Ayuda para identificar un virus (solucionado)

[oranginalab]

Hola a todos,



Necesito ayuda para identificar el maldito virus que tiene inutilizado mi servidor Windows 2003 Server desde hace ya un par de días.



Los síntomas son los siguientes:



- Tráfico inusual en la red afectando especialmente a los puestos 137,138 y 139. Este tráfico es tan grande que imposibilita la conexión hacia el exterior.



- Imposibilidad de ejecutar el Administrador de Tareas. (En cuanto se abre la ventana, se cierra otra vez).



He pasado muchas soluciones antivirus pero no detectan nada o bien dejan la máquina colgada.

La única forma que tengo para poder disponer de conexión es desconectar la máquina infectada de la red.



Necesito ayuda, no sé qué más probar !!



Gracias

[msc hotline sat]

No indica que es lo que ha probado, y debemos pedirle que lance un antivirus ONLINE y un antispuware, si no lo ha hecho:





Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



___________





Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



__________________________________________



Tras eliminar todos los bichos que detectara, vea de actualizar los parches de microsoft conectando con windowsupdate, y reinicie, y vea si ha mejorado.



En cualquier caso luego convendrá instalar un cortafuegos, aunque los que nosotros utilizamos son de hardware, y provisionalmente podrá instalar incluso uno de software, y los especialistas en ellos, de los que hay varios en este foro, ya le orientarán al respecto.



Es posible que simplemente se trate de un ataque remoto de intento de intrusion a través del LSASS. Por si acaso, baje el ELILSA.EXE y ejecutelo e indique bloquear el intento de intrusion, a ver si se interrumpe el "tráfico" que a lo mejor solo es de intento de acceso :



https://foros.zonavirus.com/viewtopic.php?t=737



Esperamos sus noticias como respuesta de este Tema



saludos



ms, 29-05-2004

[flacoroo]

Como todo sistema operativo...debe tener si antivirus actualizado...aqui en la empresa donde trabajo usamos para el windows 2003 server...es el McAfee Interprise v 7..ahora si tienes un antivirus...pon tu mauina a modo a prueba de fallos o modo seguro...y de esa manera solo se cargaran los programas mas básicos....y claro no se cargaran los virus que haz de tener...si no encontraras nada...aqui en esta web hay varios antivirus en linea...y otra tambien bajate el SPybot..te dejo un link lo actualias y lo corres en modo seguro.....ahi te dejo el link...



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp





nos dices como te fue....

[flacoroo]

hola amigo Msc ...no se puede quejar el forero dos respuestas casia l mismo tiempo...... :D

[msc hotline sat]

Hey. Flacoroo, veo que ya han tocado diana en Mexico !



Pues bienvenido, que el foro es cuestion de todos.



saludos



ms, 29-06-2004

[oranginalab]

Desde luego no me puedo quejar !!

Gracias por vuestra respuesta, rápida y a pares!!





Desgraciadamente no puedo utilizar antivirus online ni actualizar mi sistema mediante Windows Update porque a la que uno el equipo infectado a la red, me quedo sin conexión.

(Tengo instalado el SP-4 y el patch que salió en su día para solucionar la vulnerabilidad que aprovechaba el Sasser)



He probado los siguientes AVS y removal tools:



- NOD32: Es el antivirus que utilizo normalmente y no detecta nada de nada.

- NAI : Stinger : He pasado la herramienta de detección y desinfección de McAfee y tampoco ha identificado virus alguno.

- Panda : PqRemove : Idéntico resultado que en los casos anteriores.

- AntiVir: Se me queda colgado durante el escaneo.

- Avast Remove Tool : No ha encontrado nada.



Ahora mismo estoy pasando el SpyBot Search&Destroy 1.3 tal y como me habéis aconsejado. Espero que esta vez sí que encuentre algo.



Antes se me olvidó comentar que tampoco puedo ejectutar normalmente el regedit porque hace lo mismo que el Task Manager (se cierra nada más abrirse). Puedo ejecutarlo renombrándolo como regedit.com pero, la verdad, tampoco sé qué buscar, :-(



Gracias por vuestra ayuda.

