el problema empezó asi
hace un par de semanas hice doble clic en un ejecutable que enseñaba a protejerse de los ataque DoS
que bajé con el emule
y nada pasó, me pareció algo extraño
pero no le di mas atencion

a los pocos dias me doy cuenta de que mi servidor de correo esta siendo tomado (desde dentro de mi pc) para mandar correo basura a cientos de direcciones de dominios extraños

aclaro que yo utilizo un programa como servidor de correo Ocloud Software
es muy practico para mi, ya que uso muchas aplicaciones que necesitan mandar correo y en vez de configurar el smtp, usuario, y pasword, coloco 127.0.0.1 y listo... todo sale por el Mady (asi se llama el programa)
uso este sistema desde hace años, estoy detras de un router con firewall y nunca tuve este problema, ni jamas nadie (desde fuera) me tomó el server de correo

bien
buscando que pasaba corri el NOD antivirus y detectó algún que otro troyano posible que desinfecté y el problema siguió. Busque con los antispyware y nada interesante.
Busqué con la lista de inicio del sistema, a ver si había alguna aplicacion extraña, pero nada raro...
Busque con el secirity task manager Security Task Manager - Windows XP process viewer para ver que procesos estaban corriendo en mi sistema, y al correr este programa me avisa que mi archivo "host" que esta en la carpeta C:\WINDOWS\system32\drivers\etc habia sido cambiado

lo abro y veo que el archivo que originalmente dice asi

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost


decia asi

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x
127.0.0.1 localhost
127.0.0.1 PERFECT 10
127.0.0.1 Xxx.com
127.0.0.1 www.... etc etc etc


habia por lo menos 100 dominios asociados con este sistema de listado
todos comenzando con 127.0.0.1
EVIDENTEMENTE este era parte del problema

tome el archivo desde otra pc que tengo con el mismo sistema operativo y repuse el archivo orginal

crei que con esto se solucionaria el problema
pero no
el tema sigue

he posteado este tema en otros foros y me han dado la solucion (infantil) de que ponga un usuario y contraseña a mi server de correo, obviamente que esto lo hice de inmediato desde antes de postear nada, pero esto NO quita que mi pc sigue infectada o vaya a saber qué, y esta aplicacion toma recursos que no quiero que tome

he visto los procesos activos de mi sistema con el security task manager que comente antes y nada me parece extraño, excepto que se ejecutan simultaneamente 5 procesos de un proceso llamado SVCHOST.EXE, el cual es un archivo de microsoft que si lo termino la pc se apaga
dice que es una aplicacion generica de host, y como el archivo "host" había sido alterado pienso que esto es parte relacionada al problema
me resulta llamativo 5 procesos corriendo con el mismo nombre...

Ya he chequeado varias veces que el archivo Host que dije anteriormente no se haya vuelto a cambiar, y no lo ha hecho, esta ahora en su estado original

pero el problema sigue

segun el log de mi SMTP "mady" las conexiones que intentan acceder a enviar correo estan en 127.0.0.1 y en 127.0.1.50
Digo "intentan" porque ahora el server esta cerrado por usuario y contraseña, pero si la saco, el tema comienza de nuevo


Alguna ayuda por favor

realiza los 11 pasos para una buena desinfeccion de tu equipo

en el paso 7 te detienes y analiza con

kaspersky online,Y con ewido

y me pegas el reporte que te generen ambos

Bien
ha sido una odisea
pero lo he logrado...

ANTISPYWARES
pasé el SPYBOT SEARCH AND DESTROY
y el SUPERANTISPYWARE
ambos detectaron algunas coockies y nada mas...

las borré obviamente

bien
ANTIVIRUIS
pasé el NOD 32
y lo desinstalé e instale el KASPERSKY (que actualmente lo tengo hasta el 24-12-07 en modo trial)

El Kaspersky encontró varias cositas, aunque muchos de los programas que interpretó como virósicos yo los conozco y no lo son...

igual los borré, porque no los necesitaba

estuve tratando pero no veo la forma de pegar el reporte aqui...

en este momento tengo el kaspersky instalado y con la proteccion residente, el superantispyware con proteccion residente, y otro antispyware que es el X-terminator

y asi y todo ME SIGUEN TOMANDO EL SERVIDOR DE CORREO y mandan emails basura a traves de el


he logrado detener este uso si enciendo el zone alarm....
o sea
el problema puedo controlarlo
PERO NO SOLUCIONARLO

he revisado los seteos de mi router, y el firewall esta encendido, y todo aparenta estar en orden...