Poczta rozsyła spam

Dla specjalistów Bezpieczeństwo
#1

Dzień dobry!

 

Tydzień temu po zalogowaniu się na pocztę zobaczyłem kilkanaście informacji zwrotnych “A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: (…)”. Nie wiążę tego bezpośrednio z otwarciem żadnego linku/pliku. Maile rozesłały się w chwili, gdy byłem z dala od komputera. Użyłem Malwarebytes Anti-Malware oraz CCleaner licząc, że to pomoże. Dzisiaj jednak znów zobaczyłem informację, że został rozesłany spam z linkiem. Z racji tego zwracam się do Was z prośbą o pomoc.

 

Raporty:

FRST: http://wklej.org/id/1804244/

Addition: http://wklej.org/id/1804246/

Shortcut: http://wklej.org/id/1804247/

#2

Odinstaluj Spybot - Search & Destroy.Otwórz notatnik systemowy i wklej:

Task: {470BFCA2-EF1D-4B31-BCEF-D77E7FAFF9E7} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system = C:\Program Files (x86)\Spybot - Search Destroy 2\SDScan.exe [2014-06-24] (Safer-Networking Ltd.)
Task: {7F00703C-3530-4A5A-80C8-8CA60301EAE9} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates = C:\Program Files (x86)\Spybot - Search Destroy 2\SDUpdate.exe [2014-06-27] (Safer-Networking Ltd.)
HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\Run: [Adobe Acrobat Speed Launcher] = C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe [36760 2012-01-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SDTray] = C:\Program Files (x86)\Spybot - Search Destroy 2\SDTray.exe [4101576 2014-06-24] (Safer-Networking Ltd.)
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-606138750-3606273870-274665690-1000\...\Run: [SpybotPostWindows10UpgradeReInstall] = C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
AppInit_DLLs: {DLL_Str} = Brak pliku
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKU\S-1-5-21-606138750-3606273870-274665690-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\S-1-5-21-606138750-3606273870-274665690-1000 - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-606138750-3606273870-274665690-1000 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKLM-x32 - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll [2012-01-03] (Adobe Systems Incorporated)
Toolbar: HKU\S-1-5-21-606138750-3606273870-274665690-1000 - Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku
Toolbar: HKU\S-1-5-21-606138750-3606273870-274665690-1000 - Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku
R2 SDScannerService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDFSSvc.exe [1738168 2014-06-24] (Safer-Networking Ltd.)
R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDUpdSvc.exe [2088408 2014-06-27] (Safer-Networking Ltd.)
R2 SDWSCService; C:\Program Files (x86)\Spybot - Search Destroy 2\SDWSCSvc.exe [171928 2014-04-25] (Safer-Networking Ltd.)
S3 ABWFP; \\C:\Program Files\ArcaBit\ArcaVir\ABWFP.sys [X]
S3 catchme; \\C:\ComboFix\catchme.sys [X]
S3 PCAMPR4; \\C:\windows\system32\PCAMPR4.SYS [X]
S3 PCANDIS4; \\C:\windows\system32\PCANDIS4.SYS [X]
2015-09-03 21:30 - 2015-09-03 21:30 - 00002974 _____ C:\windows\System32\Tasks\{F424CF8B-4E7C-4AB2-90AF-68BB9EA029FD}
2014-02-15 03:32 - 2014-11-23 20:28 - 0001626 _____ () C:\Users\Korwus\AppData\Roaming\wklnhst.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Pobierz i uruchom jako administrator AdwCleaner   https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

#3

Dziękuję za odpowiedź oraz pomoc.

 

Raporty po wykonanych poleceniach:

FRST: http://wklej.org/id/1804417/

AdwCleaner: http://wklej.org/id/1804418/

 

Mam nadzieję, że problem został rozwiązany - jednak nie mam innej możliwości weryfikacji tego, niż poczekanie kilka-kilkanaście dni. 

#4

Skasuj folder C:\FRST.