Lo mejor del mundo. Attt. El pirata mayor, De Republica Dominicana Para El mundo.

pwdump2.exe... Amenaza Hacktool.pwdump
Idem de lo mismo
samdump.dll........Amenaza de hackeo
idem de lo mismo

Esto que es una guasa???

el programa ha sido subido por francis125; por casualidad podria el amigo explicar un poco mas de que va la cosa?? Posible que seas el mayor pirata de la republica dominicana, cosa que no pongo en duda, pero si la manera de hacerte narciso. Pues mi Norton como que no le gusta los que se alagan asi mismo me indica que 2ejecutables y 2.dll catalogados como peligrosos en tu programita, me hacen dudar de tus competencias de pirata del caribe.... Un bucanero del foro

No creo que haya tenido la poca verguenza de subir un virus :veg: :veg:

Pero yo nunca me suelo descargar nada de usuarios que no conozco...

Saludos

que tal jose, ya tu sabes no es que yo sea desconfiado, de naturaleza, pero ya sin intención han pasado cosas extrañas en las descargas ultimamente, una veces sin intención , otras con intención, no quisiera alarmar inultimente, pero esto es un hecho y no lo digo yo lo dice mi analizador de antivirus. Me veo en la obligación de exponerlo en el foro y espero se tomen medidas con esa gente alardosa, el programa en cuestion se baja muy rapido yo lo he realizado por dos veces y en 3 minutos y lo he analizado por dos veces con los mismos resultados y como tu dices .... quien es francis 125 a parte de ser el pirata del caribe

no tiene virus, q antivirus usas?????

http://img386.imageshack.us/img386/7043/pooooodn3.jpg

:^^: :^^:

yo tampoco bajo cosas de personas que no conosco , pero te digo no te apresures zafiro que a veces el norton y el avg te toman como virus algunas cosas que no son,a lo mejor al forista que lo puso el antivirus no le detecto nada como le pasa a jose y me podria pasar a mi, pero aqui tienes una info clarita leela toda pero lo que te interesa esta marcado en rojo mas abajo

Nombre: JS/SQLSpida
Tipo: Gusano de Internet
Alias: JS/SQLSpida.b.worm, BAT_SQLSPIDA.B,JS.Spida.B,JScript/SQLSpida.Worm,SQL Spida, JS_SQLSpida.B, Hacktool.IPStealer, SQLSnake, SQLSpida, MS SQL Worm

Este es un gusano que busca e infecta servidores SQL de Microsoft. Examina las respuestas a solicitudes al puerto 1433 (usado por el servidor SQL por defecto), para detectar aquellos servidores vulnerables que usan una contraseña en blanco en la cuenta del administrador del sistema (SA).

Esta configuración debería cambiarse luego que se instala esta aplicación, pero son muchos los administradores de sistemas que ignoran esta mínima precaución de seguridad, es por esta razón que existe una cantidad muy grande de sistemas vulnerables..

El acceso a un sistema sin contraseñas, deja habilitado el uso de varios procedimientos extendidos de los servidores SQL, uno de los cuáles (XP_CMDSHELL), permite la ejecución de código en modo DOS, y es usado por el gusano para ejecutarse y propagarse.

Cuando se ejecuta, el gusano copia los siguientes archivos en el disco duro de la máquina infectada:
\System32\Drivers\Services.exe
Este es el escaneador de puertos (TCP 1433), y es usado por el gusano para buscar otros servidores SQL vulnerables.

\System32\Sqlexec.js
Archivo en JavaScript usado por el gusano para ejecutar comandos en la computadora remota (en modo línea de comandos a través del procedimiento XP_CMDSHELL).

\System32\Clemail.exe
Utilidad que se ejecuta en modo línea de comandos, encargada del envío de un e-mail con información perteneciente al sistema infectado (direcciones IP, contraseñas, etc.), al buzón de correo del autor del virus.

\System32\Sqlprocess.js
Este código javascript ejecuta los códigos y comandos SQLDIR.JS, IPCONFIG /ALL y PWDUMP

Esto redirecciona la salida de cada herramienta al archivo SEND.TXT. El contenido de SEND.TXT es enviado en el mensaje a la dirección ixltd@postone.com (hoy bloqueada).

