Niechciana poczta - Jak temu zaradzić?


(luki) #1

Witam

Kilka dni temu miałem atak z sieci wirusów spyware i pewnie jeszcze jakieś śmieci . Przy pomocy kolegów z forum udało się wyczyścić komputer . Hijack This nic już nie znajduje, skanery Ewido .Kaspersky i Mks też nic nie znajdują i generalnie wszystko jest w porządku ,jednak nuruje mnie jedna rzecz której wczesniej nigdy nie było . Otóż od kilku dni dostaję po dwie przesyłki dziennie na e-mail pocztę angielsko języczną i za kazdym razem od innego adresata . Oczywiście nie otwieram tego chociaż przychodzi bez załączników ale widoczny jest jakby giff czy coś w tym stylu. Poprostu obrazek z napisami po angielsku . Co to może być ? czy to przypadek czy poprostu gdzieś siedzi jeszcze coś .... czy miał ktoś podobny problem ? Jak sobie z tym poradzić?


(Tomasz Paziewski) #2

a na jakim (ewentualnie) portalu masz pocztę? masz włączony filtr antyspamowy?


(Igor P) #3

Logi... :slight_smile:


(luki) #4

Pocztę mam na interii . Wklejam logi z HT i Combofix chociaż wydaj mi się że jest czysto. Silenta nie umien uruchomić na moim komputerze.

Logfile of HijackThis v1.99.1

Scan saved at 18:36:09, on 2006-12-28

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\PLANET\Plannet Wireless Lan Configure Utility\RtlWake.exe

C:\Program Files\NEC-Mitsubishi\Brightness Controller\BrightnessController.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\programy_uzytkowe\programy antyspy\Hijack\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Startup: Brightness Controller.lnk = C:\Program Files\NEC-Mitsubishi\Brightness Controller\BrightnessController.exe

O4 - Global Startup: WL-8303.lnk = C:\Program Files\PLANET\Plannet Wireless Lan Configure Utility\RtlWake.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

Combofix

Madzia - 06-12-28 18:38:34,20 Dodatek Service Pack 2

(Mario C) #5

kolega mówi że logi czyste, włącz w poczcie filtr antyspamowy, napewno spamerzy mają twój adres e-mail w bazie swojej i jeżeli filtr anty-spamowy nie pomoże, to zmień konto e-mail

Złączono Posta : 28.12.2006 (Czw) 18:47

upss sorry koleżanka, wiem że portal o2.pl ma dość dobry filtr anty spamowy


(luki) #6

Nie nie to tylko nazwa ... poprostu kpmputer zarejestrowany na żonę ...


(Irabuntu) #7

Filtr na o2.pl jest taki sobie, masz 2 wyjścia:

  • zainstaluj dobry filtr antyspamowy

  • zmień konto, najlepiej na obcym portalu


(Mario C) #8

Ok :slight_smile: ale ja mam na o2.pl już z 5 lat i może z 1 spam na tydzień mi się przybłąka


(Irabuntu) #9

Ja też miałem jakieś 5 lat...do czasu...


(luki) #10

Ale to nie taka prosta sprawa.... przecież wtedy wszystko weźmie w łeb ... czyli kontakty, korespondencja od rodziny , znajomych , nie mam zamiaru pisać do kilkudziesieciu osób że zminiłem adres e-mail.

Złączono Posta : 28.12.2006 (Czw) 19:11

Ochronę spamową mam włączoną w interi i powtarzam że do tej pory nie było najmniejszego problemu... Nigdy ale to nigdy nikt mnie nekał jakimkolwiek spamem .


(Irabuntu) #11

Jest coś takiego jak korespondencja seryjna...Trzeba z tego korzystać.


(luki) #12

Może tak będzie proościej -- Nie chcę zmieniać konta pocztowego !!


(Bbieniol) #13

Usuń ręcznie z dysku ten plik: C:\WINDOWS\system32\ tmp.reg

Przeskanuj ten plik: C:\WINDOWS\system32\ fvbjmclw.exe na stronie -> http://virusscan.jotti.org i podaj wyniki :slight_smile:

Po zabiegach nowy log z Combo :slight_smile:


(luki) #14

Przedstawiam raport ze skanowania tego pliku : Chyba coś jednak nie tak . Proszę o wskazówki.

Scanner results  

AntiVir Found HEUR/Crypted  

ArcaVir Found nothing 

Avast Found nothing 

AVG Antivirus Found nothing 

BitDefender Found Generic.Malware.dld!.036D20A0 (probable variant)  

ClamAV Found nothing 

Dr.Web Found Trojan.DownLoader.14222  

F-Prot Antivirus Found nothing 

F-Secure Anti-Virus Found nothing 

Fortinet Found nothing 

Kaspersky Anti-Virus Found nothing 

NOD32 Found nothing 

Norman Virus Control Found nothing 

VirusBuster Found nothing 

VBA32 Found Trojan.DownLoader.14222

Złączono Posta : 29.12.2006 (Pią) 10:45

a czy ten plik tmp.reg który miałem znaleźć to ma być wpis do rejestru? Bo taki znalazłem . Czy na pewno mam go usunąć ? Normalnie czy w trybie awaryjnym?


(Gutek) #15

Usuń pliki tmp.reg i fvbjmclw.exe w trybie awaryjnym


(luki) #16

Usunąłem pliki w trybie awaryjnym i jeszcze użyłem narzędzia ShmitFrauix w nowszej wersji bo wcześniej miałem starszą . Wklejam nowy log z Combofix i raport z ShmitFrauFix. Proszę uprzejmie sprawdzić czy jeszcze coś jest do zrobienia.

Combofix:

Madzia - 06-12-29 15:38:57,75 Dodatek Service Pack 2

ComboFix 06.11.27 - Running from: "D:\programy_uzytkowe\programy antyspy"


((((((((((((((((((((((((((((((( Files Created from 2006-11-29 to 2006-12-29 ))))))))))))))))))))))))))))))))))



2006-12-29	15:32	








ShmidFrauFix - raport:

[code]SmitFraudFix v2.131 Scan done at 14:48:22,54, 2006-12-29 Run from D:\programy_uzytkowe\programy antyspy\Nowy folder\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!


(Bbieniol) #17

Usuń ręcznie z dysku ten plik: C:\WINDOWS\system32\ tmp.reg

Poza tym jest OK :slight_smile:


(luki) #18

ten plik już usuwałem wcześniej - czyżby powracał? Czy ten plik to ma być wpis do rejestru? Bo tylko taki znajduję ... tmp - wpis do rejestru bez tego .reg ale to chyba własnie oznacza wpis do rejestru ...


(adam9870) #19

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Pliki z rozszerzeniem .REG są plikami rejestru. Na początku zawierają nagłówek Windows Registry Editor Version 5.00 bądź REGEDIT4, a dalej są instrukcje.

Jeśli plik jest to go usuń i po problemie. Jeśli zamkniesz porty to nie powinien potem powracać.


(luki) #20

Używam tego programu od dawna . Wszystko jest na zielono jeden na żółto ... dzięki za zainteresowanie tematem

Pozdrawiam .

Złączono Posta : 02.01.2007 (Wto) 16:15

No witam wszystkich mam nadzieję po udanym skoku do nowego roku...

:smiley:

Ta nichciana poczta nadal do mnie przychodzi .... :frowning: Czy macie jeszcze jakieś pomysły?