recibo correos de admin@viagra.com (SOLUCIONADO)

[thefla]

Hace ya buen tiempo , estoy viendo que me paran enviando correos desde admin INTERCEPTADOviagra con el asunto: RE: Message 881859‏ , al comienzo solo los borraba, pero me seguian llegando, los marque como no deseado para k vayas defrente a esa carpeta, pero me di la sorpresa de que seguian los correos llegando a mi bandeja de entrada, y cada vez me llegan mas frecuente. Mi correo es de Hotmail y aqui les muestro como es que me llega dicho email, y todos son identidcos en su contenido:



asunto: RE: Message 881859‏

De: INTERCEPTADOEnviado: jueves, 02 de octubre de 2008 07:50:05 a.m.

Para: xxxxxxxxxx@hotmail.com



Dear INTECEPTADO Discount price store:INTERCEPTADOconfidential purchase, instant shipping worldwide.® 2001-2008 Pfizer Inc. All rights reserved.



Las xxxxxx es el nombre de mi correo, espero me puedan ayudar a saber la raiz de este problema . gracias

[lucl]

He interceptado las direcciones porque no esta permitido ponerlas. Pero quiero que sepas que esto tambien me pasa a mi y no entiendo porque. Me llegan a la carpeta de correo no deseado, y mas o menos como a ti. Supongo que sacan las direcciones de alguna cadena o similar. Ademas que si te das cuenta tampoco coincide del todo con tu direccion. Yo he mirado hace poco el pc y no tenia nada especial asi que sinceramente no se me ocurre gran cosa. Pero por si tu caso fuera distinto del mio prueba estos dos antitrojanos a ver si te encuentran algo y nos pegas el log de infosat.txt que tendras en C, saludos



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[msc hotline sat]

Son direcciones cogidas de suscripciones y mails enviados a otras webs, que no tienen muy entendido lo de la proteccion de Datos...



Esto es correo basura, o spam, y si quiere evitarlo instale un antispam como SPAMINA por ejemplo



Hay una trial para probarlo:



[url=http://www.satinfo.es/welcome-spamina.html][b][color=Darknesred]SPAMINA[/color][/b][/url]



saludos



ms, 2 de Octubre de 2008

[thefla]

Este es la copia del infosat no es muy alentador:





Thu Oct 02 13:33:51 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v17.10

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v17.10

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\AMVO0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CKVO.EXE.Muestra EliStartPage v17.10

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\CKVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CKVO0.DLL.Muestra EliStartPage v17.10

a "virus@satinfo.es". Gracias.

D:\WINDOWS\SYSTEM32\CKVO0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "amva"="D:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKCU\...\Run] "kamsoft"="D:\WINDOWS\system32\ckvo.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Oct 02 13:38:22 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 916

Nº Total de Ficheros: 17520

Nº de Ficheros Analizados: 4089

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 13:39:25 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7720

Nº Total de Ficheros: 76493

Nº de Ficheros Analizados: 17788

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 13:48:51 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\System Volume Information\_restore{F0253A56-C605-474F-A224-1ABB176F7CB2}\RP33\A0012280.EXE --> Eliminado, CrackAVNOD



Nº Total de Directorios: 6966

Nº Total de Ficheros: 66980

Nº de Ficheros Analizados: 16513

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Ante esto opte por una solucion alternativa, espero les sirva a uds.:

Abrir la bandeja de entrada de tu correo e ir a opciones

vas a opcion "remitentes seguros y bloqueados"

de ahi a "remitentes bloqueados"

y ahi escribir la direccion de correo..en mi caso admin@viagra.com escribirlo la direccion completa en el espacio en blanco

luego adicionarlo a la lista.

Saludos y gracias

[msc hotline sat]

Aparte de los correos spam que recibe, tiene dos variante del virus ONLINE GAME, del que existen tropecientas ...



Envienos estas muestras para analizar e implementaremos su control y eliminacion en el ELISTARA, de lo cual informaremos:



Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v17.10



Por favor, envienos una muestra del fichero

C:\Muestras\AMVO0.DLL.Muestra EliStartPage v17.10



Por favor, envienos una muestra del fichero

C:\Muestras\CKVO.EXE.Muestra EliStartPage v17.10



Por favor, envienos una muestra del fichero

C:\Muestras\CKVO0.DLL.Muestra EliStartPage v17.10





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y como que este virus se propaga por pendrive, es importante que vacune el ordenador y los pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 2 de octubre de 2008





NOTA y lo interceptar "viagra" limita solo los mails que lo contengan , y de spams hay de todo tipo, asi que esto es muy limitado, pero si le es suficiente... ms.

