Archivos .exe se comen el ancho de banda de la red (TERMINAD

[elmon]

Tengo un virus en el servidor que ocupa todo el ancho de banda de mi red y copia muchos archivos tipo aplicacion que miden 32 K en los directorios del servidor luego cuando monitoreo el servidor que da lento se cuelga por las multiples llamadas a estos archivos por todos los usuarios de la red congestionando la red hasta que se pierde la comunicacionel sistema operativo del servidor es Windows 2000 Server.Los antivirus no los detectan. Por favor necesito ayuda. Gracias

[lucl]

Pasate este online y peganos el log resultante, saludos





https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

[msc hotline sat]

Y si ni este lo dtecta, posteanos el contenido del SPROCLOG.TXT generado por el SPROCES:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar

saludos

ms, 25-06-2008

[elmon]

Gracias Luci , ya le pase el antivirus y este es el resultado, no encontro ningun virus, pero el equipo sigue enviando y recibiendo paquetes como loco hasta que colapsa y me indica que no tiene acceso al servidor en una hora envia mas de 10 millones de paquetes

este es el resultado del scan de kaspersky

miércoles, 25 de junio de 2008 16:01:18

Sistema operativo: Microsoft Windows 2000, Service Pack 4 (Build 2195)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 25/06/2008

Registros en la base antivirus: 786609

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

Estadísticas

Número de objeros analizados 69399

Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0

Duración del análisis 00:43:49



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\detected.idx Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\detected.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\report.rpt Object is locked saltado

C:\Documents and Settings\luismontero\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\luismontero\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\luismontero\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\luismontero\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\luismontero\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\luismontero\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\luismontero\ntuser.dat.LOG Object is locked saltado

C:\MSSQL7\Data\AsysDosaMssql_Data.MDF Object is locked saltado

C:\MSSQL7\Data\AsysDosaMssql_Log.LDF Object is locked saltado

C:\MSSQL7\Data\master.mdf Object is locked saltado

C:\MSSQL7\Data\mastlog.ldf Object is locked saltado

C:\MSSQL7\Data\model.mdf Object is locked saltado

C:\MSSQL7\Data\modellog.ldf Object is locked saltado

C:\MSSQL7\Data\msdbdata.mdf Object is locked saltado

C:\MSSQL7\Data\msdblog.ldf Object is locked saltado

C:\MSSQL7\Data\SAAEZMSSQL_Data.MDF Object is locked saltado

C:\MSSQL7\Data\SAAEZMSSQL_Log.LDF Object is locked saltado

C:\MSSQL7\Data\TEMPDB.MDF Object is locked saltado

C:\MSSQL7\Data\TEMPLOG.LDF Object is locked saltado

C:\MSSQL7\LOG\ERRORLOG Object is locked saltado

C:\MSSQL7\LOG\SQLAGENT.OUT Object is locked saltado

C:\WINNT\Debug\ipsecpa.log Object is locked saltado

C:\WINNT\Debug\Netlogon.log Object is locked saltado

C:\WINNT\Debug\NtFrs_0005.log Object is locked saltado

C:\WINNT\Debug\oakley.log Object is locked saltado

C:\WINNT\Debug\PASSWD.LOG Object is locked saltado

C:\WINNT\NETLOGON.CHG Object is locked saltado

C:\WINNT\NTDS\edb.log Object is locked saltado

C:\WINNT\NTDS\ntds.dit Object is locked saltado

C:\WINNT\NTDS\temp.edb Object is locked saltado

C:\WINNT\ntfrs\jet\log\edb.log Object is locked saltado

C:\WINNT\ntfrs\jet\ntfrs.jdb Object is locked saltado

C:\WINNT\ntfrs\jet\temp\tmp.edb Object is locked saltado

C:\WINNT\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.crmlog Object is locked saltado

C:\WINNT\SchedLgU.Txt Object is locked saltado

C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINNT\system32\config\AppEvent.Evt Object is locked saltado