También agrega los siguientes valores a las claves del registro:

HKLM\System\CurrentControlSet\Services\NetDDE
ImagePath = "%COMSPEC% /c start netdde && sqlprocess init"
Start = "2"

HKLM\software\microsoft\mssqlserver\client\connect to
dsquery = "dbmssocn"

Copia el archivo "%SystemRoot%\System32\Regedt32.exe" a la siguiente ubicación:

%SystemRoot%\Regedt32.exe

Borra el archivo "%SystemRoot%\System32\Msver241.srq"

También busca otras computadoras vulnerables en redes cuyas direcciones IP comienzan por 10, 127, 172, o 192. Cuando encuentra una computadora con SQL vulnerable a la ejecución de código (sin contraseña por defecto), ejecuta el archivo \SYSTEM32\SQLINSTALL.BAT, batch con el que instala el gusano en la computadora remota.

\System32\Sqlinstall.bat
Este .BAT activa la cuenta de usuario GUEST, y le pone una clave de cuatro caracteres seleccionados al azar. Luego agrega esta cuenta al grupo del Administrador y Administrador del dominio. También examina la presencia del archivo \SYSTEM32\CSCRIPT.EXE.

Si lo encuentra, entonces comprueba si el gusano ha copiado el archivo %SystemRoot%\system32\regedt32.exe en %SystemRoot%\regedt32.exe. Si esto se ha producido, asume que el gusano existe en esa máquina. De otra manera, procede a copiar los siguientes archivos al sistema compartido de la computadora remota.

\System32\Drivers\Services.Exe
\System32\Sqlexec.Js
\System32\Clemail.Exe
\System32\Sqlprocess.Js
\System32\Sqlinstall.Bat
\System32\Sqldir.Js
\System32\Run.Js
\System32\Timer.Dll
\System32\Samdump.Dll
\System32\Pwdump2.Exe

Después de la copia de estos archivos, cambia la contraseña de administración remota del SQL por una de cuatro caracteres al azar. Finalmente, ejecuta el archivo SQLPROCESS.JS en la computadora remota.

\System32\Sqldir.js
Este script es usado por el gusano para coleccionar información del servidor SQL

\System32\Run.js
Este archivo es usado para disparar la ejecución remota del gusano.

\System32\Timer.dll
Es un contador de tiempo usado por el gusano.

\System32\Samdump.dll
Lo usa el gusano (y lo copia a las máquinas infectadas), pero no parece realizar ninguna acción maliciosa.

\System32\Pwdump2.exe
Es usado por el gusano para intentar el robo de las contraseñas de la máquina infectada
Recomendaciones y eliminación del gusano

Las recomendaciones básicas para limpiar un sistema y protegerse son:

1. Bloquear el puerto 1433 con un cortafuegos o firewall (a través de ese puerto el gusano busca nuevas máquinas para infectar).

2. Actualizar con los parches de Microsoft para SQL Server, disponibles desde hace tiempo .
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418

3. Bloquear el correo a la dirección ixltd@postone.com.

4. Deshabilitar la cuenta GUEST. Para ello, teclee lo siguiente desde la línea de comandos:

net user guest /active:no

5. Borrar el usuario GUEST de los grupos administrador y administrador de dominio. Para ello, teclee y ejecute los siguientes comandos:

net localgroup administrators guest /delete
net group "Domain Admins" guest /delete

6. Quitar TIMER.DLL de la memoria, Para ello, teclee lo siguiente desde la línea de comandos:

regsvr32 /u TIMER.DLL

7. Eliminar los archivos creados por el gusano en la computadora infectada. Para ello teclee la siguiente secuencia de comandos (Enter al final de cada línea). Cambie la variable %SYSTEM% por el directorio correspondiente a su sistema, por ejemplo C:\WinNT\System32 para Windows 2000 y NT, y C:\Windows\System para sistemas Windows 9x. Ejemplo: "C:\WinNT\System32\drivers\ser" o "C:\Windows\System\drivers\ser"):

