Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Tengo un virus, trojano o spyware que no puedo detectar con ninguna de mis herramientas, tengo instalado el AVG, el Ad-Aware, el Spybot y el spyware blaster y el zone alarm. Desde hace unos días mi antivirus detecta y examina correo saliente que yo no estoy enviando con el outlook ni con nada, obviamente estan usando mi maquina para hacer spam y no puedo detectar que es, alguien me puede ayudar con esto? Tengo una red de 5 maquinas compartiendo internet con el proxy plus y la conexion a internet es de banda ancha (adsl) que se conecta en la misma maquina que uso de servidor de internet y para mandar mails.
Desde ya muchas gracias a todo el que me pueda ayudar

Bueno si lo que te esta mostrando son e-mails retornados a tu cuenta como que vos los enviastes y tu antivirus en el camino los detecta como virus, esto simplemente es que te estan enviando virus disfrazados como "Mail Return" con virus dentro para que se infecte tu equipo.

No creo que lo tengas dentro de tu equipo pero de todas maneras podes hacerle un escaneo online con Panda Antivirus y un analizis de seguridad con Norton Online.

Los tenes todos en este post: Antivirus Online Free

Eso si asegurate de desconectar la red por si encuentran algo en alguna de las maquinas antes de eliminarlo.

Salu2

Gracias por tu sugerencia, acabo de pasar el antivirus online de Norton y no detecto nada antes ya había pasado el panda y nada tampoco pero sigue enviando mail sin que el outlook este conectado, me doy cuenta porque tengo configurado el avg para que escanee los correos salientes, y me aparece un cartel de AVG que dice: "AVG e-mail scanner connecting to 64.156.215.8" inmediatamente otro que dice "AVG e-mail scanner sending message xxx@xxx.xxx.xx" por supuesto que si abro el outlook empiezan a entrar mails rechazados, asi me pasa desde hace un par de día, recibo de a cientos de mails rechazados. Nose que puede ser pero me esta volviendo loco...

Hola

La dirección ip que mencionas es parte de los servidores de correo de yahoo.

Si eres usuario de yahoo y has configurado tu cuenta para leer esos correos en tu máquina, puede que haya un error en esa configuración, revisa ese tema.

Ya nos contarás.

Felicidad

202.108.36.215 es la dirección con la que intenta conectarse ahora, este problema que tengo cada vez se agraba mas las direcciones ip adonde se conecta van variando y hay veces que no puedo entrar a internet, lo que voy a hacer hoy es actualizar todas las herramientas (antivirus y antispyware) voy a desconectar la maquina de la red iniciarla en modo a prueba de fallos y escanearla, sin esperanzas porque ya lo hice antes, tambien voy a sacarle el servicio de compartir archivos e impresoras en redes microsoft para ver que pasa, el problema es que no puedo formatear porque tengo info de la empresa y aparte otras maquinas se conectan para compartir archivos e internet.
Gracias por seguir el tema.

Hola

Si ya has hecho los escaneos en línea que te recomendaban, te sugiero dos cosas.

1. instala el sygate personal firewall, este te permitirá saber facilmente quien está tratando de salir.
2. usa el hijackthis para que nos mandes un reporte de lo que está funcionando en tu máquina y así tratar de localizarlo.

También puedes descargar el process explorer desde aquí, te generará un report de los procesos que están trabajando, también puede ser útil.

Ya nos avisarás.

Suerte

Felicidad

Tengo el Zone Alarm instalado, sugeris que lo desintale e instale el sygate personal firewall, no lo conozco y el ZA me resulta muy comodo porque hace mucho lo uso...
el panda no encontro nada y ahora voy a pasar el Norton online
con respecto al process explorer estoy bajandolo mientras
Te paso el log del HijackThis
Logfile of HijackThis v1.99.0
Scan saved at 09:50:45 a.m., on 27/01/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGCC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\ARCHIVOS DE PROGRAMA\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\ARCHIVOS DE PROGRAMA\IVASION\WINPOET\WINPPPOVERETHERNET.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\PROXYPLUS\PROXYPLUS.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\UTILITA\SEGURIDAD\TROYANOS\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.ar/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinPoET] C:\Archivos de programa\iVasion\WinPoET\WinPPPoverEthernet.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ProxyPlus.lnk = C:\Archivos de programa\ProxyPlus\ProxyPlus.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Hola

No, no hace falta que cambies uno por otro, era un consejo por si no tenías ninguno.

¿has instalado tú un proxy llamado PROXYPLUS? Si es así, no te preocupes, si no es así, deberías usar el regedit para editar el registro, en el, busca esta clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services y borra toda referencia a MSFLGXGD.EXE, cierra el regedit y luego busca este archivo: C:\ARCHIVOS DE PROGRAMA\PROXYPLUS\PROXYPLUS.EXE y lo borras, tras hacer eso, reinicia el equipo.

Como te dije, si es un programa instalado por tí, no lo borres, aunque me llama la atención que tengasun proxy.

Puedes mejorar un poco el rendiemiento de tu sistema eliminando esta aplicación «WMIEXE.EXE».Para hacerlo, deberías descargar el appswat, de esa manera, puedes detener la ejecución de esa aplicación, luego has de ir a la carpeta donde está ubicado y basta con que lo renombres. De hecho, no lo borres, solo renómbralo de manera que no arranque cada vez que inicias el sistema, pero que en caso de problemas puedas restaurarlo.

Por cierto, veo que tienes lo que en breve será el futuro de las descargas de Microsoft, el «Windows Genuine Advantage Validation Tool», eso es una cosa bastante inútil, pero que sirve cuando te conectas al windowsupdate y en teoría a cieras páginas de Microsoft para certificar que tienes un sistema original y así permitirte las descargas.

En el hijackthis, marca esta entrada para ser reparada:
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab

Del resto, parece normal la cosa, al menos desde mi despistado punto de vista.

Haz las sugerencias que te mando y ya nos cuentas como vala cosa.

Por cierto que podrías usar el regseeker para limpiar un poco el registro de tu máquina y así mejorar un poco el rendimiento general.

Suerte

Felicidad

Gracias por tu ayuda, es bueno saber que siempre hay alguien del otro lado intentando ayudarte.
El proxy plus es un programa que uso para compartir internet, puede ser que entren por algun puerto abierto que deja este programa? o lo que digo es una burrada?
Te cuento que ya hice todo eso pero me sigue apareciendo ese maldito cartel que analiza correos salientes (que yo no mando)voy a limpiar un poco el registro pero no va a solucionar el problema. Crees que sea algun tipo de troyano que todavia no se pueda detectar?

Voy a probar desconectandola de la red, pero tengo win 98 SE y el NOD32 no puedo cargarlo... en un rato te cuento...