Hola a todos. Mi problema es el siguiente:

Hace 2 días atras mi antivirus (avast! 4.7) me avisaba que habían muchos correos salientes desde mi pc en muy poco tiempo, y a la vez me detectó y eliminó alrededor de 5 troyanos o virus.

Despues de esto, el problema continuó. Hice un scan con el AVG Anti-Spyware 7.5 y no detectó nada.

Dado que el problema persistía, cambié mi antivirus al Kaspersky 6.0, el cual si detectó algunos problemas, los solucionó, pero aún continuaba este envío masivo de mails.

Buscando en internet información relacionada con mi problema, llegué a este foro y seguí al pie de la letra los pasos del tutorial de 11 pasos para una correcta eliminacíon de spyware. El scaneo del SUPERAntiSpyware encontró lo siguiente:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/12/2008 at 00:27 AM

Application Version : 4.0.1154

Core Rules Database Version : 3417
Trace Rules Database Version: 1409

Scan type : Complete Scan
Total Scan Time : 01:14:35

Memory items scanned : 170
Memory threats detected : 1
Registry items scanned : 5058
Registry threats detected : 5
File items scanned : 25415
File threats detected : 14

Adware.Vundo Variant/Resident
E:\WINDOWS\SYSTEM32\DDAYW.DLL
E:\WINDOWS\SYSTEM32\DDAYW.DLL

Trojan.WinFixer
HKLM\Software\Classes\CLSID\{F2528635-ECF7-437E-8E6D-601B2D4B1489}
HKCR\CLSID\{F2528635-ECF7-437E-8E6D-601B2D4B1489}
HKCR\CLSID\{F2528635-ECF7-437E-8E6D-601B2D4B1489}\InprocServer32
HKCR\CLSID\{F2528635-ECF7-437E-8E6D-601B2D4B1489}\InprocServer32#ThreadingModel
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{F2528635-ECF7-437E-8E6D-601B2D4B1489}

Adware.Tracking Cookie
E:\Documents and Settings\Germán\Cookies\germán@mediamax[1].txt
E:\Documents and Settings\Germán\Escritorio\1234\Documents and Settings\Mu\Cookies\mu@ads.us.e-planning[1].txt
E:\Documents and Settings\Germán\Escritorio\1234\Documents and Settings\Mu\Cookies\mu@tracker.esecure-transaction[1].txt
E:\Documents and Settings\Gigliola\Cookies\gigliola@ads.us.e-planning[1].txt
E:\Documents and Settings\Gigliola\Cookies\gigliola@ad.adnetwork.co m[1].txt
F:\Documents and Settings\Mu\Cookies\mu@ads.us.e-planning[1].txt
F:\Documents and Settings\Mu\Cookies\mu@tracker.esecure-transaction[1].txt

Trojan.Unclassified/Loader-Suspicious
C:\SETUPS\ALCOHOL120\LOADER.EXE

Trojan.VXGame-Variant/D
C:\SETUPS\TMPGENC.2.512.52.16.PLUS.[ESPL][TODOCVCD]POR.GAMOLAMA\KEYGEN.EXE

Adware.Vundo Variant/Rel
E:\WINDOWS\SYSTEM32\CDEEG.INI2
E:\WINDOWS\SYSTEM32\GJKMP.INI
E:\WINDOWS\SYSTEM32\GJKMP.INI2
E:\WINDOWS\SYSTEM32\WYADD.INI



Luego de esto, mi problema persiste. Por ejemplo ahora llevo conectado 1 hora y media a internet y el kaspersky muestra 7044 correos enviados. Todos del tipo:

"12-03-2008 22:26:44 Cuerpo del mensaje: [From:"Hisham paraskevas" <Hisham-deified@GetRake.com>][Subject:Unleash the monster in your pants][Time:2008/03/12 22:26:37]\text/html

