blajo
(błajo)
15 Styczeń 2015 21:47
#1
Witam,
Żona odbiera swojego firmowego maila adres@domena.pl przez TB. Od paru dni dostaje setki maili z tematem “Mail delivery failed: returning message to sender” itp… ktoś za pomocą jej maila wysyła setki spamu. Zmieniłem hasła do FTP i maila ale nie wiem czy nie siedzi coś u jej na komputerze. Przeskanowałem go Dr CureIT i nic nie wykryło.
Proszę o info jakie logi tu wstawić żeby sprawdzić czy nic tam na kompie złego nie siedzi.
Z góry dziękuję za pomoc.
bachus
(bachus)
15 Styczeń 2015 22:04
#2
Komputer w domu, albo w pracy ma wirusa i za pomocą skonfigurowanego SMTP (czy to IMAP?) śle wirusy. O logach jakie wstawić masz dokładnie napisane w dziale bezpieczeństwa.
xyzzyx
(xyzzyx)
15 Styczeń 2015 22:07
#3
blajo
(błajo)
15 Styczeń 2015 23:03
#4
Thx.
Frst: http://www.wklej.org/id/1597104/
Addition: http://www.wklej.org/id/1597105/
Avast nie chciał mi odpalić programu do robienia loga - musiałem go wyłączyć.
Czekam na sugestie.
Atis
(Atis)
15 Styczeń 2015 23:34
#5
Nie widać żadnej infekcji.
blajo
(błajo)
15 Styczeń 2015 23:37
#6
Czyli możliwe, że ktoś złamał hasło? No przyznam nie było za trudne… imię + dwie cyfry.
Jutro wrzucę jeszcze log z mojego kompa dla pewności.
Komunikat " “Mail delivery failed: returning message to sender” itp…" Pojawia się jako odpowiedź zwrotna serwera domeny na której umieszczna jest e-poczta w przypadku gdy zostanie błędnie wpisany odres odbiorcy.
Stosowne informacje można znaleść po dokładnej analizie takiej informacji. Są domeny, które powtarzają tego typu komunikaty.
Proponuję zrobienie takiej próby. Proszę wysłać e-mail testowy ze swojej poczty na pocztę żony. Adres e-mail żony wpisać z błędem.
Na 100% otrzymasz komunikat “Mail delivery failed: returning message to sender” itp…"
Radzę wejść na stronę www na której żona ma konto pocztowe i uruchomić pocztę bezpośrednio. Sprawdzić ustawienia. Na stronie powinien być kontakt do operatora.
Radzę sprawdzić listy adresów dopisanych do e-poczty żony.
blajo
(błajo)
16 Styczeń 2015 22:35
#8
Niestesty przed chwilą znowu ponad 30 mail “zwrotek” … więc zmiana haseł nic nie dała tzn. ktoś wykradł nowe hasła. Skanuję teraz kompa żony Malwarebytes - jak się skończy dam log.
Na razie wklejam logi do mojego komputer. Może u mnie coś siedzi bo też czasem żony maila przez www sprawdzam.
FRST: http://www.wklej.org/id/1597913/
Addition: http://www.wklej.org/id/1597914/
Zrobiłem też już u żony fixa jak skończy się skan Malwarebytes wrzucę logi od żony z kompa.
Edit:
Malwarebytes: http://www.wklej.org/id/1597936/
Fixlog: http://www.wklej.org/id/1597937/
Nowe logi:
Addition: http://www.wklej.org/id/1597945/
FRST: http://www.wklej.org/id/1597946/
Dziś znowu zmieniłem hasła ale to chyba nic nie daje bo coś musi siedzieć w kompie moim lub żony.
Pozdrawiam i z góry dzięki za pomoc.
Witajbłajo . To jest skrypt dla twojego komputera.
Odinstaluj: C:\ProgramData\Spybot - Search & Destroy,
Wklej poniższy skrypt do notatnika. Zapisz jako fixlist.txt. Umieść w folderze z FRST.
