Estoy enviando spam

chuseml · Mensaje por **chuseml** » 28 Ago 2007, 19:56

Hola,

mi proveedor de ADSL Telefónica me ha enviado una carta notificandome que se está enviando spam desde mi equipo informático, dado que lo han notificado otros usuarios.

Tengo instalado el NOD32 y el AVG 7.5, y no detentan ningún virus ni spyware.

¿Pueden ayudarme a chequear mi equipo y detectar si estoy infectado?

Mensaje por **msc hotline sat** » 28 Ago 2007, 20:06

Posteenos log del HJT a ver si se detecta alguna clave de acceso remoto:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 28-08-2007

chuseml · Mensaje por **chuseml** » 28 Ago 2007, 20:59

Hola, aquí adjunto el log de HJT, gracias.

Logfile of HijackThis v1.99.1

Scan saved at 20:06:46, on 28/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\system32\drivers\STDSB.exe

C:\WINDOWS\system32\drivers\Icon.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de

programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Chuse\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =

Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Archivos de programa\Adobe\Acrobat 6.0

\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-

ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenla.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-

CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-

0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0

\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-

CE66B5AD205D} - C:\Archivos de

programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -

C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-

ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenla.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -

c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe

O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de

programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de

programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de

programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de

programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de

programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de

programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de

programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de

programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de

programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

%windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-

4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

(file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-

BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine

Advantage Validation Tool) - http://go.microsoft.com/fwlink/?

linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)

-

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w

uweb_site.cab?1154299561196

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) -

https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -

http://download.mcafee.com/molbin/iss-

loc/mcfscan/2,2,0,5106/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4260D7C0-9502-4A4E-B9BA-

CC029F49DA90}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de

programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de

programa\Eset\nod32krn.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32

\slserv.exe

Mensaje por **msc hotline sat** » 28 Ago 2007, 21:20

Pues me parece que lo que tiene es unn virus en este fichero:

C:\WINDOWS\system32\drivers\Icon.exe

Envienoslo para analizar y controlar con nuestras utilidades, pero de entrada elimine esta clave:

O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Una vez eliminado este intruso, vuelva a postearnos log del HJT y analizaremos el resto

saludos

ms, 28-08-2007

chuseml · Mensaje por **chuseml** » 29 Ago 2007, 12:53

Gracias,

les escribo desde otro ordenador, pues desde el mío no me deja entrar al foro, y me dice que me ponga en contacto con el administrador.

Podéís darme acceso de nuevo para poder así enviaros lo que me pedís?

Gracias anticipadas

Saludos

Mensaje por **msc hotline sat** » 29 Ago 2007, 13:24

Nosotros no hemos hecho nada...

Al parecer Telefonica está haciendo cambios y utiliza proxys para dar abasto a sus usuarios, y asi de un dia a otro pasan estas cosas.

Lo pongo en conocimiento de ADMIN, pues es muy importante que de ayer a hoy te haya pasado esto

A ver si se puede hacer algo, gracias por decirnoslo

saludos

ms, 29-08-2007

Mensaje por **admin** » 29 Ago 2007, 15:06

mea culpa... soy yo el que conspira en la sombra...

Ya no deberias tener ningun problema para entrar, lo siento :wink:

Mensaje por **msc hotline sat** » 29 Ago 2007, 15:49

Pues mejor que te pongas que te toque el Sol :lol: :lol: :lol:

saludos

ms, 29-08-2007

chuseml · Mensaje por **chuseml** » 29 Ago 2007, 16:43

Hola,

ya puedo acceder de nuevo, gracias.

He eliminado la clave que me han dicho, y les he enviado por correo el fichero Icon.exe para que lo analicen.

Este es el nuevo log del HJT

Logfile of HijackThis v1.99.1

Scan saved at 15:48:09, on 29/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\system32\drivers\STDSB.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Chuse\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0

\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenla.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0

\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de

programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0

\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de

programa\enlaces.110mb\tbenla.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file

missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network

Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154299561196

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-

loc/mcfscan/2,2,0,5106/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4260D7C0-9502-4A4E-B9BA-CC029F49DA90}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Un saludo

Mensaje por **msc hotline sat** » 29 Ago 2007, 17:11

Ahora SATINFO ya está cerrado, pero mañana se analizarn las muestras y se implementaran soluciones para ellas.

De todas formas con la clave de registro eliminada, ya estará "aparcado" a partir del siguiente reinicio.

Mientras, puedes subir este fichero al VirusTotal y veremos de qué está infectado, por si fuera prudente hacer algo mas:

https://www.virustotal.com/es/

y nos posteas el resultado, gracias

saludos

ms, 29-08-2007

chuseml · Mensaje por **chuseml** » 30 Ago 2007, 00:23

Hola, aquí está el resultado:

Análisis del archivo icon.exe recibido el 29.08.2007 23:18:33 (CET)Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.8.29.0 2007.08.29 -

AntiVir 7.4.1.66 2007.08.29 -

Authentium 4.93.8 2007.08.29 -

Avast 4.7.1029.0 2007.08.29 -

AVG 7.5.0.484 2007.08.29 -

BitDefender 7.2 2007.08.29 -

CAT-QuickHeal 9.00 2007.08.25 -

ClamAV 0.91.2 2007.08.29 -

DrWeb 4.33 2007.08.29 -

eSafe 7.0.15.0 2007.08.29 -

eTrust-Vet 31.1.5093 2007.08.29 -

Ewido 4.0 2007.08.29 -

FileAdvisor 1 2007.08.29 -

Fortinet 3.11.0.0 2007.08.29 -

F-Prot 4.3.2.48 2007.08.29 -

F-Secure 6.70.13030.0 2007.08.29 -

Ikarus T3.1.1.12 2007.08.29 -

Kaspersky 4.0.2.24 2007.08.29 -

McAfee 5108 2007.08.29 -

Microsoft 1.2803 2007.08.29 -

NOD32v2 2490 2007.08.29 -

Norman 5.80.02 2007.08.29 -

Panda 9.0.0.4 2007.08.29 -

Prevx1 V2 2007.08.29 -

Rising 19.38.22.00 2007.08.29 -

Sophos 4.21.0 2007.08.29 -

Sunbelt 2.2.907.0 2007.08.25 -

Symantec 10 2007.08.29 -

TheHacker 6.1.9.175 2007.08.29 -

VBA32 3.12.2.3 2007.08.28 -

VirusBuster 4.3.26:9 2007.08.29 -

Webwasher-Gateway 6.0.1 2007.08.29 -

Información adicional

Tama?rchivo: 217088 bytes

MD5: bb860307a92b81ba86b49621ca510c96

SHA1: 7730816834c101a5ff255ade72eafa1dc426f66a

Mensaje por **msc hotline sat** » 30 Ago 2007, 09:37

Pues puede ser muy nuevo y que aun nadie lo detecte o que sea una falsa alarma

Lo hemos recibido, y esta mañana entrará en proceso y ya informaremos al respecto

saludos

ms, 30-08-2007

Mensaje por **msc hotline sat** » 30 Ago 2007, 11:45

Recibida la muestra , no vemos rutina viricas, pero ...

Tanto Castle Cops como Bleeping lo consideran malware:

http://www.bleepingcomputer.com/startups/icon.exe-2094.html

Por otro lado internamente indica ser driver de wireless ... ???

Implementamos su eliminacion en el ELISTARA de hoy 14.54, si al probarlo y eliminar dicho fichero, hubiera algun problema con el wireless, indiquenoslo para excluir dicha eliminacion, gracias

saludos

ms, 30-08-2007