Ayer pasé mi antivirus Nod32 no detectó nada y pasé el malwarebytes también, esto me salió.

"Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 03/12/2014
Scan Time: 11:43:36
Logfile: mal.txt
Administrator: Yes

Version: 2.00.3.1025
Malware Database: v2014.12.03.04
Rootkit Database: v2014.12.02.02
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows Server 2008 R2 Service Pack 1
CPU: x64
File System: NTFS
User: administrador

Scan Type: Custom Scan
Result: Completed
Objects Scanned: 966976
Time Elapsed: 2 hr, 9 min, 21 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 4
PUP.Optional.SupTab.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, Quarantined, [f11d8ed02c5045f10b8ff63f14ec8b75],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir, Quarantined, [1bf383db205cf83e36fa4f237a87a25e],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginServices\PluginService.exe.vir, Quarantined, [f11df46ad3a9310531ffb0c20bf644bc],
PUP.Optional.WpManager, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir, Quarantined, [ed21acb235473303be1ea0dc39c88878],

Physical Sectors: 0
(No malicious items detected)


(end)"

Hola buenos días, esta mañana me han dado un aviso que me está dejando muy intranquilo. En un servidor no se podía acceder a Navision, investigando he visto que se me habían borrado casi todos los archivos de la carpeta donde está instalada! Me ha pasado lo mismo con Firefox y con un programa de acceso a La Caixa, directamente han desaparecido todos los archivos instalados.

Llevo un rato investigando el visor de sucesos de mi servidor y me sale muchos eventos de Fallo de Auditoria al intentar iniciar sesión como Administrador, esto es lo que me sale.

"Error de una cuenta al iniciar sesión.
Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SRV-CETAPUNTS$
   Dominio de cuenta:      D-CETAPUNTS
   Id. de inicio de sesión:      0x3e7

Tipo de inicio de sesión:         10

Cuenta con error de inicio de sesión:
   Id. de seguridad:      NULL SID
   Nombre de cuenta:      administrator
   Dominio de cuenta:      SRV-CETAPUNTS

Información de error:
   Motivo del error:      Nombre de usuario desconocido o contraseña incorrecta
   Estado:         0xc000006d
   Subestado:      0xc0000064

Información de proceso:
   Id. de proceso del autor de la llamada:   0x3314
   Nombre de proceso del autor de la llamada:   C:\Windows\System32\winlogon.exe

Información de red:
   Nombre de estación de trabajo:   SRV-CETAPUNTS
   Dirección de red de origen:   202.185.4.195
   Puerto de origen:      1088

Información de autenticación detallada:
   Proceso de inicio de sesión:      User32
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (sólo NTLM):   -
   Longitud de clave:   0
"


Veo una IP que desconozco, puede ser el foco? Y como es posible si constantemente pone que no se ha acertado con el usuario y contraseña? O no tiene nada que ver?


Muchas gracias.

Cuando hablaba de MAC, me refería a Machintosh, no a la dirección física, perdón.



Entonces, en esa sede, al correo se conectan al rededor de 15 personas o así, no creo que sea un número excesivo tampoco.


La web está alojada en el mismo servidor que el correo, estoy en contacto con 1and1 ya porque además he descubierto, que el acceso a la web se bloquea cuando intentamos entrar a un ftp que tenemos habilitado, por lo que puedo deducir que es alguna seguridad de ellos no?


Nosotros no tenemos ningún firewall especial, IPS o ACLs.

Acabo de descubrir una cosa, y es que tal vez sea un MAC el causante de todo, puede ser? Explico, he cogido porque una persona necesita subir a nuestro ftp unos archivos y le he hecho una conexión puente con otra sede donde funcionaba bien, he cargado la página y ha funcionado, pero ya al probar el ftp ya no daba conexión, vuelvo a cargar la página y para sorpresa mía, lo mismo, me rechaza conexión.

Puede ser algún virus en MAC?

En la web no sabría decírtelo, no la gestiono yo, la tenemos alojada en 1and1 si no me equivoco ya que hemos migrado el servidor de correo allí ahora, en mis servidores windows server no he instalado ningún IPS.

Hola buenas noches, veréis, llevo dos semanas con algo tremendamente extraño que creía estaba solucionado pero me ocurre algo nuevo y la verdad ya me he perdido, no se que puede ser ni si he configurado algo mal o que.