Les dejo mi log del Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12:00, on 12-03-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\VTTimer.exe
E:\WINDOWS\system32\VTtrayp.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Archivos de programa\Lexmark 1200 Series\lxczbmgr.exe
E:\Archivos de programa\Lexmark 1200 Series\lxczbmon.exe
E:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
E:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
E:\Archivos de programa\Internet Download Manager\IDMan.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
E:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
E:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
E:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE
E:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
E:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
E:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
E:\WINDOWS\system32\lxczcoms.exe
E:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
E:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4ss.exe
E:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
E:\WINDOWS\system32\svchost.exe
E:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4gui.exe
E:\Archivos de programa\Internet Download Manager\IEMonitor.exe
E:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4gui.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\NOTEPAD.EXE
E:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - E:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.9.24.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [lxczbmgr.exe] "E:\Archivos de programa\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "E:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [kav] "E:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [IDMan] E:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] E:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - Startup: Yahoo! Widget Engine.lnk = E:\Archivos de programa\Yahoo!\Widgets\YahooWidgetEngine.exe
O4 - Global Startup: Logitech SetPoint.lnk = E:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all links with IDM - E:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - E:\Archivos de programa\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - E:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - E:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2224248A-2993-46E8-BADB-67A4021E5AE5}: NameServer = 200.28.4.129 200.28.4.130
O20 - Winlogon Notify: !SASWinLogon - E:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: ssqnoon - ssqnoon.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - E:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: lxcz_device - - E:\WINDOWS\system32\lxczcoms.exe
O23 - Service: NBService - Nero AG - E:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - E:\Archivos de programa\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - E:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9327 bytes


De antemano muchas gracias

Hola blackened43, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• ComboFix.exe
• Malwarebytes' Anti-Malware

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O20 - Winlogon Notify: ssqnoon - ssqnoon.dll (file missing)




Paso 3- Ejecuta estas herramientas, de a una:

• Malwarebytes' Anti-Malware

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

• Malwarebytes' Anti-Malware
• C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

Antes que cualquier cosa, muchas gracias por la ayuda.

Bueno, hice lo indicado... salvo el ComboFix, ya que al abrirlo me dice que mi sistema es incompatible, que sólo funciona con windows 2000 o XP.

¡¡¡pero yo tengo instalado xp!!!

el problema persiste, en tan solo 5 minutos que llevo conectado ya van mas de 700 correos enviados.

Eso si, el Malwarebytes' Anti-Malware me detecto 7 problemas.

este es su log:

Malwarebytes' Anti-Malware 1.08
Versión de la Base de Datos: 471

Tipo de examen : Examen Completo (C:\|E:\|F:\|)
Objetos examinados: 132175
Tiempo transcurrido: 19 minute(s), 31 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\diablo (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\riode32 (Rootkit.Srizbi) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{fbd29c3c-c642-4843-a627-6e54a947b511} (Trojan.Vundo) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
E:\WINDOWS\diabunin.exe (Trojan.FakeAlert) -> No action taken.
E:\WINDOWS\Temp\AE8AB41F91F72503.tmp (Malware.Trace) -> No action taken.

------------------------------------------

Otro dato:

He estado buscando información en internet acerca de mi problema, y me encontre con casos similares y que a algunas personas les había servido como solución temporal instalar COMODO Firewall y detectar el proceso que enviaba los correos.

gracias a esto me di cuenta que es el services.exe y al bloquearlo no se envían mas correos automáticamente.

Esta es parte del log de COMODO Firewall:

Fecha/Hora :2008-03-14 02:34:46
Severidad :Media
Reportado por:Monitor de aplicaciones
Descripción: Acceso Denegado a la Aplicación (services.exe:208.72.168.97: :http(80))
Aplicación: E:\WINDOWS\system32\services.exe
Padre: E:\WINDOWS\system32\winlogon.exe
Protocolo: Salida TCP
Destino: 208.72.168.97::http(80)

este registro se repite aproximadamente cada 10 segundos y con distintas direcciones de destino (por ejemplo:208.72.168.151::http(80), 208.72.168.97::http(80), 208.72.168.151::http(80) )

pero, aunque no se si estará relacionado, me dificulta un poco la navegación, porque las páginas a veces no se cargan y tengo que actualizar 4 a 5 veces para poder visualizarlas correctamente.


Bueno, espero que puedan ayudarme.

Saludos.