MI PC NO PARA DE ENVIAR CORREOS (SOLUCIONADO)

[kabuto1000]

Hola a todos,

mi problema es el siguiente:



Mi pc no para de enviar correos a diestro y siniestro.



Me he dado cuenta de esto, porque el Panda, que es el que tengo instalado, me sale continuamente con una lupita moviendose, diciéndome, "analizando correo". También noto que mi router está continuamente parpadeando. Además, los de timofónica, que tengo el adsl con ellos, me han mandado una carta diciendo que han recibido quejas de usuarios, que desde mi pc supuestamente dicen, está saliendo spam hacia ellos.



Necesito ayuda por favor, a ver qué puedo hacer para evitarlo.



Gracias.

[lucl]

hola, a ver mira, bajate el spybot , lo actualizas y lo pasas, y pasa tambien el elistara, eso de momento, olvidate del panda, si hay algo chungo igual no puede hacer nada ya. pasate un antivirus on line , te dejo los links y luego nos cuentas paso a paso los resultados.



antivirus aconsejado



https://www.eset.es/analisis-online/



spybot (actualizalo bien primero )



http://www.zonavirus.com/descargas/spybot-sd.asp



elistara



http://www.zonavirus.com/descargas/elistara.asp



copiar pegar y nos pones los resultados que te de todo. suerte y nos cuentas, saludos.

[msc hotline sat]

Puede que tengas una maquina zombi que esten utilizando remotamente para enviar spam.



Posteanos log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 16-01-2007

[kabuto1000]

Este es el resultado. Gracias por todo.







Logfile of HijackThis v1.99.1

Scan saved at 21:50:56, on 16/01/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\j2re1.4.2_09\bin\jusched.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Lexmark 2300 Series\lxcgmon.exe

C:\Archivos de programa\Lexmark 2300 Series\ezprint.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe

C:\WINDOWS\System32\lxcgcoms.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\JUAN ALBERTO\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_09\bin\jusched.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Archivos de programa\Lexmark 2300 Series\lxcgmon.exe"

O4 - HKLM\..\Run: [EzPrint] "C:\Archivos de programa\Lexmark 2300 Series\ezprint.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Call of Juarez

O4 - HKLM\..\Run: [Windows Services] "C:\Archivos de programa\svchosts.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SuperAdBlocker] C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe

O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - Global Startup: BlueSoleil.lnk = ?

O8 - Extra context menu item: Add banner url(s) to AdsCleaner - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_banner.htm

O8 - Extra context menu item: Add selected links to Link Container - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_collector_sel.htm

O8 - Extra context menu item: Bookmark all links in AdsCleaner - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_all.htm

O8 - Extra context menu item: Bookmark selected link(s) in AdsCleaner - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_sel.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open all links in new windows - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_open_all.htm

O8 - Extra context menu item: Open selected link(s) in new windows - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_open_sel.htm

O8 - Extra context menu item: Say to AdsCleaner Team about banner - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_report_ad.htm

O8 - Extra context menu item: Show domain links - C:\Archivos de programa\SoftInform\AdsCleaner Professional\System\Scripts\off_domain_links.htm

O16 - DPF: Proyec - http://www.kalgan.net/Recoletos.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{158D66BB-71B3-4881-948E-C507A529E002}: NameServer = 85.255.116.126,85.255.112.119

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E952350-877C-419F-8A3D-C176911E606E}: NameServer = 85.255.116.126,85.255.112.119

O17 - HKLM\System\CCS\Services\Tcpip\..\{750157DA-9E5B-42DD-8827-C23F8BA5C85D}: NameServer = 85.255.116.126,85.255.112.119

O17 - HKLM\System\CCS\Services\Tcpip\..\{92BCBFEF-5438-44D6-96BF-90FB76484C8D}: NameServer = 85.255.116.126,85.255.112.119

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.126 85.255.112.119

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: SABWinLogon - C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL

O21 - SSODL: CDRecorder029 - {A3BC5E20-0235-1ABF-9CE1-00AA00512029} - C:\WINDOWS\System32\mihfn32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: lxcg_device - - C:\WINDOWS\System32\lxcgcoms.exe

O23 - Service: Super Ad Blocker Service (SABSVC) - SuperAdBlocker.com - C:\Archivos de programa\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE

[Nuker]

Pues asi de simple vista no le encontre yo nada grave espere a MSC ya que el tiene mas experiencia en HJT. Y comentenos como sigue su pc. Gracias.

[msc hotline sat]

Pues va de leccion, Nuker:



Mira la version del XP: SP1, e igual IE, claro !!!



_____



Mira esta clave que carga un SVCHOSTS con S final y ademas desde fuera de la carpeta de sistema !



O4 - HKLM\..\Run: [Windows Services] "C:\Archivos de programa\svchosts.exe"



____



Mira los O17, son servidores de DNS de Ukraina !!!





_____





Esto es muy raro: O21 - SSODL: CDRecorder029 - {A3BC5E20-0235-1ABF-9CE1-00AA00512029} - C:\WINDOWS\System32\mihfn32.dll



hay que investigar esta DLL: mihfn32.dll



________





mira, empezar por enviarnos esta DLL, pues cinco letras aleatorias seguidas del 32 podria ser una variante de alhun Fake Alert, SmitFraud o similar



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 17-01-2007

[kabuto1000]

Ya os he enviado esa librería, a ver que podemos hacer. Espero vuestra ayuda.



Gracias.

[msc hotline sat]

En cuanto entremos a trabajar entrará en proceso e informaremos



Aparte ve corrigiendo lo del servidor de DNS...



Tienes como servidores de DNS unos de UKRAINA considerados maliciosos:



DNS Server ukraina malicious: 85.255.116.126, UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company 85.255.112.119UA Ukraine 07 Kharkivs\\\'ka Oblast\\\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp







y sobre lo de los parches: FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.









y para lo del SVCHOSTS y otras hierbas, prueba ESTAS UTILIDADES:







ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 18-01-2007

[kabuto1000]

Gracias mil.



Gracias a vuestra ayuda y a la de otro "experto" en la materia he eliminado el bicho. Ahora me queda actualizar el XP.



Gracias de verdad.

Un saludo.

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 18-01-2007

[msc hotline sat]

Aun tras estar ya cerrado el Tema, como que hemos recibido la muestra de la DLL sospechosa: mihfn32.dll , vemos al analizarla que se trata de un SPAMTOOL que integra un Rootkit, y que nos oculta cualquier entrada del registro, no solo en edicion, sino incluso en lectura del mismo ...



No sé si entre las cosas que hizo con su amigo eliminó la clave de carga, pero si tyodavia está, mire de eliminarla, aunque nosotrps trabajaremos para implementar su conrol y eliminacion en la proxima version del ELISTARA:



O21 - SSODL: CDRecorder029 - {A3BC5E20-0235-1ABF-9CE1-00AA00512029} - C:\WINDOWS\System32\mihfn32.dll



Y posteanos el contenido del C:\infosat.txt, a ver si se eliminó el SVCHOSTS y compruebe que en las O17 ya no figuran los servidores de DNS de Ukraina 85.255.xxx.xxx, sino seguirá estando en sus manos ...



saludos



ms, 22-01-2007

[msc hotline sat]

Si todavia tiene este fichero SVCHOSTS.EXE de:



"C:\Archivos de programa\svchosts.exe"



envienoslo, pues con S final y en esta carpeta, no tenemos conocimiento y posiblemente no se haya eliminado





recuerde : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 22-01-2007