PROBLEMA CON ARCHIVOS HOTFIX.EXE - NO SE EJECUTAN (SOLUCIONADO)

[tsi]

Hola a todos, soy nuevo en el foro y estoy en busca de una solucion a un problema muy extraño.

Tengo dos servidores, uno con Windows 2000 Server y otro con Windows 2003 Server.

En los dos aparece el mismo sintoma.



ALGUN VIRUS O SPY NO ME PERMITE EJECUTAR ARCHIVOS CON EL NOMBRE HOTFIX.EXE



Necesito ejecutar unos archivos de actualizacion de un sistema contable, cuyo nombre es hotfix_1020.exe y hotfix_0635.exe. Cada vez que los ejecuto, aparece en pantalla el inicio del proceso, pero inmediatamente se cierra todo y el proceso termina.

En principio pense que los ejecutables estaban mal, pero luego probe renombrando el notepad.exe con el nombre hotfix.exe y pasa lo mismo. Tambien probe renombrando el msimn.exe y tambien ocurre lo mismo.

Los archivos originales son autoextraibles, al renombrarlos el proceso comienza, avanza un poco, pero al descomprimirse vuelven a aparecer los archivos con el nombre hotfix.exe y el proceso se corta instantaneamente.



Alguien tiene alguna idea de que se trata.

Ninguno de los servidores tiene antivirus, ni antispy.



Espero ansiosamente alguna respuesta.

Muchas gracias :)



TSI

[msc hotline sat]

Si dices [b][i]"Ninguno de los servidores tiene antivirus, ni antispy"[/i][/b], posiblemente tengas descuidado tambien la actualizacion de parches y demas... , y te puede haber infectado un virus como el conficker que impide el acceso a webs cuyo nombre contenga determinadas palabras y este u otro similar te impida ejecutar ficheros con dicho nombre.





> De entrada prueba el COMPROBADOR y dinos si visualizas los tres logos de la primera fila de imagenes:



DESCARGA COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp





> Y si los ves, podrás lanzar este AV ONLINE y tras ello postearnos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





> Si ya no ves las imagenes laterales con el COMPROBADOR, posteanos el contenido del c:\sproclog.txt generado por el SPROCES:




[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.







SALUDOS



MS, 1-5-2009

[tsi]

Antes que nada, no crean que soy tan inconsciente con los servidores y su proteccion. Pero estos dos en cuestion, solo operaban como server de datos en una LAN interna, nadie hacia uso de ellos, solo yo cuando habia que actualizar algun sistema, cosa que se hacia via CD con soft original. Sucede que cierto dia, el hijo adolescente de uno de los dueños :twisted: , sin permiso de nadie, utilizo uno de los servidores para navegar en la web y jugar online, ademas de chatear y no se que otras cosas. A partir de ahi, comenzo el gran problema. Primero el bicho en cuestion paso a las estaciones de trabajo, las cuales tiene KAV y pude controlarlo y limpiarlo finalmente. De los servidores crei que lo habia podido eliminar, hasta ahora que no pude ejecutar los famosos hotfix.exe.

Por eso recurri a ustedes que tiene mas experiencia y conocen herramientas muy utiles para estos casos.

Voy a ponerme a trabajar sobre estos equipos siguiendo las instrucciones que me dieron y les reportare los resultados.

Muchas gracias por el apoyo. :D

Saludos



TSI

[msc hotline sat]

Y nos ayudarás si nos dices el bicho que detectaste : [b][i]"Primero el bicho en cuestion paso a las estaciones de trabajo, las cuales tiene KAV y pude controlarlo y limpiarlo finalmente"[/i][/b]..., gracias



saludos



ms, 1-5-2009

[tsi]

Disculpen mi ausencia de informacion al respecto del problema, pero es que estuve muy atareado.

Les comento que ya quedo solucionado el problema de este bicho maldito!!!! :evil:

Finalmente el virus en cuestion era el llamado Net-Worm.Win32.Kido.ih

http://www.viruslist.com/en/search?VN=Net-Worm.Win32.Kido.ih&referer=kav



La forma en que lo saque del equipo fue la siguiente.

Retire los discos duros de los servidores y los conecte a una PC con el KAV actualizado y procedi al escaneo de todos los archivos de la unidad.

Finalmente encontro varios .dll y .tmp infectados por este gusanito. Los elimine desde el mismo KAV y luego elimine todo lo referente a archivos temporales de windows y de internet. Tambien los archivos de restauracion del sistema.

Luego borre las entradas en el registro del virus, tal cual lo indica la pagina de viruslist y asunto resuelto. :P



Ahora ya tengo instalado un KAV para server en cada uno de los servidores. :mrgreen:



Desde ya , muchas gracias por el apoyo y los datos que me dieron.

Saludos

TSI

[msc hotline sat]

Perfecto, pero Kido y Donawup son alias del Conficker, que si le entró no fue por falta del antivirus sino de parches de microsoft o de contraseñas duras o de vacuna contra propagacion de virus de pendrive



De nada le va a servir el antivirus que ha instalado si no arregla los puntos que seguro que alguno o todos tiene débiles:



1.- Actualice los parches de Microsoft con un Windows Update (sobre todo SP3 + MS08-067)



2.- Instale contraseñas duras en las comparticiones administrativas (compuestas de letras en mayusculas y minusculas y numeros)



3.- Vacune con el ELIPEN los ordenador y los pendrives y unidades USB, incluidos MP3.Mp4 y memorias SD de camaras electrónicas!



Y celebrando que lo haya solucionado, procedemos a cerrar el Tema



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 18-5-2009











NOTA:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso