hackeos al servidor (TERMINADO)

aikogod · Mensaje por **aikogod** » 07 Jun 2006, 00:46

Hola buenas me presento soy el propietario del servidor Hellsing.

recientemente hemos sufrido varios ataques al servidor con los cuales 2 no se solucionaron .

el primero deBido q es un virus que por lo poco que se es un blaster/spy/trojan y q afecta a los exe. y al windows media y a las data base o q realmente no se q lo q es.

aparece con letras mayusculas en los procesos de windows con estos nombres ( o creo q son por q por mucho q termine el proceso a lo brusco vuelve a parecer):

SOUNDMAN.EXE (USUARIO)

DSLSTAT.EXE

DSLAGENT.EXE

WEBPROXY.EXE

no puedo Hacer un sIstema de restauracion por que no me deja, ningun antivirus de los q proBé (panda titaniun,Nod32,....) me los deteCta.

genera lag y lentituD , el unico q dio capado un poco fue el bitdefender pero genera un error dentro suya y ya no se q Hacer para limpiarlo y no podemos formAtear por miedo a la data base q es muy delicada.

y el otro problema es algun tipo de virus q lo q Hace es q la gente no pueda loguearse dentro del server. es decir q no puedan entrar , ven el estado del servidor de lineage pero no pueden pasar de aHI.

por Favor les suplico q me ayuden ya no se q Hacer contra todo esto si saben lo q puede ser por favor avisenme

muchas gracias a todos ^^

Mensaje por **msc hotline sat** » 07 Jun 2006, 06:56

Pues si los antivirus no de lo detectan, posteenos el log del HJT:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 7-6-2006

aikogod · Mensaje por **aikogod** » 07 Jun 2006, 13:14

aqui te dejo el log graciñas !!!!

Logfile of HijackThis v1.99.1

Scan saved at 13:11:02, on 07/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\MICROS~3\MSSQL$~2\binn\sqlservr.exe

C:\ARCHIV~1\MICROS~3\MSSQL$~1\binn\sqlservr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Jazztel\Adsl\dslstat.exe

C:\Program Files\Jazztel\Adsl\dslagent.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\Jazztel\Adsl\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Jazztel\Adsl\dslagent.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.2.76.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154827930968

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C8FE51D0-E665-4A24-98FC-DA360D84641E}: NameServer = 62.14.4.64 62.14.4.65

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~2\msgrapp.dll" (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Mensaje por **msc hotline sat** » 07 Jun 2006, 13:37

Tienes mal instalado el BitDefender, no se enciuentran los ficheros llamados en las claves correspondientes:

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender Professional Edition\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Desinstalalo e instalalo de nuevo !

saludos

ms, 7-6-2006

Nota: Por lo demas el log está limpio

Mensaje por **msc hotline sat** » 07 Jun 2006, 13:39

Para mejorar las prestaciones, prueba el ELITEMPO:

ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp

y si quieres rizar el rizo, elimina estas claves:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

saludos

ms, 7-6-2006

aikogod · Mensaje por **aikogod** » 07 Jun 2006, 16:08

a gracias, ^^

pero aun asi no he descubirto lo q atapone la entrada de los usuarios al servidor y sigo dectetando backdoor b.v :cry:

perdona por las molestias :(

Mensaje por **maura63** » 07 Jun 2006, 16:43

Como te ha indicado Msc, vuelve a reinstalar el antivirus, lo actualizas.

Desactiva la restauracion del sistema y arrancando en modo seguro lanza el bit defender.

En el mismo modo (seguro) pero con funciones de red, si dispones de adsl via router podras lanzar este antivirus online y limpiar.

[url=https://www.eset.es/analisis-online/]~~[b]~~Antivirus Online Computer Associates[/b][/url]

Saludos

maura63

aikogod · Mensaje por **aikogod** » 07 Jun 2006, 16:46

si pero por ejemplo llevo rato intentando instalarlo bien y me da errores por todas partes :s y prove a descargarmelo de distintos lugares pero en todos me dice lo mismo y me ocurre lo mismo

Mensaje por **maura63** » 07 Jun 2006, 16:49

Mira mi post anterior que lo he editado, se quedo una parte atras.

Saludos

maura63

aikogod · Mensaje por **aikogod** » 07 Jun 2006, 16:58

si pero llevo rato instalando el bit defender y siempre produce el error de windows me pueden aconsejar otro antivirus q pueda ser bueno para mi server :s

Mensaje por **maura63** » 07 Jun 2006, 17:10

Perdona, pero no me aclaro.

