Virus no detectable?

[Mastropiero]

Buenas,



a ver qué alma caritativa me echa una mano.



Tengo un virus en el equipo que no es detectado por ningún antivirus (NOD32, KAV, McAfee, etc.).



Dectecté el virus porque con un monitor de tráfico de red vi que mi PC está enviando spam masivo hacia afuera (viagras y demás). El proceso que genera el tráfico es el "services.exe". He repasado todos los servicios instalados en el sistema y no hay ninguno desconocido ni extraño.



Otro problema colateral es que desde que está el bicho, no me deja iniciar el XP en "Modo seguro", por lo que no puedo hacer un escaneo a fondo en todo tipo de objetos.



¿Alguna idea?



Gracias por adelantado.

[lucl]

Pasa elistara y peganos el log que te dejara en C infosat.txt, despues de hacer esto ejecuta hijackthis y nos pegas el log para ver que procesos tienes y a ver si el que no te deja arrancar en modo seguro es alguno conocido y le damos matarile de golpe, te dejo links de descarga, saludos



http://www.zonavirus.com/descargas/elistara.asp





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[msc hotline sat]

Muy significativo lo de que no puedes arrancar en modo seguro...



Aparte de enviarnos lo indicado por lucl, prueba el ELIBAGLA:





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 8-11-2007

[Mastropiero]

Buenas,



gracias por vuestra rápida respuesta. No creo que sea el StartPage ni el Blagger, ya que la página de inicio no ha sido modificada (y no uso IE de todos modos).



No obstante, os pego aquí el satinfo.txt y el log del HijackThis!:



--------------------------------------------------



Thu Nov 08 13:30:36 2007

EliBagle v10.67 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network"



Thu Nov 08 13:30:57 2007

EliBagle v10.67 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6802

Nº Total de Ficheros: 68125

Nº de Ficheros Analizados: 10518

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 08 13:46:30 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

----------------------------------------------------





Logfile of HijackThis v1.99.1

Scan saved at 13:57:36, on 08/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

C:\windows\system32\vmnat.exe

C:\windows\system32\vmnetdhcp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe

C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Apoint2K\Apoint.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Webcam Recorder\ml20gui.exe

C:\Archivos de programa\TOSHIBA\Bluetooth Monitor\BtMon2.exe

C:\Archivos de programa\Apoint2K\Apntex.exe

C:\ARCHIV~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\mstsc.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\mstsc.exe

C:\Archivos de programa\Far\Far.exe

C:\Archivos de programa\Far\Far.exe

C:\Archivos de programa\Far\Far.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\jam\CONFIG~1\Temp\Rar$EX00.797\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=sv_hcg:8000

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.60.1;192.168.30.1;

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\windows\system32\yhfhhuki.dll (file missing)

O2 - BHO: (no name) - {5E24DCA2-8A24-41E5-9BEC-454C38390AE5} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {86C77A3D-7EF1-4B9A-98C6-35D24D051DE6} - (no file)

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSN Webcam Recorder] "C:\Archivos de programa\MSN Webcam Recorder\ml20gui.exe" -silent

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Bluetooth Monitor.lnk = ?

O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Archivos de programa\Cisco Systems\VPN Client\vpngui.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoteles-silken.com

O17 - HKLM\Software\..\Telephony: DomainName = hoteles-silken.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoteles-silken.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoteles-silken.com

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: winszr32 - winszr32.dll (file missing)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: BOINC - Unknown owner - C:\Archivos de programa\BOINC\boinc.exe" -daemon (file missing)

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\windows\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Archivos de programa\Archivos comunes\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\windows\system32\vmnat.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe







Gracias y saludos.

[lucl]

¿No te falta parte del analisis del elistara? El de exploracion no se ve en el log, mira de pasarlo de nuevo y cuando te salga el cuadro explorar picas en el y nos pegas el log, luego ejecuta hijackthis y peganos el nuevo log gracias, saludos

[msc hotline sat]

Sí, no parece que hayas pasado la EXPLORACION del ELISTARA, o al menos no posteaste dicha parte.



