Jump to content
Kaspersky Support Forum

Infeccion en servidor, infección constante de troyano.

Compubonsai

By Compubonsai
in Para empresas

 Share
Go to solution Solved by harlan4096,

Recommended Posts

Compubonsai

Compubonsai

Posted
  • Author
Posted

Hola buenas tardes, tengo un servidor pequeño con Windows 2012 y Kaspersky Small Office. Hubo una infección y encriptaron unas carpetas compartidas. Parece que está infectado por algo que no detecta. El análisis detectó por heurística “HEUR:Trojan.Win32.Kryptik.gen” Lo detuvo pero no halló mas y constantemente me infecta programas legítimos: “C:\Program Files (x86)\Common Files\Aspel\Aspel-AL\AAUpdate.exe;Trojan-Dropper.Win32.Agent.abra”. 

Windows server 2012 fundation

Kaspersky Small Office 7 20.0.14.1085 (k)
Adjunto registro: https://www.upload.ee/files/12138507/GSI6_STECTERMINAL_Administrador_08_12_2020_18_23_19.zip.html


Agradezco su atención y ayuda.

  • Solution
harlan4096

harlan4096

Posted
  • Solution
Posted

Bienvenid@ a la Comunidad de Kaspersky.

 

No encuentro nada infectado de primeras en el GSI, a nos ser que se me haya pasado algo por alto… 

 

Otra cosa que veo es que para ser un servidor, lo estás usando como si fuese un puesto o sistema normal, con el riesgo que eso conlleva...

 

¿Es posible que esa detección C:\Program Files (x86)\Common Files\Aspel\Aspel-AL\AAUpdate.exe;Trojan-Dropper.Win32.Agent.abra sea en realidad un falso positivo?

 

Descarga AdwCleaner (By Xplode/Malwarebytes): https://toolslib.net/downloads/finish/1/

 

1.- Cierra todos los navegadores y programas, pulsa en Analizar ahora, cuando termine (NO pulses en Limpiar y Reparar aún), pulsa en Cancelar.

2.- Nos vamos a Informes, y aquí tendremos el registro del informe generado en un archivo .txt, si hacemos doble click sobre él, veremos las detecciones.

3.- Copia el contenido de dicho informe, y en tu próximo mensaje, pega el contenido dentro del marco generado previamente al pulsar el botón [ ,, ] (Quote o Citar) de la barra horizontal de herramientas en el cuerpo de edición del mensaje.

 

Saludos.

Compubonsai

Compubonsai

Posted
  • Author
Posted

# -------------------------------
# Malwarebytes AdwCleaner 8.0.7.0
# -------------------------------
# Build:    07-22-2020
# Database: 2020-07-20.1 (Cloud)
# Support:  https://www.malwarebytes.com/support />#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    08-13-2020
# Duration: 00:01:51
# OS:       Windows Server 2012 Foundation
# Scanned:  31837
# Detected: 6


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

PUP.Optional.Legacy             C:\Users\100\AppData\Roaming\Mozilla\Firefox\Profiles\tw9r8zkk.default\invalidprefs.js
PUP.Optional.Legacy             C:\Windows\SysWOW64\Utils.dll

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

PUP.Optional.MindSpark          Search Extension by Ask - lgfehfbnofiffladdncogfobimealokp

***** [ Chromium URLs ] *****

PUP.Optional.Legacy             Technisearch
PUP.Optional.Legacy             Technisearch
PUP.Optional.Legacy             Technisearch

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.

 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

 

Aquí está, te agradezco mucho. Entiendo que es un problema estructural de esta empresa, soy nuevo aquí y estoy en vías de implementar mejores practicas, llevará su tiempo concientizar a los directivos, pero para allá voy.

harlan4096

harlan4096

Posted
Posted

Puedes borrar las detecciones PUP detectadas, pero no parece  que haya ningún virus actualmente activo en tu sistema 🤔

 

Prueba a subir el archivo AAUpdate.exe al servicio https://opentip.kaspersky.com/ y ver si te lo detecta como virus.

 

Saludos.

Compubonsai

Compubonsai

Posted
  • Author
Posted

Les agradezco mucho su ayuda. Ya subí a análisis los archivos aspel y al parecer son falsos positivos. Por otro lado la confirmación de que no parece existir infección me ayuda a ir descartando riesgos y tomando acciones. Un saludo y de nuevo muchas gracias.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...