C:\WINNT\system32\config\default Object is locked saltado

C:\WINNT\system32\config\default.LOG Object is locked saltado

C:\WINNT\system32\config\DnsEvent.Evt Object is locked saltado

C:\WINNT\system32\config\NTDS.Evt Object is locked saltado

C:\WINNT\system32\config\NtFrs.Evt Object is locked saltado

C:\WINNT\system32\config\SAM Object is locked saltado

C:\WINNT\system32\config\SAM.LOG Object is locked saltado

C:\WINNT\system32\config\SecEvent.Evt Object is locked saltado

C:\WINNT\system32\config\SECURITY Object is locked saltado

C:\WINNT\system32\config\SECURITY.LOG Object is locked saltado

C:\WINNT\system32\config\software Object is locked saltado

C:\WINNT\system32\config\software.LOG Object is locked saltado

C:\WINNT\system32\config\SysEvent.Evt Object is locked saltado

C:\WINNT\system32\config\system Object is locked saltado

C:\WINNT\system32\config\SYSTEM.ALT Object is locked saltado

C:\WINNT\system32\dns\dns.log Object is locked saltado

C:\WINNT\system32\drivers\fidbox.dat Object is locked saltado

C:\WINNT\system32\drivers\fidbox.idx Object is locked saltado

C:\WINNT\system32\drivers\fidbox2.dat Object is locked saltado

C:\WINNT\system32\drivers\fidbox2.idx Object is locked saltado

C:\WINNT\system32\DTCLog\MSDTC.LOG Object is locked saltado

C:\WINNT\system32\LogFiles\W3SVC1\ex080625.log Object is locked saltado

C:\WINNT\system32\Perflib_Perfdata_3b0.dat Object is locked saltado

C:\WINNT\system32\spool\PRINTERS\00226.SPL Object is locked saltado

C:\WINNT\WindowsUpdate.log Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConAfi01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConCco01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwCONCOSTOS01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConCue01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConDco01.TPS Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConDHc01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConEmp01.TPS Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConHaj01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConHco01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConHHc01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConHis01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConMoa01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConMon01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConMov01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConOrg01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConTaf01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConTas01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConTco01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConTmo01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConUbi01.tps Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConUep01.TPS Object is locked saltado

D:\Admon\AsysContab\Datos01\CwConUsu01.TPS Object is locked saltado

D:\Admon\AsysContab\Datos01\CwDcoTmp01.tps Object is locked saltado

D:\Admon\SisAdm\Datos\ANTICIPO.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\ANTICIPODP.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\Centros.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWCHECHE.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWCHERET.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWDETALL.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWIM.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWITEMS.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWIVA.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWORDER.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWPREEJC.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWPREEMP.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWPREHEJ.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWPREPAR.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWPROVEE.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWRETACU.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWTIPOCO.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\CWUNIDAD.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\FACTORDN.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\FACTURAS.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\LIBCOMPRAS.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\ORDINAL.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\TRANSAC.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\TRANSFERENCIAS.TPS Object is locked saltado

D:\Admon\SisAdm\Datos\USUARIOS.TPS Object is locked saltado

D:\DATOS\Aerofacmssql_Data.MDF Object is locked saltado

D:\DATOS\Aerofacmssql_Log.LDF Object is locked saltado

Análisis completado.



en lo que me puedas ayudar, gracias

[msc hotline sat]

Pues ya ves que Kaspersky no lo detecta:



Virus encontrados 0

Objetos infectados 0 / 0

Objetos sospechosos 0



Tal como te pedimos antes, posteanos contenido de C:\SPROCLOG.TXT y lo analizaremos



saludos



ms, 26-06-2008

[elmon]

De nuevo te doy las gracias por el interes prestado aqui esta el log:



Thu Jun 26 12:44:21 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows 2000 (v5.0.2195) Service Pack 4

Internet Explorer: (v5.00.3700.1000) ;SP4;Q823353;



Procesos Activos:

C:\WINNT\SYSTEM32\SMSS.EXE

C:\WINNT\SYSTEM32\WINLOGON.EXE

C:\WINNT\SYSTEM32\SERVICES.EXE

C:\WINNT\SYSTEM32\LSASS.EXE

C:\WINNT\SYSTEM32\TERMSRV.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS SERVERS\AVP.EXE

C:\WINNT\SYSTEM32\DFSSVC.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\LLSSRV.EXE

C:\MSSQL7\BINN\SQLSERVR.EXE

C:\WINNT\SYSTEM32\NTFRS.EXE

C:\WINNT\SYSTEM32\REGSVC.EXE

C:\WINNT\SYSTEM32\LOCATOR.EXE

C:\WINNT\SYSTEM32\MSTASK.EXE

C:\WINNT\SYSTEM32\WBEM\WINMGMT.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\DNS.EXE

C:\WINNT\SYSTEM32\INETSRV\INETINFO.EXE

C:\WINNT\SYSTEM32\ISMSERV.EXE

C:\WINNT\SYSTEM32\MSDTC.EXE

C:\MSSQL7\BINN\SQLAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS SERVERS\AVP.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\RSVP.EXE