[thefla]

Muestras enviadas en un solo archivo rar de nombre muestras, ahi estan todos los archivos mencionados a enviar.. procedere a scanear nuevamente con las utilidades

[thefla]

Este es el informe del infosat una vez pasado las utilidades:





Thu Oct 02 17:36:55 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\WINDOWS\SYSTEM32\CKVO0.DLL.VIR --> Eliminado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 17:38:11 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7713

Nº Total de Ficheros: 76367

Nº de Ficheros Analizados: 17662

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 19:17:32 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 19:17:50 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 917

Nº Total de Ficheros: 17529

Nº de Ficheros Analizados: 4083

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 19:18:50 2008

EliStartPage v17.10 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7700

Nº Total de Ficheros: 76524

Nº de Ficheros Analizados: 17758

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 19:26:57 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MsConfig"="D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

No detectado SP3 de Windows XP



Thu Oct 02 19:27:03 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 917

Nº Total de Ficheros: 17524

Nº de Ficheros Analizados: 3747

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 19:27:50 2008

EliTriIP v5.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7699

Nº Total de Ficheros: 76521

Nº de Ficheros Analizados: 17305

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Al momento de pasarlos me detecto una vez mas algunos bichos de PSONline games, le paso mi log de hijackthis aver si hay algo raro.



Logfile of HijackThis v1.99.1

Scan saved at 07:34:45 p.m., on 02/10/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

D:\Archivos de programa\Bonjour\mDNSResponder.exe

D:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

D:\Archivos de programa\Eset\nod32krn.exe

D:\WINDOWS\system32\HPZipm12.exe

D:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

D:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

D:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

D:\ARCHIV~1\WINZIP\winzip32.exe

D:\Documents and Settings\DAVID.PC-BB3153E4880D\Configuración local\Temp\HijackThis.exe

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [nod32kui] "D:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Windows Live Search - res://D:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: d:\archivos de programa\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220034674234

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B10F628-12EA-4B0C-83D4-37EB15F33F40}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B10F628-12EA-4B0C-83D4-37EB15F33F40}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS2\Services\Tcpip\..\{1B10F628-12EA-4B0C-83D4-37EB15F33F40}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - D:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Apple Mobile Device - Apple Inc. - D:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - D:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - D:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NBService - Nero AG - D:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - D:\Archivos de programa\Nero\Nero 7\InCD\NBHRegInCDSrv.exe (file missing)

O23 - Service: NMIndexingService - Nero AG - D:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - D:\Archivos de programa\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe



Gracias y a sus respuestas

[msc hotline sat]

HJT está limpio y el infosat ya ha hecho limpieza de lo conocido, hoy implementaremos el control y eliminaciuon de las muestras que recibamos.



Vemos que entre los dos informes ya actualizó los parches, asi que estamos en la recta final



Recuerde que tras limpiar lo que haya con el nuevo ELISTARA, debe evitar ejecutar o abrir cualquier fichero llegado por mail no solicitado, aunque fuera de una direccion conocida, ni pinchar sobre el mail (imagen o contenido) ni sobre ningun link... Porque es como posiblemenmte le entraron estos virus.



Y suponemos que ya ha vacunado con el ELIPEN el ordenador y los pendrives, ya que es la otra vía de infeccion de esta familia...



saludos



ms, 3 de OCTUBRE DE 2008

[thefla]

Ok..gracias por su atencion.

[msc hotline sat]

Con la actual version 17.11 del ELISTARA ya se controlan las muestras recibidas:



Mon Oct 06 09:19:14 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\

A:\CKVO.EXE.MUESTRA ELISTARTPAGE V17.10 --> Eliminado, PWS-OnLineGames.CKVO

A:\AMVO0.DLL.MUESTRA ELISTARTPAGE V17.10 --> Eliminado, PWS-OnLineGames.AMVO

A:\AMVO.EXE.MUESTRA ELISTARTPAGE V17.10 --> Eliminado, PWS-OnLineGames.AMVO

A:\CKVO0.DLL.MUESTRA ELISTARTPAGE V17.10 --> Eliminado, PWS-OnLineGames.CKVO



Descarguela y tras probarla vea que ya se eliminan hasta dichas muestras



Con ello damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo ya sabe donde estamos



saludos



ms, 6-10-2008