Mi ISP dice que estoy mandando SPAM!!!! (SOLUCIONADO)

[Carla]

y amenaza con darme de baja la conexión...



Buenas... pues eso es lo que me pasa, parece ser que alguien utiliza mi conexión para mandar spam.



Tengo el Norton Antivirus, el Ad-Aware y el Outpost (estos dos ultimos instalados tras la amenza de mi ISP), todos ellos actualizados y no detectan nada. ¿como puedo comprobar lo si lo que dice mi ISP es cierto antes de que me corte la conexión????



Muchas gracias y un afectuoso saludo a todos.



Carla F.

[msc hotline sat]

Hay virus que instalan proxys para utilizar ordenadores victimas para enviar spams, pero ello lo controlan los antivirus a medida que los conocen, pero tambien hay servidores de correo que no tiene activado el antispam relay y ello permite el envio de spam a traves de los ordenadores a los que da servicio. Diganos si tiene servidor de correo propio o quien le da el servicio, y en tal caso si es su mismo ISP



Y posteenos el log del HJT y lo analizartemos en busca de algun servidor proxy:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 15-10-2006

[Carla]

Gracias por tu atencion... ahí va el contenido del archivo... absolutamente incomprensible para mi... :?







Logfile of HijackThis v1.99.1

Scan saved at 17:57:30, on 15/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Ahead\InCD\InCD.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .tif: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin6.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123262870660

O17 - HKLM\System\CCS\Services\Tcpip\..\{7948DC84-3D31-49BB-91CC-B18943DFE372}: NameServer = 195.5.64.2,195.5.64.6

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Creative Service for CDROM Access - Unknown owner - (no file)

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

[Carla]

Se me olvidaba.... no tengo servidor de correo propio ese sevicio me lo da mi ISP...

[msc hotline sat]

No se aprecia ningun servidor proxy con el que pudieran enviar remotamente pero vemos que utiliza servidores de correo de Arrakis...



Vuelva a lanzar el HJT pero habiuendo arrancado en modo seguro, luego reinicia en modo normal y nos postea el log



Veremos que no tenga algun rootkit que nos esconda claves, procesos y demas...



Por otro lado mientras miro quien es su ISP, no sea que los servidores de DNS no sean del mismo...



saludos



ms, 15-10-2006

[Carla]

Ufffffff ya esta... es que nosoy muy diestra en estás cosas....



Logfile of HijackThis v1.99.1

Scan saved at 18:29:49, on 15/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: LEC - {1DBAB667-A486-421e-AFE4-CF07DD0088E5} - C:\Archivos de programa\Power Translator\Applications\LEC IE Translation Extension.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [MMTray] "C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe"

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Ahead\InCD\InCD.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay

O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM\..\Run: [AnyDVD] "C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .tif: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin6.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123262870660

O17 - HKLM\System\CCS\Services\Tcpip\..\{7948DC84-3D31-49BB-91CC-B18943DFE372}: NameServer = 195.5.64.2,195.5.64.6

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Creative Service for CDROM Access - Unknown owner - (no file)

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

[msc hotline sat]

Tiene este servicio, es voluntario ???:



O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe



parece un traductor, pero...





y elimine esta clave:

(Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED)



R3 - Default URLSearchHook is missing





Y mire si su router permnanece inactivo cuando Vd no navega o por el contrario no para de parpadear idicando actividad...



saludos



ms, 15-10-2006

[Carla]

MUchas gracias....



Si el Power Translator es una aplicación que instalé yo en su dia... pero la puedo desinstalar porque no la utilizo.



Voy a ver si me año para borrar la clave que me has dicho.





La verdad es no he notado una actividad inusual en mi router mientras yo no navega ¿¿???



El problema de los spams podría se culpa de mi ISP??????



Gracias de nuevo por todo.

[msc hotline sat]

Si el servidor de correos no tuviera activado el antispam relay, podrían enviar spam a traves suyo, pero vamos, que cualquier empresa que da este servicio lo sabe !!!



No tendrá Vd wireless que le puedan usar su IP , aunque Vd no la use ???



saludos



ms,. 15-10-2006

[Carla]

Tengo wireless, pero no la utilizo. En la configuracion del router la tengo desactivada (de todas maneras en su dia le puse encriptación WEP y WPA, aunque ya le digo que está desactivada).



Ya he borrado la clave que me ha dicho.



Entonces, no ha visto nada extraño?????



Gracias de nuevo.



Carla.

[msc hotline sat]

Por si acaso, pregunteles si su serv¡dor de correo tiene activado el antispam relay, pero vamos ...



y voy a ver si tiene IP dinamica o fija, por que si es dinamica igual es otro asociado de ellos que usa ka misma IP en otros momentos...

[msc hotline sat]

Por si acaso, pregunteles si su serv¡dor de correo tiene activado el antispam relay, pero vamos ...



y voy a ver si tiene IP dinamica o fija, por que si es dinamica igual es otro asociado de ellos que usa ka misma IP en otros momentos...



Esta tarde estas saliendo siempre por la misma IP, asi que quizas es estática, y ello imoklicaria que solo tú (bueno tu linea) usais esta IP-



Pero tienes mas ordenadores conectados a esta linea ???



saludos



ms.15-10-2006

[Carla]

Ahora mismo acabo de enchufar el portatil por Wireless... para probar si me sigue funcionando el tema inalambrico... :) (parece que si)



La semana pasada mi cuñado conecto aqui su ordenador 2 dias.... a través de mi router uhhhhmmmmmmmmm... que coincide con los dias que mi ISP me dice que envié spam.... Caray a ver si llevo todo el fin de semana lipiando el PC y dandoos la lata... y ¿¿¿será que el ordenador de mi cuñado estaba chungo??????? :evil:

[msc hotline sat]

Pues a ver si es verdad... La cuestion es aclararlo y no deje conectar mas a su cuñado :lol: !!!



Que se registre en este foro y en un nuevo Tema postee el log HJT indicando su temor a ser propagador de SPAMs y lo analizaremos



En consecuencia damos este tema por solucionado y procedemos a cerrarlo



saludos



ms, 15-10-2006