attrib -h %SYSTEM%\drivers\ser
attrib -h %SYSTEM%\sqlexec.js
attrib -h %SYSTEM%\clemail.exe
attrib -h %SYSTEM%\sqlprocess.
attrib -h %SYSTEM%\sqlinstall.
attrib -h %SYSTEM%\sqldir.js
attrib -h %SYSTEM%\run.js
attrib -h %SYSTEM%\timer.dll
attrib -h %SYSTEM%\samdump.dll
attrib -h %SYSTEM%\pwdump2.exe
del %SYSTEM%\drivers\services.exe
del %SYSTEM%\sqlexec.js
del %SYSTEM%\clemail.exe
del %SYSTEM%\sqlprocess.js
del %SYSTEM%\sqlinstall.bat
del %SYSTEM%\sqldir.js
del %SYSTEM%\run.js
del %SYSTEM%\timer.dll
del %SYSTEM%\samdump.dll
del %SYSTEM%\pwdump2.exe

ok beto es bien lo que has marcado en rojo, pues el fichero en mencion aunque a jose no se lo ha dectectado, por no ser un virus, pero mas bien una herramienta, de hackeo, que como tu bien lo explicas, por ello un antivirus no lo detecta y esta instalado en un archivo comprimido que se puede observar antes de copiar la bajada en un CD, una vez copiado en cd y instalado en el sistema este se ejecuta en system32 y ya hes demasiado tarde el cliente ni se enterara pero su teclado estara coontrolado por el pirata de marras

joer cuidaito con el francis este eh?
que conste que no tiene nada que ver conmigo jajajajaj :lachtot: :lachtot:

Pos tenia pensao bajarmelo pero va a ser que no

entonces esta infectado o no
lo que me interesa saver a mi es si esta en ingles o en español :lachtot: :lachtot: :lachtot:

Hola Gamo, esta en español, pero lee lo que beto ha expuesto se refiere en efecto a la alarma que he enviado, sin querer pasar por alarmista por un si o por un no, pero mi Internet Security del Norton asi lo ha detectado y no el antivirus, por no ser un antivirus pero mas bien, como lo indica BETO que por cierto lo marco en rojo, el PWDUMP2.EXE si acabara instalando en el System32 y luego actuara reconvirtiendose y ni se si se podra sacar formatando luego el disco
PWDUMP2.EXE
SAMDUMP.DLL
Nombre de la amenaza---Hacktool.pwdump

pues gracias por la info me quedo con el 6 que tengo que esta muy bien

chic@s a mi el explorer se me actualizó anoche y quedó asi........

http://img145.imageshack.us/img145/2778/ftdiw6.jpg

ahora eso si.....me pidió validar el windows......

http://img83.imageshack.us/img83/521/ienv1.jpg

Ya lo he instalado pero esta vez desde la posibilidad que nos brindan en Yahoo, esta limpio y libre instalacion gratis sin espias ni m mierda como la del amiguete piata ese de marras que anuncie arriva, el cual se identifica en esta pagina con el ID ( piratamayor) no se si denunciandolo se le coje su IP y poderlo expulsar de la pagina que valla meter mierda en otro lugar, por que eso si no ha sido ocasional lo ha hecho adrede

yo subi la semana pasada el bueno no tiene nada infectado y con un manual para su istalacion

Gamo yo me e bajado el tuyo pero todavia no em lo e instalado

Tu con cual estas,el 6 o el 7?yo con el 6 estoy contento pero si el 7 es mejor yo lo instalo

Lo que me digas voy a hacer

Salu-2

yo e terminado de istalar ahora el que se me actualizado de windows update
esta muy chulo pero se me ven la letras un pelin borrosas y no se como leches ponerlas bien
asi que si alguien sabe como hacer para que no se vean las letras borrosas le agradeceria que lo digera

sii ese es el que enes que tirar un dll adentro de sistem32 de windows el que subi a tu pagina si es ese ,esta bien pero es el anteultimo como el windows vista final ques se estan bajando ahora es el final pero buil y build es construir o sea windos vista final en construccion 6.0.6 es la anteultima version ,el internet explorer ultimo te deja un icono de la e en escritorio que tiene un circulo en amarillo ,pero a esa la tienes que bajar de microsoft ,mi windows no es original pero lepuse un truco de un txt que econtre en internet para que sea legal y cuando windows me lo valide me lo tome como copia original y entre a windows ,logicop que para eso tenes que apagar los antivirus para que windows entre y vea esa validacion y ahora tengo windows media player 11 original internet explorer original y actualizo sin miedo porque engañe a windows jejejeje saludos gente