C:\WINNT\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS SERVERS\AVP.EXE

C:\WINNT\SYSTEM32\INTERNAT.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE

C:\MSSQL7\BINN\SQLMANGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\DOCUMENTS AND SETTINGS\LUISMONTERO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=msnhome

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe"

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk

O4 - Global Startup: Service Manager.lnk

O4 - Global Startup: WinZip Quick Pick.lnk

O16 - DPF: DirectAnimation Java Classes - file://C:\WINNT\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINNT\Java\classes\xmldso.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145109013250

O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9084FCD0-E26F-4CA2-BD67-F3A63AC06149}: NameServer = 192.100.10.17

O20 - Winlogon Notify: KLOGON - C:\WINNT\SYSTEM32\KLOGON.DLL

O20 - Winlogon Notify: WZCNOTIF - WZCDLG.DLL

O21 - SSODL: Network.ConnectionTray - {7007ACCF-3202-11D1-AAD2-00805FC1270E} - C:\WINNT\system32\NETSHELL.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

O23 - Service: IBM Access Support (EGATHDRV) - IBM Corporation - C:\WINNT\SYSTEM32\EGATHDRV.SYS

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINNT\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINNT\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Broadcom NetXtreme Gigabit Ethernet (b57w2k) - Broadcom Corporation - C:\WINNT\SYSTEM32\DRIVERS\b57w2k.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: IBM (Version 5.27) Automatic Server Restart (ibmasr) - IBM Corporation - C:\WINNT\SYSTEM32\DRIVERS\ibmasr.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\spool\DRIVERS\W32X86\2\HPZipm12.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINNT\SYSTEM32\DRIVERS\ptilink.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - VERITAS Software Corp. - C:\WINNT\SYSTEM32\drivers\dmboot.sys



10 Servicios.

3 de Carga Automatica.

6 de Carga Manual.

1 Deshabilitados.



Espero me puedan ayudar

Gracias..

[msc hotline sat]

Pues no parece haber la causa...



Está usando wireless ??? Si es así, tiene proteccion por macadress ???



Y si no lo usa... tiene su router emisor de wireless??? en tal caso, lo tiene configurado ??? ya ve por donde voy, verdad, pues a ver si nos lo aclara



saludos



ms, 26-06-2008

[elmon]

Buenos Dias, mi router no tienen wireless no lo maneja por seguridad no tengo en mi red wireless, se siguen reproduciendo los archivos .exe en el servidor en realidad pasaron varios dias sin reproducirse pero desde ayer empezaron a reproducirse nuevamente los archivos .exe. Por favor en los que me puedan ayudar, se lo agradeceré mucho.

[msc hotline sat]

Pues ya ve que ni el kaspersky ONLINE ni el SPROCES muestran presencia de residentes maliciosos o claves de registro sospechosas.



Y si durante un periodo de tiempo no le ha pasado, la pregunta del millón es donde no ha entrado de las webs que normalmente navega ???



Creemos que puede ser causado por el acceso a alguna página con Active X o elementos maliciosos que no quedan residentes tras reiniciar el ordenador.



Fijese donde entra, y por donde navega cuando le sucede ello y nos lo comenta



Aparte vea si sin entrar en Internet, tras eliminar restos anteriores, se le reproducen dichas anomalias, o es solo tras entrar en la Red.



saludos



ms, 1 de Julio de 2008

[elmon]

Buenas Noches, la verdad en este equipo por ser el servidor no se navega, sin embargo, este tiene acceso a internet para estar actualizado, verificare las ultimas conexiones a internet a ver en que paginas se conecto y les envío la las direcciones por esta vía. Gracias

[msc hotline sat]

Y este servidor, tiene instalado un cortafuegos ??? Porque si no navega, puede que por intrusion via IP le estén atacando ...



saludos



ms, 2 de Juliod e 2008

[elmon]

Buenos Dias, si el servidor tiene cortafuegos, y la entrada de internet o servidor de internet esta en smothwall de linux, probando para ver como podía borrar los archivos .exe que se me están reproduciendo en el servidor y en varias maquinas le pase el Mcafee Stinger y este me borro 43 mil archivos de los ejecutables que me enbasuran el servidor y algunas maquinas, este me dice que es el MyDoom, pero de ser cierto sera una variante de este o es que el kaspersky no lo detecta ni el nod32 ni el avast, ni los antivirus on line de verdad no se que hacer, ya la cosa se me ha puesto peor porque desde hace unos dias, una maquina al momento de introducir el usuario y la clave para la validación de windows xp, en ves de entrar lo que hace es que aparece el mensaje de windows cerrando y no se puede entrar ni en modo a prueba de fallos, para poder respaldarla la inicie en ubuntoo la respalde y la formatie, pero no puedo hacer lo mismo con todas incluso el servidor, por favor cuando puedan me responden. Gracias.

