Virus en Windows Server 2003

[aleddh]

Saludos



Por favor necesito ayuda con un virus que tengo en un servidor con sistema operativo Windows Server 2003, tengo karpesky instalado y actualizado pero no lo decteta, el problema es que el virus o lo que sea no me deja ver la PC por inicio/ejecutar y es necesario para el trabajo que se realiza.



Cuando se reinicia el servidor se puede acceder pero pasado unos minutos deja de funcionar y saca el siguiente error de windows ``Generic Host Process for WIN32 Services encountered a problem a need to closed´´.



El Karpesky me ha a dado el siguiente mensaje pero no en el Servidor, sino en otras PC.

``Intrusion.Win.NETAPI.buffer-overflow.exploit....´´



Me he encontrado varias guias de como resolver el problema pero ninguna dice para windows 2003 server y no quisiera que pasara algo y perdiera el servidor por completo.



Estaria muy agradecido y podria dormir en paz si alguien me pudiera facilitar su ayuda para poder resolver este problema.

Atte.

Alejandro

[msc hotline sat]

Parece un intento de intrusion por desbordamiento de buffer...



Si los antivirus aun no lo detectan, puede ser de nueva creación, y en cualquier caso lo mejor sería retroceder a un punto de restauracion anterior al problema, evidentemnente lo mas proximo posible, para no perder instalaciones hechas desde la fecha.



No sé si ya le ha entrado, pero sino le recuerdo la conveniencia de instalar un buen ocrtafuegos por hardware para evitar los ataques externos, ya que para los agujeros no conocidos, no hay parches...



Diganos si dispone de punto de restauracion al respecto, gracias



saludos



ms, 4-2-2009





NOTA POSTERIOR: ADMIN ME INFORMA QUE HASTA EL 2008 EN WINDOWS SERVER NO HAY PUNTOS DE RESTAURACION, ASI QUE LA PRIMERA PARTE DE ESTE POST QUEDA ANULADA. ms.

[aleddh]

Muchas gracias por responder



La verdad que no cuento con punto de restauracion.



Pero creo que si existe el parshe lo vi en esta pagina, una persona explico el mismo problema

http://forum.kaspersky.com/index.php?showtopic=95149

y le dieron unas paginas sin mas respuestas y en una de ellas aparacian una serias de parches para los diferentes windows yo descargue el de mi sistema operativo y lo puse pero creo que si ya el virus esta dentro no se quita solo que no lo dejaria entrar de nuevo.

Aqui las paginas:

Parches

http://www.microsoft.com/en/us/default.aspxtechnet/security/Bulletin/MS08-067.mspx

Foro karpesky (pero en ingles)

http://www.microsoft.com/en/us/default.aspxtechnet/security/Bulletin/MS08-067.mspx



Si puedes ayudarme y nesecitas mas informacion dime de que forma la obtengo y te la mando.



Muy agradecido de tu respuesta

Alejandro

[msc hotline sat]

Lo que le indican en los links posteados es una intrusion por el port TCP445 por falta del parche MS08-067, mientras lo que nos indicaba Vd era un desbordamiento de buffer. Ademas, el CONFICKER supomgo que la hubiera detectado el Kaspersky que tiene instaladi. Aparte de entrada le habria desactivado el antivirus lo cual no nos ha dicho...



Ademas, se supone que tenia los parches actualizados, o no ???



En cualquier caso, ya que sospecha al respecto, siga lo indicado en:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



saludos



ms, 4-2-2009

[aleddh]

Gracias



Disculpame por no darte toda la imformacion



Cuando me di cuanta del problema no tenia instalado karpesky solo norton y ni siquiera bien actualizado (un fallo muy grande mio) luego me decidi a instalar karpesky pero ya era muy tarde.



Y la verdad no tenia los parches actualizados :(



Muchas gracias nuevamente



y leere detenidamente lo que me mandastes.



cualquier duda que tenga te escribo.



Alejandro

[msc hotline sat]

Pues el antivirus era lo de menos, sin el parche MS08-067 entra el karspersky por RPC, a traves del agujero de seguridad, Sin el parche solo un cortafuegos lo hubiera parado.



Sí, posiblemente seas una victima mas del Conficker...



Recuerda que no debes conectar maquinas infectadas con limpias, pues "una manzana podrida pudre todo el cesto" . Este virus, una vez ha entrado se propaga por comparticiones administrativas, otra historia de windows. Porque supongo que la contraseña no será muy fuerte, verdad ??? Interesa una con letras MAYUSCULAS y minusculas y numeros, revuelto, para que sea mas dificil encontrarla



Ademas, recuerda que tambien infecta y se propaga por pendrives... en fin, todo un regalito !