CloseProcesses: Hosts: HKLM-x32…\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-26] (Microsoft Corporation) BootExecute: autocheck autochk * sdnclean64.exe BHO-x32: No Name -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF SearchEngineOrder.1: v9 CHR HKLM-x32…\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\serach.crx [Not Found] CHR HKLM-x32…\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [Not Found] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] 2015-01-01 13:20 - 2015-01-01 13:20 - 00000000 _____ () C:\Users\BM\AppData\Local{0592D51D-C876-4EB4-AED1-233226B5259F} 2014-12-23 23:55 - 2014-12-23 23:55 - 00003306 _____ () C:\Windows\System32\Tasks{C73231FD-18C3-421A-93F5-2DB088528B42} 2014-12-23 23:42 - 2014-12-23 23:42 - 00003158 _____ () C:\Windows\System32\Tasks{6B29EA5F-7741-4B6B-A904-1078E21C646D} 2014-12-23 21:08 - 2014-12-23 21:08 - 00003292 _____ () C:\Windows\System32\Tasks{C10512F8-06B7-4256-B8E0-4CECE60D9227} 2015-01-16 22:46 - 2012-04-16 22:13 - 00001048 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job 2015-01-16 20:51 - 2013-09-19 22:30 - 00000916 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000UA.job 2015-01-16 10:47 - 2012-04-16 22:13 - 00001044 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job 2015-01-16 03:21 - 2009-07-14 18:55 - 00737942 _____ () C:\Windows\system32\perfh015.dat 2015-01-16 03:21 - 2009-07-14 18:55 - 00154630 _____ () C:\Windows\system32\perfc015.dat 2015-01-16 03:17 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT 2015-01-15 23:35 - 2013-09-19 22:30 - 00000894 _____ () C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000Core.job 2015-01-11 13:17 - 2012-04-18 14:38 - 00023040 _____ () C:\Users\BM\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 2014-12-24 01:22 - 2012-04-16 14:44 - 00115392 _____ () C:\Users\BM\AppData\Local\GDIPFONTCACHEV1.DAT 2014-12-23 21:14 - 2014-11-09 12:57 - 00000000 ____D () C:\Program Files (x86)\Spybot - Search & Destroy 2 2014-12-23 21:13 - 2014-11-09 12:57 - 00000000 ____D () C:\ProgramData\Spybot - Search & Destroy C:\Users\BM\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmp20sxsi.dll C:\Users\BM\AppData\Local\Temp\jre-7u71-windows-i586-iftw.exe Task: {FCAFB3EF-7D87-4A79-8889-1E321A8CE4B4} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION EmptyTemp: Wyłącz program antywirusowy. Uruchom FRST i wykonaj polecenie FIX. Po restarcie pokaż raport fixlog i aktualny FRST. Skrypt dla koputera żony w przygotowaniu. Witaj błajo. To jest skrypt dla komputera żony. Wklej poniższy skrypt do notatnika. Zapisz jako fixlist.txt. Umieść w folderze z FRST. CloseProcesses: Hosts: HKU\S-1-5-21-1236169856-3573213423-1841828282-1001…\MountPoints2: {03658829-b919-11e1-8308-000b6b746d09} - F:\AutoRun.exe HKU\S-1-5-21-1236169856-3573213423-1841828282-1001…\MountPoints2: {6a9709b2-92d8-11e1-ba1a-000b6b746d09} - F:\AutoRun.exe HKU\S-1-5-21-1236169856-3573213423-1841828282-1001…\MountPoints2: {83eeac46-92cf-11e1-a6f6-000b6b746d09} - F:\AutoRun.exe HKU\S-1-5-21-1236169856-3573213423-1841828282-1001…\MountPoints2: {83eeac58-92cf-11e1-a6f6-000b6b746d09} - F:\AutoRun.exe 2015-01-16 23:24 - 2009-07-14 06:08 - 00000006 ____H () C:\windows\Tasks\SA.DAT 2015-01-16 23:09 - 2013-06-18 23:16 - 00000930 _____ () C:\windows\Tasks\Adobe Flash Player Updater.job 2015-01-13 18:50 - 2011-07-08 01:08 - 00064768 _____ () C:\Users\BMFOTO\AppData\Local\GDIPFONTCACHEV1.DAT C:\Users\BMFOTO\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpfyp5vb.dll EmptyTemp: Wyłącz program antywirusowy. Uruchom FRST i wykonaj polecenie FIX. Po restarcie usuń raport fixlog i pozostałe raporty. Usuń folder C:\FRST. Pobierz na oba komputery instalator antywirusa FortClient; http://www.fortinet.pl/produkty/forticlient Na końcu tekstu jest link do strony z instalatorem. Po pobraniu wyłącz AVAST-a. Uruchom instalator i poczekaj na uruchomienie pobierania, następnie instalacji. Potwierdzasz tylko potrzebę instalacji ( zaptaszkowanie w małym oknie ). FortiClient nie wymaga rejestracji. Jest darmowy. Po zakończeniu instalacji jest widoczny jako zielona tarcza w pasku rozwijanym ( pokaż ukryte ikony ). Można go pokazać jako widoczny na pasku tray. Dostęp z ppm - Open FortClient Console. Po pokazaniu się okna konsoli, wybierasz Web security / klikasz w zębate koło przy Protection by Site Category / potwierdzasz Elevate ( potwiedź uruchomienie ). W otwartym oknie wybierasz Potentially Liable. Lpm przed ikonką Proxy Avoidance ( zaznaczenie ), Lpm na ikonie i w menu zmień na Monitor. Odchacz potwierczenie. Zatwiedź Ok. Powrót do głównego okna. Wybierasz Antivirus. Rozwiń lpm Scan Now - full scan. Zostanie wykonane pełne skanowanie. FortClient jest pełnym antywirusem, dlatego na czas jego pracy dobrze jest wyłączyć ( odinstalować zainstalowany AV ). Pełne info na temat FortiClient jest dostępne na http://www.fortinet.pl/ i na http://www.fortiguard.com/ Mam FortiClent-a zestawionego razem z Comodo Firewall - http://www.dobreprogramy.pl/Comodo-Personal-Firewall,Program,Windows,20399.html . Zero śmieci. Konfiguracja dla Comodo Firewall - http://forum.komputerswiat.pl/topic/52420-zaktualizowane-konfiguracja-comodo-firewall/
blajo
(błajo)
17 Styczeń 2015 20:31
#10
krzych5610:
Pobierz na oba komputery instalator antywirusa FortClient; http://www.fortinet.pl/produkty/forticlient Na końcu tekstu jest link do strony z instalatorem. Po pobraniu wyłącz AVAST-a. Uruchom instalator i poczekaj na uruchomienie pobierania, następnie instalacji. Potwierdzasz tylko potrzebę instalacji ( zaptaszkowanie w małym oknie ). FortiClient nie wymaga rejestracji. Jest darmowy. Po zakończeniu instalacji jest widoczny jako zielona tarcza w pasku rozwijanym ( pokaż ukryte ikony ). Można go pokazać jako widoczny na pasku tray. Dostęp z ppm -> Open FortClient Console. Po pokazaniu się okna konsoli, wybierasz Web security / klikasz w zębate koło przy Protection by Site Category / potwierdzasz Elevate ( potwiedź uruchomienie ). W otwartym oknie wybierasz Potentially Liable. Lpm przed ikonką Proxy Avoidance ( zaznaczenie ), Lpm na ikonie i w menu zmień na Monitor. Odchacz potwierczenie. Zatwiedź Ok. Powrót do głównego okna. Wybierasz Antivirus. Rozwiń lpm Scan Now -> full scan. Zostanie wykonane pełne skanowanie. FortClient jest pełnym antywirusem, dlatego na czas jego pracy dobrze jest wyłączyć ( odinstalować zainstalowany AV ). Pełne info na temat FortiClient jest dostępne na http://www.fortinet.pl/ i na http://www.fortiguard.com/ Mam FortiClent-a zestawionego razem z Comodo Firewall - http://www.dobreprogramy.pl/Comodo-Personal-Firewall,Program,Windows,20399.html . Zero śmieci. Konfiguracja dla Comodo Firewall - http://forum.komputerswiat.pl/topic/52420-zaktualizowane-konfiguracja-comodo-firewall/
Witam,
Mam pytanko czy ten antywirus to w celu usuniecia czegoś czy na przyszłość zamiast Avasta? I wywalić mam Avasta i zostać przy nim?
Co o znacza PPM oraz LPM?
Edit: Jeszcze pytanie
“Odinstaluj: C:\ProgramData\Spybot - Search & Destroy,”
Niestety nie mam tego programu na liście “usuń programy” w panelu sterowania. Jakiś czas temu usuwałem pamiętam ten program z tego co pamiętam. Skasować manualnie ten folder?
blajo
(błajo)
17 Styczeń 2015 21:12
#12
Thx za pomoc. Pobieram antywirusa na kompa żony - fixa już u niej zrobiłem. Po skanie dać jakieś logi z kompa żony?
Jeszcze pytanie co z moim komputerem bo jak pisałem tego programu Spybot - Search & Destroy nie mam na liście w dodaj/usiń programy ale pod podaną ścieżką jest folder, tu (C:\Program Files (x86)\Spybot - Search & Destroy 2) też są pliki: spybotsd2-install-bdcore-update.exe i dwa translation. Czy mogę zrobić fixa bez usunięcia tego? Jeśli nie to jak się tego pozbyć.
Z góry dziękuję za pomoc.
Polecenie fix z pozimu FRST dla swojego komputera możesz wykonać. Te pozostałości po Spybot - Search & Destroy zostaną usunięte.
Wskazałem na FortiClient jako program antywirusowy do dokładnego przeskanowania. FortiClient ma mocniej rozbudowaną bazę niż AVAST.