[elmon]

msc hotline sat, por favor ayúdame, de verdad tu eres el único que me ha podido ayudar, aunque aun no hemos eliminado los ataques, por favor ayúdame.

[msc hotline sat]

Pues veo que has madrugado ! o que aun no te habias ido a dormir..., justo editaste cuando yo ya me había ido a duchar y arreglarme para empezar el día !

Bueno,pues que bien que McAfee lo detectara y te diera la pista de MYDOOM !!!

Este es un prolífico virus de gran propagacion por mail, que convivió con el MYTOB y ZOTOB , y que sus creadores eran de Turquía y Marruecos si no mal recuerdo, y que por uno localizaron el otro, pero ya de ello hará 3 o 4 años...

Luego variantes de ellos pueden haber derivado en SDBOT, veamos si con alguna de estas utilidades detectamos o pedimos muestras de algunos ficheros, o ya los eliminamos junto con las claves de registro


Ahora bien, el problema es que no arranque el equipo (o se apaque tras arrancar). En tal caso convendrá arrancar en consola de recuperacion con el CD de instalacion del windows, y lanzar un FIXMBR, y si tras ello persiste el problema, pues arrancar con el mismo CD, proceder como si se fuera a Instalar , y cuando llegue a detectar la particion instalada, y ofrece o Reinstalar o REPARAR, escoger esta ultima, REPARAR, para no perder las aplicaciones instaladas.


ELITRIIP: http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos

saludos

ms, 10-07-2008

[msc hotline sat]

Refrescando la memoria con los articulos indicados encontrados en el histórico del foro, creo que he detectado donde está el quit de la cuestion:



En el SPROCLOG que posteaste vemos que tienes instalado W2000 con SP4 + Q823353, que es el MS04-018, o sea del 2004:


[quote]Thu Jun 26 12:44:21 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows 2000 (v5.0.2195) Service Pack 4

Internet Explorer: (v5.00.3700.1000) ;SP4;Q823353;[/quote]

y en los detalles del ZOTOB (llamese MYTOB o como se quiera), se dice:


[quote]Además, recientemente apareció el ZOTOB, variante del MYTOB pero aprovechando la reciente vulnerabilidad ya parcheada con MS05-039, que afecta a los W2000,[/quote]

y este parche como se ve es del 2005 y no está aplicado en este ordenador..., por tanto se debe lanzar un windowsupdate !!!



Informacion en cuestion de este parche "Plug and Play" : http://www.microsoft.com/en/us/default.aspxspain/technet/seguridad/boletines/MS05-039-IT.mspx



saludos



ms, 10-07-2008

[elmon]

Gracias por la información hoy mismo le aplico estos limpiadores al servidor y lo actualizo, en realidad le quite la actualización automática por miedo a que se instalaran paquetes que no quería (virus o cualquier otra cosa en el server), hace dos meses se venció mi antivirus yo tenia instalado el f-secure en mi servidor y otras 90 maquinas en la empresa.Mientras decidía que comprar le coloque kaspersky al servidor en modo prueba, pero como ves se me contamino el servidor y muchas maquinas. Pregunta: Que me recomiendas comprar para el servidor y las 90 maquinas?

[msc hotline sat]

Pues ya ves que el antivirus no lo es todo... Si no se parchean los agujeros de seguridad de windows con las actualizaciones de parches, no hay antivirus que pueda impedir la intrusion de algunos virus que se cuelan por los agujeros de seguridad, pues estos agujeros estan en los cimientos, y el antivirus es como una cubierta, para que no te mojes cuando llueva, pero las termitas se cuelan por abajo

Nosotros usamos McAfee, claro, pero es tu proveedor informatico, y quien te de el soporte in situ, quienes te deben aconsejar y confiar en ellos. Si estuvieras en España estría claro ... pero en tu pais los habrá tambien buenos, dejate aconsejar por ellos. Para lo que te pueda servir aqui tienes las opiniones de los foreros al respecto:

viewtopic.php?f=6&t=4795

Y seguro que con 90 ordenadores teneis un buen servicio tecnico que os da soporte, quizas no especializado en seguridad informatica como SATINFO, donde ademas hacemos las utilidades que ya has visto, pero al fin y al cabo puedes recurrir a probarlas a través de este foro...