Ya nos contarás...



saludos



ms, 4-2-2009







NOTA: y lo que pedia en mi primer post de este TEMA sobre punto de restauracion, ADMIN me ha indicado en privado que los 2003 no tienen el aplicativo para RESTAURAR A UN PUNTO ANTERIOR,,, (Solo en WINDOWS SERVER 2008) Y ÉL ES UN ENTENDIDO EN SERVIDORES !!! Asi que olvidemos lo de dichos puntos en 2003 :oops:

[aleddh]

Amigo mio muchas gracias por toda tu ayuda.



Al parecer resolvi el problema aunque sinceramente solo Dios sabe si es asi.

Buscando encontre un probrama ``[url=http://www.zonavirus.com/descargas/spybot-sd.asp]SPYBOT[/url]´´ <interceptado> : http://www.zonavirus.com/descargas/spybot-sd.asp

Este te da la opcion de inmunizar el sistema y otra opcion de Search & Destroy luego de pasar la primera opcion realize la segunda y luego reinicie el server, parece que funciono, aunque no me dijo nada de haber encontrado algo sospechoso, hasta ahora todo a salido bien y el server esta trabajando sin problemas.



De lo que me dijistes sobre la manzana podrida sinceramente no todas pero unas cuantas se que lo estan, estas manzanas se resulven facil formateando tomando las medidas necesarias para que no vuelva a cojerlo y listo. La contraseña que tengo puesta si le hacen una prueba de fortaleza sale sobre saliente es bastante fuerte.



Bueno hasta aqui mi trabajo sobre lo que hice no se si estaran conforme con lo expuesto, pero en realidad fue asi.

No te doy mi msn por que donde estoy en Cuba en la Cujae ya no se puede chatear esta prohibido y bla bla bla de mas hablar jaja. Pero muy agradecido por todo y GRACIAS por tener un citio donde las personas pueden resolver estos problemas.



Sin mas

Alejandro

[lucl]

[quote="aleddh"]No te doy mi msn por que donde estoy en Cuba en la Cujae ya no se puede chatear esta prohibido y bla bla bla de mas hablar jaja. Pero muy agradecido por todo y GRACIAS por tener un citio donde las personas pueden resolver estos problemas.



Sin mas

Alejandro[/quote]



Madre mia!!! no sabia yo que estaba la cosa asi. Bueno ante todo decirte que ademas de inmunizar pases el spybot que te hara limpieza seguro y nos comentas el resultado ok? Saludos

[aleddh]

Saludos lucl

Ya lo pase o eso creo es lo que se llama Search & Destroy me parece a mi, pues resultados me dijo que el server estaba ok, por eso dije que, no a de haber encontrado algo sospechoso, puede ser que sepas otra forma de pasarlo otra funcion que pase por alto te agradeceria que que me ayudaras es que la verdad ni el tutorial me lei por que estaba en ingles. :shock:



Muchas Gracias



Alejandro



Y la cosa... la cosa esta de Odinga, como dice Alexis Valdes :roll:

[msc hotline sat]

Pues a ver si miras mejor en nuestro foro, no necesitamos ir a buscar en otros lo que tenemos en el nuestro, ¡y menos postear links a ellos! :



http://www.zonavirus.com/descargas/spybot-sd.asp



saludos



ms, 5-2-2009

[eddieverto]

hola, a mi me pasa lo mismo en mi trabajo.

tengo un Server 2003 con kasperky y las espaciones de trabajo con windows xp con kaspersky y otras con windows 2000 con norton, las cuales las estoy cambiando por xp.



Em problema es que en el servidor me aparece este mensaje ``Intrusion.Win.NETAPI.buffer-overflow.exploit....´´ y la ip de los eqiuipos con 2000 que aparentemente estan infectados y bloquea la IP y no los deja ingresar. ese tema me da lo mismo pq los voi a cambiar a XP.



El pero. es que haciendo unas pruebas de conexion en el servidor desactive el antivirus por una hora aprox. y se infecto tambien, y me di cuenta que el mensaje ``Intrusion.Win.NETAPI.buffer-overflow.exploit....´´aparecia en los PC con XP con la IP del servidor y lo bloquea, reinicie el antivirus lo escanie y encontro un virus, el cual elimino, hasta hay todo bien. pero hoy tuve que desactivar nuevamente el antivirus por un par de segundo y volvio a pasar lo mismo y no se si esta infectado o no.



En todo caso volvi a activar el Kasparsky y todo bien. pero tengo la duda, hay alguna herramienta que saque ese virus de los equipos.



Salu2

Gracias

[msc hotline sat]

Y tenias los parches de windows actualizados ???



Sino es posible que sea el conficker, del cual ya hemos hablado largo y tendido:



http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp



Pero posteanos log generado por el SPROCES y veremos si faltan parches...


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 6-2-2009