Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bueno realmente no se si tengo un mailware, los anti-spyware y antivirus online no lo detectan, pero tengo duda.

El problema es que cuando bajo mi correo al outlook me aparecen devoluciones de correo que yo no he enviado, me imagino que es publicidad pero no estoy seguro porque es en ruso. Y aparecen como que yo los hubiera enviado y yo nunca lo he hecho.

Esto me llevó a preguntarme si no estaré siendo víctima de un backdoor, porque tambien he visto cosas anómalas en mi pc, como que a veces se desaparecen los documentos en mi carpeta de documentos recientes, puede ser que yo haya limpiado el disco y no me recuerde, pero lo del problema de los mails y esto me llevaron a la conclusión de un backdoor.

¿Como puedo saber si tengo un backdoor, he leido que estos usualmente solo pueden ser archivos con extension .exe pero como los puedo encontrar?

Hola, stefanov1977.

* Mira a ver en: 'Inicio' - 'Panel de control' - 'Agregar/Quitar programas' - si tienes algún programa que no hayas instalado tú. Si es así, desinstálalo y nos dices cuál/cuáles era.

* Comprueba que los procesos que se están realizando en tu ordenador no sean innecesarios (mirar los procesos: Ctrl+Alt+Supr ; si no sabes si son necesarios o no, nos pones aquí en los que tengas dudas).

* Comprueba que en tu ordenador no se inicien programas con windows innecesarios: 'Inicio' - 'Ejecutar' - escribes msconfig - y clickeas en aceptar. Aparecerá una nueva ventana - Clickeas en la pestaña 'Inicio'. Los elementos que aparecen marcados con un tick se inician automáticamente; desmarca las casillas de los que no sean necesarios que inicien Windows. (si no estás segura de que son algunos nos los pones y te decimos).

* Realiza estos 11 pasos (incluido el paso 10, que lo pones en este mismo tema). Cuando hagas el paso 7 (antivirus online), usa, preferiblemente, el ewido y el kaspersky, en ese orden, y nos pegas el reporte que te generen.

Saludos
Reitxelle

Bien se te agradece pero ya había hecho todo lo que me dijiste incluso he estado monitoreando el blog del firewall y el netstat, pero talvez solo estoy paranóico. Ya me se de memoria los 11 pasos. Ya mas o menos conozco mi registro y aunque tengo algunas entradas dañinas las dejo porque si las uso, como el loginlive y googlebar, etc.

Si alguien me puede decir como buscar un backdoor se lo agradecería pues se que los antivirus y antispyware no los reconocen como tales.

Siempre muchisimas gracias.

Pues bien al parecer era un trojano y backdoor llamado inor.

Se presenta como un correo administrativo, simulando provenir del servidor de correo de la víctima (el "Mailer-Daemon" del mismo dominio, por ejemplo "MAILER-DAEMON@infospyware") con el siguiente texto:

THIS IS A WARNING MESSAGE ONLY YOU DO NOT NEED TO RESEND YOUR MESSAGE Cómo datos adjuntos, utiliza el archivo ERROR.HTA. El código de ERROR.HTA, incluye además un script de Visual Basic (VBS) que libera un archivo en la carpeta de Windows y luego lo ejecuta: c:Windowssys_con.exe El archivo creado y luego ejecutado, es el troyano "Troj/Inor.A" ("Troj/Dloader-BO", etc.).

Este trojano crea dos entradas en el registro que lo cargan al iniciarse windows, permanece en memoria y abre los puertos 4668, 5262 y 6079.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Service = C:\Windows\System\Msrexe.exe

Y esta otra

HKLM\Software\Microsoft\Windows\CurrentVersion\Wel come
[caracteres al azar] = [caracteres al azar]


Utilizando el puerto TCP 4668, configura al equipo infectado como un servidor SMTP. Esto permite al atacante enviar correo electrónico a la computadora infectada, y usarla para reenviar su propio correo (como un servidor SMTP de un proveedor cualquiera).