Ya nos contarás tus progresos al respecto

saludos
ms, 12-07-2008

[elmon]

Buenos Dias, gracias por la información msc hotline sat, pero lo que quiero saber es que si uds tienen representantes en Venezuela o una alianza estratégica con alguna empresa para que me de este servicio, ya que en corto tiempo 1 o 2 mese max debo comprar el antivirus de los servidores (1 windows 2000, 1 debian, 1 correo debian) y las estaciones 90 (win XP, Vista y media Center) , y quiero comprárselos a profesionales como uds. que me parecen muy serios y efectivos, (sin nada a cambio). De Verdad muchas gracias

[msc hotline sat]

Actualmente en SATINFO solo cubrimos territorio español, y con zonavirus.com damos soporte a este foro, en el que evaluamos las utilidades que hacemos, y personalmente ayudo en muchos casos a los foreros, pero en Venezuela seguro que hay buenas empresas de seguridad informatica, posiblemente empezando por la que actualmente les mantiene su red...



Nos gustaria estar en todas partes y cubrir al menos los paises de habla hispana a los que llega este foro, pero de momento no disponemos de la estructura necesaria



Gracias por la confianza demostrada.



saludos



ms, 12-07-2008

[msc hotline sat]

Por cierto, en cualquier caso es muy importante proteger su red con un buen cortafuegos, evidentemente por hardware, y ya, con su estructura, cualquier auditoria informatica les recomendaría hasta un UTM para proteccion perimetral, aparte de proteger cada estación de trabajo con otro antivirus, como hacemos en nuestras instalaciones, TUXGATE perimetral con Kaspersky y estaciones de trabajo con McAfee.



Comentelo con su proveedor informatico de la zona, y solo a titulo e informacion le doy links de informacion sobre caracteristicas de dichos cortafuegos (sin agujero de seguridad) y de los UTM :





CORTAFUEGOS DE SEGURIDAD CLAVISTER:

[url=http://www.satinfo.es/welcome-clavister.html][color=darknesred][b]FIREWALLS CLAVISTER[/b][/color][/url]





UTM TUXGATE/TUXGUARD:

[url=http://www.satinfo.es/welcome-tuxgate.html][color=darknesred][b]UTM TUXGATE[/b][/color][/url]





saludos



ms, 13-07-2008

[elmon]

Buenos Dias, al servidor esta mañana me dio un error en la cola de impresion y cuando fui a conectarme al servidor paso lo siguiente me pide usuario y clave y al colocarsela se inicia de nuevo el ciclo de cerrar cesion de usuario y me pide de nuevo el usuario y la clave, no me deja entrar, esto pasa en forma remota y desde el mismo servidor. Por favor que puedo hacer

[elmon]

Buenos dias, le pase los dos archiovos que me pasaste para el my doom pero no encontro nada cuando quise hacerle el update me consegui con lo que te dije que no me deja entrar, por favor en cuanto puedas me dices.

[msc hotline sat]

Puede que tengas ficheros corruptos de aplicaciones que hayan sido tocadas por dicho virus...



Trata de desinstalarlas y volverlas a instalar, es cuanto puedes hacer si una vez eliminado el virus no funcionan.



Los antivirus tratan de eliminar el virus y restaurar la normalidad, pero si lo segundo no se puede, lo primero es lo esencial.



Es mejor prevenir que curar !



saludos



ms, 15-07-2008

[elmon]

En verdad no creo que algun antivirus me dañara algun archivo ya que todos los que le pase me dicen que no tengo virus, el problema es que los archivos .exe se siguen reproduciendo y ahora no puedo entrar al servidor ni por via remota ni por la consola del servidor, conoces un virus que reaccione asi, es decir que se presenta la pantalla de inicio del windows 2000 y al colocarle el usuario y la clave, no entre sino que te dice cerrando secion de usuario y te pide de nuevo usuario y clave? :cry:

[msc hotline sat]

:roll: No me has entendido, no es el antivirus el que puede haber afectado los ficheros que no funcionan, sino el virus que los ha afectado, el antivirus lo ha eliminado, y si el virus los había dejado irrecuperables, pues asi están



De todas formas puede que no hayas tenido solo este virus, muchas veces son varios los que entran, (especialmente por falta de parches) y cada cual hace de lñas suyas.



PRUEBA DE RESPARAR WINDOWS, VISTO LO QUE DICES:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



saludos



ms, 15-07-2008

[elmon]

Muchas gracias por todo, en realidad tenia muchos archivos dañados y decidi formatear el servidor, de todas maneras muchas gracias y espero que sigan orientando a todos.





saludos

[lucl]

Pues cerramos el tema dandolo por terminado, vuelve cuando quieras, saludos