Si no has hecho la exploracion, hazla y luego nos posteas de nuevo el infosat para ver el resultado



Sobre el log del HJT puedes eliminar estas claves:



O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\windows\system32\yhfhhuki.dll (file missing)



O2 - BHO: (no name) - {5E24DCA2-8A24-41E5-9BEC-454C38390AE5} - (no file)



O2 - BHO: (no name) - {86C77A3D-7EF1-4B9A-98C6-35D24D051DE6} - (no file)



O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)



O20 - Winlogon Notify: winszr32 - winszr32.dll (file missing)





y aunque no sea Bagle o troyano controlado por el ELISTARA, decirte que los Bagle no cambian la pagina de inicio y otros miles de troyanos que detecta el ELISTARA tampoco, asi que no por ello puede excluirse...



y la restauracion de esta clave parece ser un Bagle mal eliminado:


[quote]Thu Nov 08 13:30:36 2007

EliBagle v10.67 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurada Clave: "SafeBoot\Minimal y Network" [/quote]

Es por ello que no podía arramcar en modo seguro, cosa que ahora sí puede. Parece que tuvo un Bagle el cual fue eliminado pero dejaron de rstaurar la modificacion de esta clave...





Tras el infosat resultante de la exploracion con el ELISTARA, procederemos en cosecuencia.



saludos



ms, 8-11-2007

[Mastropiero]

[quote="lucl"]¿No te falta parte del analisis del elistara? El de exploracion no se ve en el log, mira de pasarlo de nuevo y cuando te salga el cuadro explorar picas en el y nos pegas el log, luego ejecuta hijackthis y peganos el nuevo log gracias, saludos[/quote]

En efecto no me dejó, porque faltaba algún parche de WindowsUpdate. Tras actualizar lo he vuelto a pasar y ha borrado varios archivos. Me preocupa el que podría ser un falso positivo (me ha borrado una DLL del Delphi que tengo instalado):



Thu Nov 08 16:30:59 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Nov 08 16:32:01 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Eliminado, Affilred (BHO)

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass



Nº Total de Directorios: 7153

Nº Total de Ficheros: 69730

Nº de Ficheros Analizados: 16713

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5

[msc hotline sat]

Hasta Moviepass tenía !!!




[quote]Thu Nov 08 16:32:01 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Borland\Delphi7\Bin\EXPTDEMO.DLL --> Eliminado, Affilred (BHO)

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\IGFXPPH.DLL --> Eliminado, NetNucleus(BHO/TB)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpdeskjet_f300_seriedfce\HPZ3A054.DLL --> Eliminado, MoviePass [/quote]



Bueno, eliminados todos estos troyanos, cuentanos si tras reiniciar persiste algun problema, gracias



saludos



ms, 8-11-2007

[Mastropiero]

[quote="msc hotline sat"]
Bueno, eliminados todos estos troyanos, cuentanos si tras reiniciar persiste algun problema, gracias
[/quote]

Las gracias os las tengo que dar a vosotros!



Pues en realidad, se ha solucionado parcialmente.



Ahora me deja arrancar en modo seguro, pero si lo intento en el modo seguro con consola de recuperación, me arranca un CMD.EXE dentro del GUI, en lugar de la consola pura y dura.



Por otro lado, aunque hemos quitado otras cosas que estaban "mal curadas", el bicho principal que propició mi consulta sigue estando vivito y coleando, ya que al usar el Ethereal veo claramente cómo mi PC envía mil e-mails por segundo con spam a otras mil direcciones de e-mail de medio mundo.



O sea, que tengo el PC convertido en Zombie.



¿Alguna otra sugerencia?

[msc hotline sat]

Si el servidor de tu correo no tiene control de ANTISPAM RELAI pueden enviar mails de spam a traves tuyo, pero esto es tu servidor de correo quien ha de impedirlo.



Con un Netstat -a verá las comunicaciones y con el FPORT podrás ver las aplicaciones que intervienen.



http://www.foundstone.com/us/resources/proddesc/fport.htm



Descargate dicha utilidad, que es gratuita, a ver si ves algo, pero tu problema viene por el servidor de correo que no tiene control ANTISPAM, habla con ellos.





