16.1.5
      O17 - HKLM\System\CCS\Services\Tcpip\..\{9308A1DB-15CF-4E60-A241-6026312D6A91}: Domain = FS0002
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AVEX.local
      O17 - HKLM\System\CS1\Services\Tcpip\..\{60EA5616-EF06-4211-9BBB-6691F4983C4D}: NameServer = 172.16.3.6,172.16.1.5
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = AVEX.local
      O17 - HKLM\System\CS2\Services\Tcpip\..\{60EA5616-EF06-4211-9BBB-6691F4983C4D}: NameServer = 172.16.3.6,172.16.1.5
      O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = AVEX.local
      O17 - HKLM\System\CS3\Services\Tcpip\..\{60EA5616-EF06-4211-9BBB-6691F4983C4D}: NameServer = 172.16.3.6,172.16.1.5
      O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      O23 - Service: Application Quiesce Agent (aqagent) - Adaptec - C:\Archivos de programa\IBM\ServeRAID Manager\aqagent.exe
      O23 - Service: Arballon Server - Unknown owner - E:\SOFTWARE\Arballon\Server\XYNTService1.exe
      O23 - Service: Arballon Server Login - Unknown owner - E:\SOFTWARE\Arballon\Server\XYNTService.exe
      O23 - Service: Ataman TCP Remote Logon Services - Unknown owner - E:\SOFTWARE\MSS\atrls40\atrls.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: CSWMS.Server.Test - Unknown owner - E:\SOFTWARE\MSS\SERVER\CSWMS.Server.Test.exe
      O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Servidor DNS (DNS) - Unknown owner - C:\WINDOWS\System32\dns.exe
      O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: HermesAC - Slightly Tilted Software - E:\SOFTWARE\MSS\HermesAc\HermesAC.exe
      O23 - Service: HP LaserJet Service - HP - C:\Archivos de programa\HP\HPLaserJetService\HPLaserJetService.exe
      O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe
      O23 - Service: SSL de HTTP (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe
      O23 - Service: IBM Automatic Server Restart Service for IPMI (ibms6asr) - IBM Corporation - C:\WINDOWS\system32\IBMIASRW.EXE
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Archivos de programa\Java\jre7\bin\jqs.exe
      O23 - Service: Centro de distribución de claves Kerberos (kdc) - Unknown owner - C:\WINDOWS\System32\lsass.exe
      O23 - Service: LanSafe Power Monitor (LanSafe PM) - Powerware - E:\SOFTWARE\Powerware\LanSafe\Bin\PowerMonitor.exe
      O23 - Service: LanSafe Process Manager - Powerware - E:\SOFTWARE\Powerware\LanSafe\bin\xyntservice.exe
      O23 - Service: ServeRAID FlashCopy Agent (miniwinagent) - Unknown owner - C:\Archivos de programa\IBM\ServeRAID Manager\miniwinagent.exe
      O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe
      O23 - Service: Servicio de replicación de archivos (NtFrs) - Unknown owner - C:\WINDOWS\system32\ntfrs.exe
      O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe
      O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe
      O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe
      O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\WINDOWS\system32\RSoPProv.exe
      O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe
      O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: ServeRAID Manager Agent (ServeRAIDManagerAgent) - IBM Corporation - C:\Archivos de programa\IBM\ServeRAID Manager\RaidServ.exe
      O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe
      O23 - Service: SysAid Agent (SysAidAgent) - SysAid Ltd - C:\Archivos de programa\SysAid\\IliAS.exe
      O23 - Service: SysAidRCC Remote - SysAid Technology ltd. - C:\Archivos de programa\SysAid\SysAidRCC.exe
      O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: Apache Tomcat 6 (Tomcat6) - Apache Software Foundation - E:\Archivos de programa\Apache Software Foundation\Tomcat 6.0\bin\tomcat6.exe
      O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe
      O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
      O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

      --
      End of file - 12654 bytes

      Este problema pasa como dije en uno de los servidores, en otro se crean a cada rato en una carpeta en particular archivos constantemente (ej: autorun.inf, qwerfqd.exe, djkfbd.exe, asdbhk.cmd, etc)

      Desde ya muchas gracias

    2. #2
      Usuario Avatar de -nightwolf-
      Registrado
      dic 2005
      Ubicación
      argentina
      Mensajes
      5

      Re: Virus Server 2003 (patched.GP)

      Me falto indicar que otro problemas que tuvimos tambien es que nos afecto al userinit.exe de lo cual al loguearnos se cerraba la sesion automaticamente, esto descubrimos que en el registro la direccion estaba mal redireccionada asi que la modificamos a (C:\windows\system32\userinit.exe,) alli pudimos nuevamente loguearnos hace mas de 1 dia que estamos con estos inconvenientes.