Virus en servirdor SQL

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
silviodperez
Mensajes: 11
Registrado: 06 Jul 2005, 13:51

Virus en servirdor SQL

Mensaje por silviodperez » 27 Dic 2005, 10:32

El norton detecta el siguiete virus a cada instante pero no lo elimina: Troja.Cachecachekit, el archivo es c:\Windows\System32\rdriv.sys.

No to que no deja conectar las pc clientes con el servidor de basesde datos SQL del mi servidor.

Este el log:



Logfile of HijackThis v1.99.1

Scan saved at 19:10:22, on 26/12/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

E:\WINNT\System32\smss.exe

E:\WINNT\system32\winlogon.exe

E:\WINNT\system32\services.exe

E:\WINNT\system32\lsass.exe

E:\WINNT\system32\svchost.exe

E:\WINNT\system32\spoolsv.exe

E:\WINNT\System32\msdtc.exe

E:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

E:\WINNT\System32\tcpsvcs.exe

E:\WINNT\System32\svchost.exe

E:\WINNT\system32\cba\pds.exe

E:\WINNT\System32\llssrv.exe

E:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE

E:\WINNT\Explorer.exe

E:\WINNT\system32\MSTask.exe

E:\WINNT\System32\snmp.exe

E:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

E:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

E:\WINNT\System32\WBEM\WinMgmt.exe

E:\WINNT\System32\wins.exe

E:\WINNT\system32\Dfssvc.exe

E:\WINNT\System32\dns.exe

E:\WINNT\System32\inetsrv\inetinfo.exe

E:\WINNT\system32\ams_ii\hndlrsvc.exe

E:\WINNT\system32\MsgSys.EXE

E:\WINNT\system32\ams_ii\iao.exe

E:\WINNT\system32\cba\xfr.exe

E:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

E:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe

E:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

E:\WINNT\System32\igfxtray.exe

E:\WINNT\System32\hkcmd.exe

E:\ARCHIV~1\SYMANT~1\VPTray.exe

E:\WINNT\System32\internat.exe

E:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

E:\WINNT\System32\svchost.exe

E:\HijackThis.exe

E:\WINNT\System32\msnchecker.exe

E:\WINNT\MSmedia.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMAXPnP] E:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "E:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [IgfxTray] E:\WINNT\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] E:\WINNT\System32\hkcmd.exe

O4 - HKLM\..\Run: [vptray] E:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Microsoft Server Applacations] msnmsg.exe

O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe

O4 - HKLM\..\RunServices: [Microsoft Server Applacations] msnmsg.exe

O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft Server Applacations] msnmsg.exe

O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O4 - Global Startup: Service Manager.lnk = E:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINNT\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127764723515

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127767566703

O17 - HKLM\System\CCS\Services\Tcpip\..\{2491EE7B-5B66-457C-973C-F6DA92CAF311}: NameServer = 217.15.32.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A465BF4-EFA0-4002-92F7-FA51E9622823}: Domain = CAGDOMI

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = CAGDOMI

O17 - HKLM\System\CS1\Services\Tcpip\..\{2491EE7B-5B66-457C-973C-F6DA92CAF311}: NameServer = 217.15.32.2

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = CAGDOMI

O17 - HKLM\System\CS2\Services\Tcpip\..\{2491EE7B-5B66-457C-973C-F6DA92CAF311}: NameServer = 217.15.32.2

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = CAGDOMI

O20 - Winlogon Notify: igfxcui - E:\WINNT\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - E:\WINNT\System32\NavLogon.dll

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - E:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe

O23 - Service: Intel Alert Handler - Intel® Corporation - E:\WINNT\system32\ams_ii\hndlrsvc.exe

O23 - Service: Intel Alert Originator - Intel® Corporation - E:\WINNT\system32\ams_ii\iao.exe

O23 - Service: Intel File Transfer - Intel® Corporation - E:\WINNT\system32\cba\xfr.exe

O23 - Service: Intel PDS - Intel® Corporation - E:\WINNT\system32\cba\pds.exe

O23 - Service: MicroSoft Media Tools - Unknown owner - E:\WINNT\MSmedia.exe

O23 - Service: Servicio de reconocimiento de Symantec System Center (NSCTOP) - Symantec Corporation - E:\ARCHIV~1\Symantec\SYMANT~1\NSCTOP.EXE

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - E:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe



Como puedo solucionarlo?,gracias.-
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 27 Dic 2005, 11:06

El fichero del troyano indicado, c:\Windows\System32\rdriv.sys, no figura en el log del HJT, por lo que conviene que nos lo envie a zonavirus@satinfo.es anexado a un mail en cuyo texto figure como referencia REF RDRIV y tras analizarlo le informaremos como respuesta dee este Tema, indicando la utilidad donde hayamosm incluido su control y eliminacion.



Por otra parte de su log del HJT



O4 - HKLM\..\Run: [Microsoft Server Applacations] msnmsg.exe

O4 - HKLM\..\RunServices: [Microsoft Server Applacations] msnmsg.exe

O4 - HKCU\..\Run: [Microsoft Server Applacations] msnmsg.exe





Sospechosas: (Si no las conoce, eliminelas)



O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe

O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe

O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{2491EE7B-5B66-457C-973C-F6DA92CAF311}: NameServer = 217.15.32.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A465BF4-EFA0-4002-92F7-FA51E9622823}: Domain = CAGDOMI

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = CAGDOMI

O17 - HKLM\System\CS1\Services\Tcpip\..\{2491EE7B-5B66-457C-973C-F6DA92CAF311}: NameServer = 217.15.32.2

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = CAGDOMI

O17 - HKLM\System\CS2\Services\Tcpip\..\{2491EE7B-5B66-457C-973C-F6DA92CAF311}: NameServer = 217.15.32.2

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = CAGDOMI

O20 - Winlogon Notify: igfxcui - E:\WINNT\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - E:\WINNT\System32\NavLogon.dll





Al respecto de estas ultimas entradas de WINLOGONNOTIFY, pruebe el ELISTARA, y si le pode que nos lo envie como muestras, hagalo y asi saldremos de dudas y le informaremos:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



saludos



ms, 27-12-2005
Arriba
silviodperez
Mensajes: 11
Registrado: 06 Jul 2005, 13:51

Virus en servidor SQL

Mensaje por silviodperez » 27 Dic 2005, 12:39

Ya elimine esas entradas y ejecute el programa que me indicaron pero me sigue detectando el norton el mismo archivo infectado.

El archivo lo saque de cuarentena del norton y lo envie a la direccion indicada por Uds.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 Dic 2005, 07:30

Pues tras analizar las muestras recibidas se implementan en las nuevas versiones de las utilidades, y en particular las del winlogon notify se implementan en el ELISTARA



prueba la nueva 10.81 que subimos ayer, aunque si lo enviaste por la tarde probablemente se implemente hoy, e informanos del resultado, gracias



saludos



ms, 28-12-2005
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 Dic 2005, 17:58

Detectado en el rdriv.sys un NTROOTKIT, se controla con el ELITRIIP, que es la utilidad que controla los ROOTKITS entre otros muchos.



Pruebe el ELITRIIP, que ya lo conoce desde Julio 2005



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



saludos



ms, 28-12-2005
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”