Hola buenos días, esta mañana me han dado un aviso que me está dejando muy intranquilo. En un servidor no se podía acceder a Navision, investigando he visto que se me habían borrado casi todos los archivos de la carpeta donde está instalada! Me ha pasado lo mismo con Firefox y con un programa de acceso a La Caixa, directamente han desaparecido todos los archivos instalados.
Llevo un rato investigando el visor de sucesos de mi servidor y me sale muchos eventos de Fallo de Auditoria al intentar iniciar sesión como Administrador, esto es lo que me sale.
"Error de una cuenta al iniciar sesión.
Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: SRV-CETAPUNTS$
Dominio de cuenta: D-CETAPUNTS
Id. de inicio de sesión: 0x3e7
Tipo de inicio de sesión: 10
Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: administrator
Dominio de cuenta: SRV-CETAPUNTS
Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xc000006d
Subestado: 0xc0000064
Información de proceso:
Id. de proceso del autor de la llamada: 0x3314
Nombre de proceso del autor de la llamada: C:\Windows\System32\winlogon.exe
Información de red:
Nombre de estación de trabajo: SRV-CETAPUNTS
Dirección de red de origen: 202.185.4.195
Puerto de origen: 1088
Información de autenticación detallada:
Proceso de inicio de sesión: User32
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (sólo NTLM): -
Longitud de clave: 0
"
Veo una IP que desconozco, puede ser el foco? Y como es posible si constantemente pone que no se ha acertado con el usuario y contraseña? O no tiene nada que ver?
Muchas gracias.
Si repartes recursos en red puede ser se te hayan colado por ahí (no lo se seguro, pregunto), aquí tienes info sobre la IP de prígen:
http://whois.domaintools.com/202.185.4.195
Intenta restaurar sistema o si tienes algun backup, pero antes asegurate tener la máquina limpia.
Puedes subir un log de reporte y le echamos un vistao o tu por tu cuenta pasar algunas herramientas a ver si encuentran algun foco de infección.
Aquí tienes alguna que te pueden servir:
https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html
Saludos.
Ayer pasé mi antivirus Nod32 no detectó nada y pasé el malwarebytes también, esto me salió.
"Malwarebytes Anti-Malware
www.malwarebytes.org
Scan Date: 03/12/2014
Scan Time: 11:43:36
Logfile: mal.txt
Administrator: Yes
Version: 2.00.3.1025
Malware Database: v2014.12.03.04
Rootkit Database: v2014.12.02.02
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled
OS: Windows Server 2008 R2 Service Pack 1
CPU: x64
File System: NTFS
User: administrador
Scan Type: Custom Scan
Result: Completed
Objects Scanned: 966976
Time Elapsed: 2 hr, 9 min, 21 sec
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled
Processes: 0
(No malicious items detected)
Modules: 0
(No malicious items detected)
Registry Keys: 0
(No malicious items detected)
Registry Values: 0
(No malicious items detected)
Registry Data: 0
(No malicious items detected)
Folders: 0
(No malicious items detected)
Files: 4
PUP.Optional.SupTab.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, Quarantined, [f11d8ed02c5045f10b8ff63f14ec8b75],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir, Quarantined, [1bf383db205cf83e36fa4f237a87a25e],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginServices\PluginService.exe.vir, Quarantined, [f11df46ad3a9310531ffb0c20bf644bc],
PUP.Optional.WpManager, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir, Quarantined, [ed21acb235473303be1ea0dc39c88878],
Physical Sectors: 0
(No malicious items detected)
(end)"