Problema conexión/SPAM (SOLUCIONADO)

sisifusss · Mensaje por **sisifusss** » 31 Ago 2006, 10:15

Buenas...

Tengo el siguiente problema: me va muy lenta la conexión, producto de que tengo la "subida" todo el tiempo ocupada al tope. Días atrás, el Norton me bloqueaba intentos de mandar mails a direcciones aleatorias. Borré el Norton, el cual tenía desactualizado e instalé el NOD32, con el cual hice el escaneo. También pasé el Spybot, el ad-aware, y el HijackThis.

Cuando hago un netstat, me encuentro con decenas de servidores de mail...

Resumiendo, no tengo idea de cómo sacarme esto de encima :roll:

Les dejo mi log del hijack.

Un gran saludo, y mis gracias a priori.

------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 4:45:41, on 31/08/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\maxi\CONFIG~1\Temp\Rar$EX00.453\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [rpcc] rpcc.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/es/win/QuickTimeInstaller.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/23e5351d7b2ae0e2e005/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118414342953

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ECC0308C-7690-4064-A62A-EDFE8D873B54}: NameServer = 200.40.30.245 200.40.220.245

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: TrueVector Basic Logging Client (minilog) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\minilog.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

sisifusss · Mensaje por **sisifusss** » 31 Ago 2006, 11:19

Pues nada, a simple vista, parecería que el problema está en:

O4 - HKLM\..\Run: [rpcc] rpcc.exe

Aunque no he podido encontrar el susodicho archivo...

Mensaje por **msc hotline sat** » 31 Ago 2006, 11:28

Ante todo actualice los parches de microsoft, que le faltan todos los del SP2 y posteriores, Lance un windowsupdate !!!

Luego, si estuviera enviando spam, sería su servidor de correo el culpable, por no tener el antispam relay activado, pero no sé si envía o no spam, lo que sé es que tiene un malware instalado en el registro !!!:

http://www.sophos.com/virusinfo/analyses/trojdloadrael.html

info en advanced de dicha pagina:

[quote="Sophos"] Troj/Dloadr-AEL

Trojan

Summary

Summary Description Recovery Advanced Prevalence: low high

Name Troj/Dloadr-AEL

Type Trojan

Affected operating systems Windows

Side effects Downloads code from the internet

Installs itself in the Registry

Protection Download virus identity (IDE) file

Protection available since 27 April 2006 20:38:12 (GMT)

Detected by All versions of Sophos Anti-Virus

Included in our products from June 2006 (4.06)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files

Description

Summary Description Recovery Advanced This section helps you to understand how it behaves

Troj/Dloadr-AEL is a Trojan for the Windows platform.

Troj/Dloadr-AEL includes functionality to access the internet and download further malicious code.

Recovery

Summary Description Recovery Advanced This section tells you how to remove the threat.

Please follow the instructions for removing Trojans.

Advanced

Summary Description Recovery Advanced This section contains the description and advanced technical information

Troj/Dloadr-AEL is a Trojan for the Windows platform.

Troj/Dloadr-AEL includes functionality to access the internet and download further malicious code.

When first run Troj/Dloadr-AEL copies itself to <Windows system folder>\rpcc.exe and creates the following registry entry in order to run itself on startup:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

rpcc

rpcc.exe

|Get reports on the latest virus threats delivered to your computer

© 1997-2006 Sophos Plc. All rights reserved. Legal | Privacy | RSS and Atom feeds
[/quote]
que lanza en esta clave:

O4 - HKLM\..\Run: [rpcc] rpcc.exe

la cual debe eliminar lanzando el HJT, marcando la casilla de la izquierda de dicha clave y pulsando en FIX CHECKED

Vea si con lo indicado deja de enviar correos y sino, hable con su proveedor ISP o con quien tenga contratado el servidor de correo y qie active el antispam relay, y si es un servidor de correo intermo de vds, apliquese el cuento !

saludos

ms, 31-8-2006

Nota: Mas bien son las dos cosas, pues el malware no es un virus sino un troyano downloader, que logicamente no se propaga a través de mails, asi que solucione los tres problemas. (parches, downloader y spam)

Mensaje por **admin** » 31 Ago 2006, 11:30

fixea estas entradas en modo seguro

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [rpcc] rpcc.exe

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/es/win/QuickTimeInstaller.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/23e5351d7b2ae0e2e005/netzip/RdxIE601_es.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: TrueVector Basic Logging Client (minilog) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\minilog.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

sisifusss · Mensaje por **sisifusss** » 31 Ago 2006, 12:18

Buenas...

Prácticamente se ha solucionado, por lo cual les agradezco enormemente.

Tomo nota del windows update.

¡Un abrazo!

Mensaje por **msc hotline sat** » 31 Ago 2006, 12:19

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 31-8-2006