Aparte del bit defender, y dejalo de momento, pregunto :?:

Puedes ó no... pasar el antivirus online indicado del modo que te comento :?:

Y sobre el Bit defender, eliminalo desde el panel de control y luego volviendo a ejecutar el hijackthis, marcas las casillas que queden en referencia al antivirus , una vez marcada le das a FIX y acepta para eliminarlas y vuelve a intentar instalarlo.

No se si me explico :wink:

Saludos

maura63

Mensaje por **msc hotline sat** » 07 Jun 2006, 17:27

Está muy claro maura63, pero ante todo convendría ver si arrancando en modo seguro con funciones de red, detecta el backdoor que dice:

[quote]sigo dectetando backdoor b.v [/quote]

Pues si asi fuera sería cuestion de eliminarlo antes de instalar cualquier antivirus...

Informenos del resultado del testeo con el antivirus ONLINE arrancando en dicha forma (y mejor teniendo deshabilitada la restauracion de sistema, para poder eliminarlo si lo detectara):

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

saludos

ms, 7-6-2006

Mensaje por **maura63** » 07 Jun 2006, 17:30

Por eso mismo le comento antes de nada y pregunto...

[quote]Aparte del bit defender, y dejalo de momento, pregunto

Puedes ó no... pasar el antivirus online indicado del modo que te comento [/quote]

Por que no veo su respuesta a ello.

Saludos

maura63

Mensaje por **msc hotline sat** » 07 Jun 2006, 17:37

A título de informacion, http://www.vsantivirus.com/backdoor-vb.htm

saludos

ms, 7-6-2006

aikogod · Mensaje por **aikogod** » 07 Jun 2006, 22:31

sorry es q aHora estoy en el curro perdon alas 3 de la madrugada podre (horario español )

Mensaje por **msc hotline sat** » 08 Jun 2006, 05:48

Pues ni a las 3 ni a las 4 ni a las 5 ...

y claro que horario español, aunque tenga el dominio de la web en Tokelau, todas sus IP de entrada al foro son nacionales y del centro y noroeste para ser exactos...

Bueno, aqui estamos, ya nos contará ...

saludos

ms, 8-6-2006

nota: Sepa ademas que el dominio TK es muy mal visto por ser utilizado por los emisores de PHISHINGS y hackers varios, como el indicado en: https://foros.zonavirus.com/viewtopic.php?t=11019&highlight=tokelau y para phishing recuerdese el del falso Banco Popular : https://foros.zonavirus.com/viewtopic.php?p=47618#47618 ms.

aikogod · Mensaje por **aikogod** » 08 Jun 2006, 14:20

ya estoy pasando el antivirus online perdonar es q ayer estaba muerto y me fui para cama ,

oYe a q te referes con eso del tk ??? es yo no soy el informatico del server soy el propietario pero los informaticos uno esta desaprecido y otro a finales de examenes de ingenieria jejeje.

oYe una pregunta mientras paso el aintivirus que una persona pudiera HaBer redirijido la ip del server para q la gente no entrase ?? o blockear la entrada de alguna forma ??

Pd :: graciñas por todo y perdonar por todas las molestias q estoy dando

Mensaje por **msc hotline sat** » 08 Jun 2006, 15:07

Pues enterate bien de que tu web utiliza dominio .tk, y por supuesto yo no he entrado... y los que conocen las historias de Tokelau evitaran entrar, o es que no has mirado en los links que te indicaba al respecto de PHISHING y hackeos varios con dicho dominio ???

Te lo repito, enterate:

msc escribió:nota: Sepa ademas que el dominio TK es muy mal visto por ser utilizado por los emisores de PHISHINGS y hackers varios y para phishing recuérdese el del falso Banco Popular

Y mira el nombre de tu web y fijate en el dominio : .tk

SIN MAS COMENTARIOS

saludos

ms, 8-6-2006

aikogod · Mensaje por **aikogod** » 08 Jun 2006, 15:14

a okis no sabia eso perodona jejeje ^^

y sobre el antivirus acaba de terminar me dice q no tengo nada

eTrust Antivirus Web Scanner

Iniciar exploración

Detener exploración

Desinfectar archivos

Suprimir archivos

Dirección de correo electrónico de respuesta para el envío de archivos:

Ayuda del Explorador

Resultados de la exploración Exploración completada. 59928 archivos explorados. No se han encontrado virus.

Archivo Infección Estado Ruta

- No hay infecciones

Mensaje por **msc hotline sat** » 08 Jun 2006, 15:41

Pues finalizado el test y todo correcto, damos por terminado el Tema y cerramos

recuerda todo lo indicado y suerte

Me remito a mi última indicacion en los privados

saludos

ms, 8-6-2006