E instala un buen antivirus, como McAfee, Norton, etc, que tienen control de envios masivos de mails y asi evitan estos casos.





saludos



ms, 8-11-2007

[Mastropiero]

[quote="msc hotline sat"]Si el servidor de tu correo no tiene control de ANTISPAM RELAI pueden enviar mails de spam a traves tuyo, pero esto es tu servidor de correo quien ha de impedirlo. [/quote]

Me temo que no es el caso; en este PC no existe ningún correo configurado (ni cliente, ni servidor), e incluso con el PC [b]desconectado de la red[/b] sigue existiendo el intento de envío masivo (lo cuál se detecta con netstat y con wireshark).



Haciendo un netstat -a -b -v observo que el ejecutable que intenta hacer el envío es [b]services.exe[/b]. Sé que hay algunos virus que usan ese nombre de ejecutable, pero el de mi máquina es el original (comparado byte a byte con el del CD de instalación).



Pensé por tanto que podía ser algún bicho instalado como servicio, pero los he repasado todos, y nada de nada.



Empiezo a perder la esperanza de arreglar este problema... :-(



Saludos.

[msc hotline sat]

Pues si no usas correo en esta máquina,. cierra el port SMTP 25 y evitaras el spameo.



http://foros.softonic.com/showthread.phtml?t=2205



Está claro que te están utilizando remotamente... Tienes cortafuegos ??? aunque sea un de software, instala algo como zonealarm, outpost, etc (y a ser posible por hardware, claro)



saludos



ms, 8-11-2007

[Mastropiero]

[quote="msc hotline sat"]
Está claro que te están utilizando remotamente... Tienes cortafuegos ??? aunque sea un de software, instala algo como zonealarm, outpost, etc (y a ser posible por hardware, claro)
[/quote]

¿Pero cómo van a estar usándome remotamente con el PC desconectado de Internet y de cualquier red local?????



Saludos.

[msc hotline sat]

Buena pregunta...



No tienes en este equipo wireless y se te conecta a alguna fuente wifi sin saberlo ???



Oye, como va a enviar estos mails si no tiene conexion a internet, ... y si se desconecta y sigue preparando envios es por las ordenes recibidas cuando estaba conectado.



Haberlas hailas, pero ...



saludos



ms, 8-11-2007

[msc hotline sat]

Por cierto, aunque el ELISTARA debería detectar la falta de algun parche de los que puntualmente miramos si estan instalados ... pero lanza un windowsupdate, ya que lo del SERVICES.EXE es una vulnerabilidad conocida que está corregida.



saludos



ms, 8-11-2007

[Mastropiero]

Oye, como va a enviar estos mails si no tiene conexion a internet, ... y si se desconecta y sigue preparando envios es por las ordenes recibidas cuando estaba conectado.

Haberlas hailas, pero ...

Pues sencillo, porque he hecho la prueba con la ayuda de VMWARE de hacer creer al bicho que está conectado a Internet (creando un servidor http "trampa" con la misma IP que la que él usa para descargarse la lista de direcciones a spamear, en concreto la 208.72.169.15 o algo parecido).

Al obtener un 404 de dicha IP falsa (la de mi VmWare), intenta conectar con otras cuántas (que no existen), y finalmente se pone a resolver registros MX de un montón de nombres de dominio (supongo que los que tiene en caché), y a intentar abrir conexiones al puerto 25 a saco.

Este tinglado lo monté para intentar hacer una traza de cómo el bicho obtiene las direcciones de e-mail, y entonces es cuando descubrí que aunque no haya Internet, el animalito sigue ahí.

Creo que al final tendré que llevarlo a que le hagan un ritual vudú

[msc hotline sat]

pues cuidado con el vudú ! No me gustaría que se tuviera que recurrir a ello...

Está claro que obedece instrucciones recibidas, sino las está recibiendo "en directo"

Lo mas lógico es tener un antivirus residente, y me consta que Norton y McAfee equipan sistema de bloqueo de envio de mails masivos (antispameo y antivirus masivo por e-mail)

Con el FPort, que es de Foundstone, empresa de seguridad absorvida por McAfee, puede que veas la aplicación que está participando en dicho envio:

http://www.foundstone.com/us/resources/ ... /fport.htm


Si puedes, envianosla y la analizaremos, a ver si asi la podemos controlar en el futuro

viewtopic.php?f=2&t=45334


y entre los antivirus y ello, a ver si logramos controlar tu "zombie" sin tener que aplicarle vudú

saludos

ms, 9-11-2007