settingsLogin | Registersettings
Es tu primera visita? Te invitamos a visitar nuestra sección de preguntas frecuentes FAQ!
x
Show Menu

Problema con virus en Windows 2003 server

0 votos
Hola

Tengo un servidor windows 2003 server al cual este domingo le ha entrado un virus paracedo al tipico virus de la policia, el cual no te deja hacer nada de nada e incluso te corta las conexiones de red.

Mi problema es que no puedo entrar a prueba de fallos ni nada. He pasado varios antivirus desde cd´s y nada todo el problema es que tengo un raid 1 y la mayoria de los antivirus de cd no reconocen el raid.

He intentado buscar algun live cd para poder acceder a c:\ y poder eliminar el virus a mano pero no he encontrado ninguno.

A ver si me podeis ayudar a solucionar el problema

Gracias
por (119 puntos)  
editado por

2 Respuestas

+1 voto

El problema que tienes es que dependiendo del Live CD que estés usando, debes ver cómo cargar el driver de la controladora cuando está iniciando para que pueda reconocer el volúmen, el problema es que eso depende de la herramienta que estés usando.

No es la mejor opción, pero esto es lo que intentaría hacer si me sucediera a mi:

  • Desconectaría los discos del RADI 1 (recuerda bien cómo están conectados para que al reconectarlos queden exactamente igual)
  • Configuraría el BIOS para que inicie desde un disco IDE y no desde la controladora RAID
  • Conectaría un disco IDE, instalaría un Windows temporal para poder remover el virus de los discos del arreglo.
  • Cuando tenga instalado el Windows, instalaría un Antivirus.
  • Luego conectaría los discos a la controladora nuevamente.
  • Al iniciar el Windows, debes instalar los drivers de esta controladora para que puedas ver el arreglo.
  • Corre el antivirus en este volumen.
  • Si borra el virus, desconecta el disco IDE, reconfigura el BIOS para que inicie desde la controladora.
  • Cruza los dedos para que todo funcione bien :)

Si el servidor inicia normalmente, igual te recomendaría que programes en los próximos días la reinstalación de esta servidor, ya que, aunque el virus quede eliminado, no estás seguro si queda en un 100% limpio.N

Nos cuentas cómo te va.

por (3.5k puntos)  
0 votos
Hola

Ya lo he conseguido. Gracias por las respuestas.

Expongo aqui mi caso para ver si a alguien le sirve.

Servidor infectado con virus anti-child porn spam .Es un servidor HP con controladora de raid no conseguia poder arrancar ningun antivirus desde cd ya que no reconocia ninguno de los discos debido al raid.

Soluciones posibles:

Primera Solucion: Poner un disco IDE en el cual tengo instalar windows 2003 server para que sea compatible con lo mismo que tenia antes.Una vez instalado windows reconocer los discos de raid para que pudiera poder pasar un antivirus para que me eliminara este tedioso virus. Una vez pasado el antivirus y eliminado el virus poner la controladora como arranque principal , quitar el disco IDE e intentar arrancar a ver que pasa.

Segunda solucion ( opcion que utilice por rapidez y sencillez): Me descargue el liveCD de linux ( Opensuse- Se descarga desde http://software.opensuse.org/122/es     - es el KDE Live ). Grabe la imagen en un cd y arranque desde cd el servidor.

Me arranco perfectamente el opensuse, pulsando lo que en windows es inicio encontre el file manager que es el explorador de windows desde el cual pude borrar a mano el dichoso virus ( gracias al soporte tecnico de mi antivirus ).

Salve la informacion copiandola en un disco externo ( usb ) antes de nada por si las moscas.

Reinicie el equipo y buala arranca perfectamente.

IMPORTANTE este virus entra a traves de terminal server, crea usuarios nuevos en el controlador de dominio, deshabilita servicios de windows ( a mi me deshabilito el antivirus, exchange y muchos servicios mas ). Tambien por perdonar la expresion joder encripta archivos para que luego le pagues 5000 dolares para que ten envie la contraseña ( por suerte no me ha encriptado archivos valiosos ).

Yo tube que habilitar muchos servicios , reinstalar antivirus y alguna cosita mas pero vamos dos dias de trabajo continuo mucha presion encima por el problema de la compresion ( que todavia no hay solucion ) y un poco cabreado por esta gente creadora del virus anti-child porn spam.

Tambien destruye y encripta las copias de seguridad realizadas en cualquier disdo duro conectado a el ( yo tenia el disco duro conectado por usb y me las ha destrozado, tambien tenia informacion en un nas y tambien me he encriptado algunas cosas.

RECOMENDACION URGENTE  hacer copias de seguridad diarias (ya que no sabes cuando pueden entrar ) en discos duros externos los cuales los intercambies ( cada dia mejor pero sino cada semana como mucho ) asi si un sinverguenza como este te entra podras recuperar esas copias del dia anterior sin problemas ya que se encontraran desconectadas y no podra acceder al el.

Esta es una mediada que estoy aplicando a todos mis clientes URGENTEMENTE ya que es una version de virus nueva y tiene loco a todos los soportes tecnicos de antivirus.

Espero poder hayudar con este post a algunas personas que lo hayan sufrido como yo y tambien poner en alerta a personas que mantienen servidores a que por lo menos tengan una copia de seguridad completamente desconectada de los servidores a la que no tengan acceso.

Gracias por todo

Saludos
por (119 puntos)  
Una pregunta, ¿como entro el virus al server? navegando con el iexplorer? o por equipos clientes?  ¿que rol tenía el servidor, dc, filserver?
Hola
Por lo que se es un hacker que entra por terminal server.
Yo tenia activo el terminal server en el puerto 3389 ( predeterminado ).
Una posible solucion o un impedimento mas para hacer mas complicado el acceso es cambiar el puerto de escucha del terminal server.
En este enlace te explica bien como hacerlo http://www.xarcom.net/blog/index.php/cambiar-puerto-escucha-en-terminal-server-vista-xp-windows-2003-windows-2008/.
La verdad es que lo mejor hacer copias de seguridad diaria e ir cambiando los disco a diario.

Saludos
3ra. solución y la más fiable:
Utiliza una distribución GNU/Linux (Debian, CentOS, Ubuntu Server, etc.). Todos los servicios de red que ejecutas en Windows pueden ser ejecutados en GNU/Linux sin importar el sistema operativo del cliente. Si gestionas usuarios SAMBA+LDAP cumple el mismo objetivo que AD sin ralentizar el servidor (PC dual core 4GB de RAM para 520 usuarios).
Poseo servidores GNU/Linux funcionando por años sin problemas y sin reiniciar
...