Conexiones al puerto 25 de maquinas remotas (Solucinado)

[stoker]

Hola a todo el foro

He llegado hasta aqui buscando solución a un problema que me ha surgido en un PC de un compañero por lo que es mi primer post.

He hecho una busqueda, he encontrado problemas parecidos pero no idénticos.

El ordenador trabajaba bien hasta que el miercoles pasado le instalaron una ADSL (1 Mb), el SO es WinXP Pro SP1.

Me imagino que ya estaría infectado y al detectar conexión empezó el problema, internet iba muy lento, prácticamente no se podía navegar.
Miré la conexiones con netstat y vi que había muchas que se intentaban conectar al puerto 25 de maquinas remotas, en unos instantes se lanzaban mas de 100 conexiones siempre al port 25 (SMTP).

Ademas el Winspyware 2006 intentaba analizarlas todos y colapsaba la máquina.

Quite el Winspyrare y le pasé el Norton 2006 que no encontró nada, desinstalé el Norton (no costó ni nada parar el LiveUpdate para poder desinstalarlo ) e instalé el NOD32, actualizé las firmas e hice un scan, no encontró nada.

Miraba el administrador de procesos y no veia nada sospechoso, mire la carpeta Inicio, repasé los servicios por si habia alguno de sospechoso y nada. Borré las 2 entradas que habia en HKLM/Software/Microsoft/Windows/Current Version/Run
miré en HKCU/Software/Microsoft/Windows/Current Version/Run solo habia una entrada (messenger) reicicié y todo siguió igual, la luz del router no paraba de parpadear.

Al final identifiqué el proceso que realizaba los envíos con un netstat -nao, resultó ser el winlogon.exe, pense que no seria el original pero busque en toda la unidad C: y solo encontré uno, luego pensé que igual algun virus lo habia modificado, baje el SP2 desde mi casa y se lo instalé, el fichero winlogon.exe se sobreescribió con la nueva versión, reicicié y nada, más de lo mismo.
He leido que hay dlls que se inyectan en procesos de sistema (como el winlogon.exe) pero aqui ya no se como evitarlo, intenté pasarle un antivirus online http://www.kaspersky.com/virusscanner
pero fué totalmente imposible por tener la conexión totalmente colapsada con los envíos del virus.

pensé en instalar un cortafuegos pero esto no soluciona el problema, solo evita las consecuencias, ademas ya llevabamos bastantes horas y no nos quedaba más tiempo. deje el pc desconectado de internet y este sábado volvere a pelarme con el, con alguna solución de este estupendo foro espero


Y perdón por el tocho y por no poner el log del HJT ya que se me olvidó guardarlo y ahora no tengo acceso al PC.

Saludos

[msc hotline sat]

El TCP 25 es el que permite enviar mails por SMTP, y su uso masivo es señal que tiene un virus de mail que está enviando mails por doquier o que le han instalado un proxy y están enviando spam a través de su maquina

Evidentemente las dos cosas son malas, pero la segunda le puede afectar mas ya que de no solucionarlo le pondrán en lista negra a su IP y habrá problema en la recepción de sus mails...

Por parte de los receptores a los que les envía dichos mails, también es perjudicial,. por poder recibir un gusano en los mails, como por la recepción de correo basura si se trata de solo spam, que también puede llevar "regalo".

Tan pronto pueda posteenos log del HJT para poder ayudarle :

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 2-10-2006

Nota: cpon la versión 8.0i de McAfee ya incorpora un control de los clientes de correo que pueden enviar mails por el port 25 y los que no están registrados como validos, denegar el acceso por dicho SMTP, para evitar estos envíos indeseados

[stoker]

muchas gracias por la rápida respuesta

en cuanto pueda les pego el log del HJT



de que sea el c:\windows\system32\winlogon.exe quien envia no da ninguna pista?

