Odrzucanie maili - botnet?


(Slawek99) #1

Witam,

Tworzę ten wątek na prośbę mojego znajomego. Ma on dość nietypowy problem z wysyłaniem wiadomości e-mail do swojego pracodawcy (jest freelancerem). Często maile, które wysyła nie są doręczane do adresatów i otrzymuje o tym informacje zwrotne. Po kontakcie z IT firmy ustalono, że IP mojego kolegi jest na liście blokowanych IP na stronie Barracuda Central z usług których korzysta jego firma.

Dostawcą internetowym mojego kolegi jest Neostrada. Przydzielono mu nowy numer IP, który po chwili również znalazł się na liście blokowanych adresów. Dopiero użycie komputera Mac jego żony pomogło wysłać wiadomość.

Co ciekawe problem czasem pojawia się i nie chce zniknąć. Czasem maile są wysyłane przez kilka dnie bez przeszkód. Nie ma jednego wzorca.

Zastanawiam się, czy komputer nie jest częścią botnetu i dlatego wiele wiadomości wysyłanych z tego komputera trafia na czarną listę. Będę wdzięczny o jakiekolwiek sugestie i pomysły. Dołączam też logi z OTL:

OTL - http://wklej.org/id/967848/

Extras - http://wklej.org/id/967849/

PS: Aby było ciekawiej problem pojawia się tylko gdy maile są wysyłane na amerykańskie adresy odbiorców w domenie worldbank.org.


(Zeus__) #2

Ja nie jestem upoważniony do wystawiania skryptów na tym forum, więc na początek proponuję odinstalować

“Ask Toolbar Updater” i użyć adwcleaner klikając DELETE, raport z usuwania adwcleaner zamieść na forum, wraz z nowo wygenerowanymi raportami OTL i Extras i na pewno ktoś się znajdzie i pokieruje dalej co z tym fantem zrobić. Pozdrawiam


(Slawek99) #3

Dzięki za podpowiedź. Chciałem jeszcze dodać że od kilku dni nie uruchamia się również Internet Explorer. Po próbie uruchomienia mamy bluescreen. Po próbie uruchomienia IE bez dodatków bluescreen jest, ale dopiero po chwili (po około minucie).

Dodane 01.03.2013 (Pt) 9:26

adwcleaner uruchomiony z funkcją DELETE. ASK Toolbar nie ma na liście Dodaj/Usuń.

Problem z crashem po uruchomieniu przeglądarki nadal występuje.

Nowe logi:

http://wklej.org/id/969188/

http://wklej.org/id/969190/

Dodane 04.03.2013 (Pn) 9:27

Wklejam nowe logi. Z tego co wiem, jak na razie nie ma problemów z przesyłaniem maili. Problem bluescreen po uruchomieniu IE też ustąpił po uruchomieniu przeglądarki 64 bit zamiast 32 bit.

Będę wdzięczny za przejrzenie poniższych logów i napisanie czy są czyste.

http://wklej.org/id/971931/

http://wklej.org/id/971932/


(Zeus__) #4

Własne opcje skanowania/skrypt i wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPCON/4

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPCON/4

IE - HKLM\..\SearchScopes\{80B57BF1-97AF-4E19-BAF8-C8F31A7DE709}: "URL" = http://www.amazon.ca/s/ref=azs_osd_ieaca?ie=UTF-8&tag=hp-ca2-vsb-20&link%5Fcode=qs&index=aps&field-keywords={searchTerms}

IE - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://ca.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF

IE - HKU\S-1-5-21-3180334318-1383585477-2401256661-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPCON/4

IE - HKU\S-1-5-21-3180334318-1383585477-2401256661-1000\..\SearchScopes\{0A4D46A8-3F66-4D8B-AAD0-D22A3748DAFA}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=3C22EC23-79AD-42F4-ACF1-23A84F9B9E66&apn_sauid=57B7C30D-89D5-4BE5-B94E-9F322B3D46A0

IE - HKU\S-1-5-21-3180334318-1383585477-2401256661-1000\..\SearchScopes\{80B57BF1-97AF-4E19-BAF8-C8F31A7DE709}: "URL" = http://www.amazon.ca/s/ref=azs_osd_ieaca?ie=UTF-8&tag=hp-ca2-vsb-20&link%5Fcode=qs&index=aps&field-keywords={searchTerms}

IE - HKU\S-1-5-21-3180334318-1383585477-2401256661-1000\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://ca.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF

CHR - default_search_provider: Ask (Enabled)

CHR - default_search_provider: search_url = http://websearch.ask.com/redirect?client=cr&src=kw&tb=ORJ&o=&locale=&apn_uid=3C22EC23-79AD-42F4-ACF1-23A84F9B9E66&apn_ptnrs=U3&apn_sauid=57B7C30D-89D5-4BE5-B94E-9F322B3D46A0&apn_dtid=OSJ000YYPL&q={searchTerms}

CHR - default_search_provider: suggest_url = http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms}

O3 - HKU\S-1-5-21-3180334318-1383585477-2401256661-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

O4 - HKLM..\Run: [] File not found

O4 - HKU\S-1-5-21-3180334318-1383585477-2401256661-1000..\Run: [] File not found

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found


:COMMANDS

[emptytemp]

I kliknij wykonaj raport z usuwania umieść na forum dodatkowo proszę o wykonanie backapu ustawień Chrome-a a następnie zresetowanie ustawień przeglądarki Chrome-a


(Slawek99) #5

Skrypt wykonany. Niestety raporty zapisywane przez OTL w pliku txt były puste. Kolega więc puścił raz jeszcze skrypt i wynik skopiował na mojego maila. Oto on:

http://wklej.org/id/978253/