[msc hotline sat]

Dado el comentario del Regedit, que no puede ejecutarlo como EXE, lance la utilidad ELIRESTR.VBS, reinicie y vea de utilizar el REGEDIT.EXE



*******************************************************************



ELIRESTR.VBS (ELIMINA RESTRICCIONES DE REGISTRO DE SISTEMA)



ESTA APLICACION RESTAURA LAS CLAVES DEL REGISTRO DEL SISTEMA MODIFICADAS PÒR MUCHOS VIRUS QUE INTERCEPTAN LA EJECUCION DE EJECUTABLES Y RESTRINGEN ACCESOS, INCLUYENDO EDICIKN DEL REGISTRO DE SISTEMA. AL SER VBS FACILITA LA EJECUCION AUNQUE ESTEN INTERCEPTADOS LOS EXE, ADEMAS DE NO UTILIZAR EL REGEdIT POR SI ESTUVIERA RESTRINGIDA SU EDICION.



http://www.zonavirus.com/descargas/EliRestr.vbs



*******************************************************************



A ver si se tratará simplemente de restricciones en el registro !.



Informenos de los resultados, gracias



saludos



ms, 29-06-2004

[oranginalab]

Hola de nuevo,



Ya terminé de pasar el SpyBot Search&Destroy pero lo único que localizó fueron varias cookies sospechosas.



Ante la imposibilidad de ejecutar el Administrador de Tareas, busqué en la red y encontré una herramienta que se llama Security Task Manager y con la que he conseguido solucionar mi problema.



Dicha herramienta lista los procesos ejecutándose en la máquina de forma similar a cómo lo hace el Administrador de Tareas y te indica el grado de peligro potencial que pueden suponer.

Al ejecutarlo en mi máquina apareció corriendo un proceso de nombre claramente aleatorio "DFGRDFHGW" o algo así, que además tenía una entrada en el registro para iniciarse al arrancar el sistema.



Al detener su ejecución cesaron todos los síntomas que os comenté anteriormente.



Por si os interesa echarle un vistazo al Security Task Manager, lo encontraréis en :



http://www.neuber.com/taskmanager



Un saludo y muchas gracias por vuestra colaboración

[msc hotline sat]

Lo que nos interesaría es echarle un vistazo al fichero que te ocasionaba este desaguisado, sin ser controlado por Spybot ni por antivirus.



Si lo guardaste a un disquete o a cuarentena antes de eliminarlo, envianoslo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este Tema, y lo analizaremos convenientemente para controlarlo y eliminarlo automaticamente.



Sobre la utilidad, es una de tantas comno el HIJACKTHIS que utilizamos habitualmente en el foro, y que nos sirve para ver lo que se carga en el inicio, gracias por indicarnosla, si bien cabe indicar que no es freeware, solo puede probarse en concepto de evaluacion durante 30 días, y debe instarse, no ejecutarse sin necesidad de instalarla como el HJT, si bien está mucho mas elaborada.



Si nos envias el gusano, ifreceremos como respuesta de este Tema el resultado del analisis y la utilidad de eliminacion, como siempre.



saludos



ms, 30-06-2004

[oranginalab]

Lo siento, pero una vez pasada la euforia inicial por haber solucionado el problema me he puesto manos a la obra y he realizado una limpieza a fondo del sistema.

He eliminado el código malicioso y desinstalado todas las herremientas que he utilizado para conseguir detectarlo.



Espero que no haya próxima vez pero si la hay no cometeré el mismo error y os remitiré el código para que lo analiceis.



Gracias por todo.

[msc hotline sat]

Pues no diga de esta agua no beberé...



Y lo principal es haber solucionado el problema, pero para el foro y para nosotros, además, es muy importante poder controlarlo, y sin la muestra no es posible.



Y habiendo quedado solucionado el asunto, se cierra el Tema