[msc hotline sat]

No, vea que en todos los logs del HJT está residente el :\windows\system32\winlogon.exe ya que es del sistema

Esperamos postee su log, aparte podría lanzar este AV ONLINE pore ai guera un nuevo gusano que instalara un proxy, como hacen las ultimas variantes del Bagle

Antivirus ONLINE aconsejado

Y puestos a pedir, lance el ELIBAGLA que hay Bahles aun no controlados por los antivirus: http://www.zonavirus.com/descargas/elibagla.asp

saludos
ms, 2-10-2006

[msc hotline sat]

No, es el del sistema, como vera en todos los logs del HJT

Pero por si se tratara de un nuevo BAGLE que instala un proxy y pruebe el ELIBAGLA e informemos del resultado, gracias

Y si no hay nada nuevo, posteenos el log del HJT

saludos
ms, 2-10-2006

[stoker]

Bueno, al final lo he podido solucionar aunque no se exactamente como debido a la cantidad de pruebas diferentes realizadas (unas nueve horas en total)

Lo que creo que me ha solucionado el problema es:

Empezé por instalar el Sygate Personal Firewall para detectar y bloquear los procesos que se conectaban y asi tener conexión a Internet.
Luego pasé el RootkitRevealer no detecto nada
El Kaspersky Scaner Online detecto algun dialer pero nada que se relacionase con el problema
Pase el Elistara, (lo siente, me he olvidado el log)
El virus se seguia conectando
Luego también descubrí el archivo holdapi.dll y lo eliminé con la utilidad VundoFix que encontré en esta página
http://forums.techguy.org/security/4334 ... sp2-i.html
Con ProcessExplorerNt de Systernals descubri que proceso se conectaba, era el wmiprvse.exe[/] (era subproceso de svchost.exe)
Detecte tres cópias del archivo pero una tenia diferente tamaño, los borré todos y en C:\Windows\System32\wbem puse una copia del archivo de otro PC
Detecte una carpeta la unidad C sospechosa con 9 DLLs de identico tamaño dentro (C:\WINLOGON), las mismas DLLs estaban en C:\Windows\System32, borré las de la carpeta winlogon y la puse como solo lectura, tambien borré las de System32, creé 9 carpetas con idéntico nombre y las marqué como solo lectura.

a partir de aqui el router dejó de parpadear a toda máquina y se acabaron las conexiones al port 25 (SMTP)

ahi la el log del HJT

Código: Seleccionar todo

 Logfile of HijackThis v1.99.1
Scan saved at 9:44:23, on 08/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
[code]C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe
D:\Drivers\spybot\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {B235EA17-31DD-4E68-8B59-C0F72F592ED3} - C:\WINDOWS\system32\dhdryoda.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?dbd6dcf545564189a1752602ce7cd120
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?dbd6dcf545564189a1752602ce7cd120
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159702494531
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B835BBBA-9401-49A0-8AC1-E4EF3EAE58FB}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: etcriwdd - C:\WINDOWS\SYSTEM32\etcriwdd.dll
O20 - Winlogon Notify: fadlynuo - C:\WINDOWS\SYSTEM32\fadlynuo.dll
O20 - Winlogon Notify: jxuqrkoa - C:\WINDOWS\SYSTEM32\jxuqrkoa.dll
O20 - Winlogon Notify: jyynmfqf - C:\WINDOWS\SYSTEM32\jyynmfqf.dll
O20 - Winlogon Notify: mknbeteq - C:\WINDOWS\SYSTEM32\mknbeteq.dll
O20 - Winlogon Notify: nwpflucx - C:\WINDOWS\SYSTEM32\nwpflucx.dll
O20 - Winlogon Notify: uvlgaxff - C:\WINDOWS\SYSTEM32\uvlgaxff.dll
O20 - Winlogon Notify: vcokfsjo - vcokfsjo.dll (file missing)
O20 - Winlogon Notify: xhrkyoje - C:\WINDOWS\SYSTEM32\xhrkyoje.dll
O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: NVWM - Unknown owner - C:\DOCUME~1\Esther\CONFIG~1\Temp\NVWM.exe (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\UltraVNC\WinVNC.exe" -service (file missing)

He pasado los dos exes y una dll por Kaspersky File Scanner y Virus total
Kaspersky no ha detectano nada
VirusTotal solo cuantro motores encuentran algo en la DLL
DrWeb 4.33 08.10.2006 Trojan.Spambot
NOD32v2 1.1794 06.10.2006 a variant of Win32/TrojanProxy.Agent.JZ
Panda 9.0.0.4 07.10.2006 Suspicious file
VBA32 3.11.1 08.10.2006 suspected of Malware.Agent.18[/code]

Si queréis os envió las DLLs i los wmiprvse.exe por si queréis echarles un vistazo

Saludos

[msc hotline sat]

Si claro, siempre puede ser útil a otro forero en su mismo caso o a Vd mismo en un futuro...

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y así podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

gracias

saludos
ms, 9-10-2006