none
Virus en Windows Server 2003 SP2 RRS feed

  • Pregunta

  • Pido disculpas si este no es el lugar indicado para este post

    En mis servidores Windows 2003 tengo instalado Symantec End Point Protection y constantemente me genera eventos ID 46 o 51 en el visor de sucesos indicandome que tengo estos virus en las ubicaciones

    W32.Downadup.B
    W32.Downadup
    !Downloader
    Trojan Horse

    C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\FOBR49MJ\eptoa[1].jpg

    C:\WINDOWS\system32

     C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\WVC855O2\vbsqs[1].jpg

    Descargue dos herramientas para eliminarlos pero siguen ahi

    Algun consejo para eliminarlos, muchas gracias

    martes, 4 de mayo de 2010 13:56

Respuestas

  • Problema resuelto, creo, sucede y pido disculpas a todos, que no tenia instalado el SP2, lo instale y por ahora no tengo mas eventos de End Point, ahora tengo otro pero es otro tema.

     

    Gracias y disulpas por la falta de informacion respecto de la configuracion

    • Marcado como respuesta eamagoo miércoles, 5 de mayo de 2010 17:41
    miércoles, 5 de mayo de 2010 17:40

Todas las respuestas

  • Hola, Eamagoo:

    Dos imágenes en formato .JPG no pueden ser un virus (que muestren a Jesulín como el cantante revelación del Verano, ya sería otro tema...). Lo que sí puede "mosquear" un poco es que haya algún fichero integrado en C:\WINDOWS\System32, ya que es la ubicación habitual de cualquier virus, pero lo primero es tratar de identificar el archivo en cuestión como tal. No es recomendable soltar tan alegremente la palabra VIRUS, ya que por lo general, en un 80% de los casos al final no es así...

    En el caso que nos ocupa, el eventID 46 hace referencia a que el fichero se ha limpiado correctamente, y el eventID 51 se suele referir a que se ha detectado un fichero sospechoso en una determinada ruta. Por ello mismo, mi recomendación es que accedas a las opciones del Iexplore (INETCPL.cpl) y elimines los archivos temporales del IEXplorer. Asimismo, con la combinación de teclas CTRL+ALT+ESC, escoge de la solapa "Procesos" todos aquellos que NO te suenen de ningún programa que debiera ejecutarse (preferiblemente de los de ejecución con tu nombre de ususario) y con el botón derecho del ratón, les termines el proceso...

     

    Hay una forma de hacer éstas acciones permanentemente, pero por ahora, éstos ____ ya deberían limiarte de "virus" las detecciones del EndPoint...

    Espero haberte servido de ayuda
    --------------------------------------------------------------------------------
    Desiderio Ondo | Ing. en Informatica
    Certificado MCSE | Certificado ITIL
    http://pantuflo.gsyc.es/~desitech


    -- · Espero haberte servido de ayuda · ============================================================· Desiderio Ondo | Ing. en Informática · http://pantuflo.gsyc.es/~desitech
    • Propuesto como respuesta Desiderio Ondo martes, 4 de mayo de 2010 16:03
    martes, 4 de mayo de 2010 16:03
  • Desiderio, una forma muy sencilla de colocar un fichero malicioso sería cambiarle la extensión a .jpg, descargarlo mediante la carga de una página web, con lo que se depositaría en la carpeta de temporales de internet, y luego mediante un sencillo código insertado en la página, copiarlo con extensión .exe y hacer que se ejecute.

    No quiero decir que esos dos archivos .jpg sean este caso, pero el hecho de que el antivirus los detecte como una variante del conficker ya es motivo para sospechar de ellos, más aún si dice que también está el virus en la carpeta system32.

    Eamagoo, aparte de lo que te indica Desiderio de limpiar la carpeta de temporales de Internet, incluso entrando en ella a mano y borrando desde el explorer todo el contenido que puedas, si la herramienta de Symantec no te elimina el mismo yo instalaría algún otro antivirus, como el security essentials de Microsoft, para ver si éste puede eliminarlo.

    Dada la eficacia de algunos virus para esconderse de las herramientas de limpieza, una buena práctica, cuando no es factible formatear e instalar de nuevo todo (única vía para tener la certeza total de su eliminación y de que no quedan restos que afecten al sistema) consiste en desmontar el disco del equipo y conectarlo como secundario en un equipo limpio y con antivirus actualizado, y realizar la limpieza desde allí. Generalmente da mejor resultado que si se analiza y limpia desde el propio equipo infectado. También se puede hacer en el mismo arrancando con algún CD con sistema autoarrancable (como el ERD Commander del Microsoft Desktop Optimization Pack) que tenga antivirus y realizar la limpieza con el mismo. 


    Saludos José Antonio Quílez http://msmvps.com/blogs/quilez/
    martes, 4 de mayo de 2010 18:07
    Moderador
  • Hola, Jose Antonio:

     

    En ocasiones, los métodos más sencillos son los más efectivos, y debo reconocer que no se me había ocurrido la posibilidad que señalas con los .JPG's.... Intructivo, sencillo, y reconozco que en mi caso hasta hubiera "colado"...

    Muchisimas gracias por el detalle, maestro. Siempre es un placer aprender cosas nuevas...

    Espero haberte servido de ayuda
    --------------------------------------------------------------------------------
    Desiderio Ondo | Ing. en Informatica
    Certificado MCSE | Certificado ITIL
    http://pantuflo.gsyc.es/~desitech


    -- · Espero haberte servido de ayuda · ============================================================· Desiderio Ondo | Ing. en Informática · http://pantuflo.gsyc.es/~desitech
    miércoles, 5 de mayo de 2010 7:54
  • Problema resuelto, creo, sucede y pido disculpas a todos, que no tenia instalado el SP2, lo instale y por ahora no tengo mas eventos de End Point, ahora tengo otro pero es otro tema.

     

    Gracias y disulpas por la falta de informacion respecto de la configuracion

    • Marcado como respuesta eamagoo miércoles, 5 de mayo de 2010 17:41
    miércoles, 5 de mayo de 2010 17:40