Tu masz info o bazach dla FortiClient - http://www.fortiguard.com/updates/antivirus.html
blajo
(błajo)
17 Styczeń 2015 23:01
#14
Oki, dam znać czy znikły. Skanuję żony kompa teraz i jest jest “Threats Found: 1” na razie potem dam loga. Dzięki bardzo za pomoc. Zaraz podam logi z mojego kompa.
Logi z mojego kompa po fixie.
Fixlog: http://wklej.org/id/1599089/ <— Niestety zapomniałem przed zrobieniem fixa wyłączyć Avasta. Zrobić go jeszcze raz?
Addition: http://wklej.org/id/1599087/
Frst: http://wklej.org/id/1599088/
Foldery od spybot znikły.
Coś jeszcze potrzeba? Jak skończy się skan kompa żony dam loga.
P.S: Dodam że niestety “zwrotki” cały czas przychodzą - przed chwilą wpadło z 20.
Log z antyvira na żony kompie: http://wklej.org/id/1599164/ to co znalazł skasowałem.
Przed chwilą w TB żony pojawił się komunikat: http://i.imgur.com/74qKtQ0.jpg żona twierdzi, że jakiś czas temu też się pojawił i wybrała “potwierdx wyjatek”. Nie wiem czy to moze miec zwiazek z tymi mailami.
Witajbłajo . To skrypt na twój komputer. Wklej poniższy skrypt do notatnika. Zapisz jako fixlist.txt. Umieść w folderze z FRST.
blajo
(błajo)
18 Styczeń 2015 09:29
#16
Oki zrobione. Pytanie czy problem “zwrotek z żony kompa jest usunięty”
Co zrobić z takimi komunikatami? http://i.imgur.com/74qKtQ0.jpg Potwierdzać?
Dla pewności wklejam log z mojego kompa, zaraz podam też z żony.
Mój:
Frst: http://wklej.org/id/1599258/
Addition: http://wklej.org/id/1599259/
Żony:
Frst: http://wklej.org/id/1599270/
Addition: http://wklej.org/id/1599272/
Proszę o info co dalej mogę zrobić. Po nocy na żony maila przyszły cztery zwrotki.
Odnośnie komputera żony.
C:\Users\BMFOTO\AppData\Roaming\Thunderbird\Profiles\ru8xk665.dekori\Mail\mail.dekori.pl \Trash, virus found: W32/Tinba.BA!tr, action: Remove/quarantine
Aktywny wirus / ( trojan ) zainfekowany program poczty, e-mail. W32/Tinba.BA!tr - spcommon.exe / forav_3.exe ( 16.01.2015 )
Pobierz AdwCleaner - https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Po uruchomieniu wykonaj szukaj i usuń. Zgoda na restart komputera.
Pobierz i uruchomić skaner DrWeb-Curelt; http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html
Należy wykonać pełny skan. Przed uruchomieniem sprawdzić w ustawieniach, czy skanowanie dotyczy też plików poczty.
Pobierz HitmanPro ( Wszystkie wersje - we 64 bit ) - http://www.dobreprogramy.pl/HitmanPro,Program,Windows,30968.html
Uruchom skaner, potwierdż tylko wykonanie skanowania.
Przygotuj CD(ISO) z http://www.dobreprogramy.pl/Kaspersky-Rescue-Disk,Program,Windows,12771.html
Uruchom komputer z włożoną płytą do stacji nagrywarki. Poczekaj na uruchomienie skanera. Postępuj zgodnie z poleceniami.
Uruchom skaner FRST (64 bit ) - wersja aktualna z http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
Pokaż aktualne raporty FRST i Addition.
blajo
(błajo)
18 Styczeń 2015 09:53
#18
Problem w tym, że te maile przychodziły już wcześniej… więc musiał chyba szybciej zaatakować. Ale rozumiem mój komp jest czysty i mogę spokojnie pracować? Mam teraz do zrobienia parę rzeczy niestety do pracy - wieczorem zajmę się kompem żony. Dzięki za pomoc.
'Przygotuj CD(ISO) z http://www.dobreprog…dows,12771.html
Uruchom komputer z włożoną płytą do stacji nagrywarki. Poczekaj na uruchomienie skanera. Postępuj zgodnie z poleceniami."
Da radę to na USB zrobić? Bo nie mam żadnej pustej CD w domu.
błajo . Przeskanuj swój komputer za pomocą HitmanPro
“Co zrobić z takimi komunikatami? http://i.imgur.com/74qKtQ0.jpg Potwierdzać?”
Potwierdzać? W jakim celu?
blajo
(błajo)
18 Styczeń 2015 10:12
#20
Nie wiem w sumie co to jest. U mnie w TB nigdy się nie pojawia. U żony od czasu do czasu. Zaraz puszczę u siebie skan.