Lo primero que descubrimos fue, que a partir de una hora en concreto, las 10 de la mañana, el correo a través de Outlook dejaba de funcionar con un servidor en concreto, el que iba por los puertos 25 y 110, en ese mismo edificio tenemos otro dominio, cuya configuración va por 995 y 587 que iba perfecta, tras mucho darle vueltas vi que lo que pasaba era que nuestro servidor de correo, bloqueaba toda comunicación desde mi IP, aunque ellos me decían que no, yo desde las 10 de la mañana si navegaba con la IP en cuestión no podía conectarme. Esto lo descubrí ya que les hice una VPN para que navegaran con otra IP, pero al cabo de una hora o así, con la segunda IP también se bloqueó todo.

Bueno, pues tras muchos quebraderos de cabeza, hemos decidido cambiar de servidor de correo(no era el primer problema grave que teníamos) por lo que también cambiamos nuestra web de lugar, pues hoy, día en que se ha hecho el cambio, me han llamado con algo que me acaba de matar sinceramente, desde ese edificio no se podía acceder a la Web y casualmente, desde la IP con la que les hice navegar estos días atrás tampoco se puede, al principio he pensado que podía ser problema de DNS, al hacer el cambio aún no se había propagado pero, he hecho un ping a la IP de la web y me responde: "Puerto de destino inaccesible".

Estoy muy desesperado, está pasando lo mismo que con el correo pero ahora con la web, me rechaza la conexión a un puerto en concreto, primero 25 y 110 y ahora 80. Puede ser un virus de algún ordenador? Porque entonces ahora por puertos 995 y 587 no pasa, pero se va al 80? Tenemos 5 sedes más y ninguna tiene problemas, solo las dos que os he comentado, no entiendo que puede pasar.


Siento un poco el tocho, he intentado resumir en gran parte nuestro problema.

Muchas gracias.

El system restore no lo he probado, porque como otro usuario si podía, no había caído, lo probaré y si no, haré lo que comentas de crear un nuevo perfil.

Hola buenos días, veréis me acabo de encontrar en un ordenador un problema un tanto extraño, me han comentado que estaban trabajando normal hasta que se le ha reiniciado el PC. Una vez se ha reiniciado, me comentan que ha salido algún tipo de mensaje sobre el registro, yo no lo he podido ver y no han hecho ni pantallazo ni nada.


La cuestión es que al volver a iniciar sesión, el usuario en concreto no carga bien, no sale ningún tipo de error ni nada, pero el menú inicio lo carga al estilo antiguo, estilo clásico, no se si me explico, su fondo de escritorio tampoco carga y lo más raro es, que el perfil de Outlook desaparece, he tenido que configurarle de nuevo el correo porque estaba como si fuera acabado de instalar.

Estoy intentando cambiar el estilo del menú de inicio pero no me hace caso, además hemos probado de iniciar sesión con otro usuario en ese ordenador y no le ocurre este error, le inicia con el menú de inicio normal de Win XP.

Que puede tener ese perfil que haya cambiado?


Un saludo.

Yo tenía pensado, colocar un portátil que tengo para este uso. Mi idea era, que el cable del switch que va al router, ponerlo en un pequeño switch/hub, el portátil en cuestión también y conectarlo al router también, para tenerlo "controlado".


Pero no se como hacer esto del puerto promiscuo.


Gracias.

Hola buenas, pues veréis tengo un problema bastante importante.

Ayer recibí quejas por parte de los empleados de mi empresa, de que les devolvían muchos correos, al enviarme el mensaje de error, descubrí que la página SpamCop me había incluido al servidor de correo que tengo contratado en su lista negra de SPAM.


Pues bien, aquí viene la cosa, por lo que me ha comentado quien lleva el tema de nuestro correo(ya que yo de ese campo desconozco bastante) que esto es con seguridad una infección, algún ordenador realizando un envío masivo de correo basura y tengo que detectarlo. El problema, son unos 40 ordenadores los que tengo que analizar, o incluso pueden llegar a 120 si el problema no ha surgido del edificio que creo que ha salido.

Lo que necesito saber es si existe alguna forma de saber y detectar si hay un exceso de tráfico SMTP en algún PC.

Indagando he visto que una de las formas de localizarlo, es mediante un sniffer en un ordenador, pues bien he puesto wireshark en los servidores de dominio a los cuales se conectan estos ordenadores, pero no me detecta ningún paquete de este tipo.

Debo ir ordenador por ordenador pasando por ejemplo malwarebytes? Solo esto es eficaz? O son tipos de virus difíciles de detectar??


Un saludo, muchas gracias de antemano.