Spam za pomocą żony adresu e-mail - co po zmianie haseł


(błajo) #1

Witam,

 

Żona odbiera swojego firmowego maila adres@domena.pl przez TB. Od paru dni dostaje setki maili z tematem "Mail delivery failed: returning message to sender" itp... ktoś za pomocą jej maila wysyła setki spamu. Zmieniłem hasła do FTP i maila ale nie wiem czy nie siedzi coś u jej na komputerze. Przeskanowałem go Dr CureIT i nic nie wykryło.

 

Proszę o info jakie logi tu wstawić żeby sprawdzić czy nic tam na kompie złego nie siedzi.

 

Z góry dziękuję za pomoc.


(bachus) #2

Komputer w domu, albo w pracy ma wirusa i za pomocą skonfigurowanego SMTP (czy to IMAP?) śle wirusy. O logach jakie wstawić masz dokładnie napisane w dziale bezpieczeństwa.


(xyzzyx) #3

http://www.dobreprogramy.pl/Farbar-Recovery-Scan-Tool,Program,Windows,46164.html

Tu instrukcja:

http://forum.dobreprogramy.pl/nowy-log-obowi%C4%85zkowy-farbar-recovery-scan-tool-t478727/


(błajo) #4

Thx.

 

Frst: http://www.wklej.org/id/1597104/

Addition: http://www.wklej.org/id/1597105/

 

Avast nie chciał mi odpalić programu do robienia loga - musiałem go wyłączyć.

 

Czekam na sugestie. 


(Atis) #5

Nie widać żadnej infekcji.


(błajo) #6

Czyli możliwe, że ktoś złamał hasło? No przyznam nie było za trudne… imię + dwie cyfry.

 

Jutro wrzucę jeszcze log z mojego kompa dla pewności.


(krzych5610) #7

Komunikat " “Mail delivery failed: returning message to sender” itp…" Pojawia się jako odpowiedź zwrotna serwera domeny na której umieszczna jest e-poczta w przypadku gdy zostanie błędnie wpisany odres odbiorcy.

Stosowne informacje można znaleść po dokładnej analizie takiej informacji. Są domeny, które powtarzają tego typu komunikaty.

 

Proponuję zrobienie takiej próby. Proszę wysłać e-mail testowy ze swojej poczty na pocztę żony. Adres e-mail żony wpisać z błędem.

Na 100% otrzymasz komunikat “Mail delivery failed: returning message to sender” itp…"

 

Radzę wejść na stronę www na której żona ma konto pocztowe i uruchomić pocztę bezpośrednio. Sprawdzić ustawienia. Na stronie powinien być kontakt do operatora.

 

Radzę sprawdzić listy adresów dopisanych do e-poczty żony.


(błajo) #8

Niestesty przed chwilą znowu ponad 30 mail “zwrotek” … więc zmiana haseł nic nie dała tzn. ktoś wykradł nowe hasła. Skanuję teraz kompa żony Malwarebytes - jak się skończy dam log.

 

Na razie wklejam logi do mojego komputer. Może u mnie coś siedzi bo też czasem żony maila przez www sprawdzam.

 

FRST: http://www.wklej.org/id/1597913/

Addition: http://www.wklej.org/id/1597914/

 

Zrobiłem też już u żony fixa jak skończy się skan Malwarebytes wrzucę logi od żony z kompa.

 

Edit:

 

Malwarebytes: http://www.wklej.org/id/1597936/

Fixlog: http://www.wklej.org/id/1597937/

 

Nowe logi:

 

Addition: http://www.wklej.org/id/1597945/

FRST: http://www.wklej.org/id/1597946/

 

Dziś znowu zmieniłem hasła ale to chyba nic nie daje bo coś musi siedzieć w kompie moim lub żony.

 

Pozdrawiam i z góry dzięki za pomoc.


(krzych5610) #9

Witajbłajo. To jest skrypt dla twojego komputera.

 

Odinstaluj: C:\ProgramData\Spybot - Search & Destroy,

Wklej poniższy skrypt do notatnika. Zapisz jako fixlist.txt. Umieść w folderze z FRST.


(błajo) #10

 

Witam,

 

Mam pytanko czy ten antywirus to w celu usuniecia czegoś czy na przyszłość zamiast Avasta? I wywalić mam Avasta i zostać przy nim?

 

Co o znacza PPM oraz LPM?

 

Edit: Jeszcze pytanie

 

“Odinstaluj: C:\ProgramData\Spybot - Search & Destroy,”

 

Niestety nie mam tego programu na liście “usuń programy” w panelu sterowania. Jakiś czas temu usuwałem pamiętam ten program z tego co pamiętam. Skasować manualnie ten folder?


(Cedar) #11

Prawy klawisz myszki

Lewy klawisz myszki


(błajo) #12

Thx za pomoc. Pobieram antywirusa na kompa żony - fixa już u niej zrobiłem. Po skanie dać jakieś logi z kompa żony?

 

Jeszcze pytanie co z moim komputerem bo jak pisałem tego programu Spybot - Search & Destroy nie mam na liście w dodaj/usiń programy ale pod podaną ścieżką jest folder, tu (C:\Program Files (x86)\Spybot - Search & Destroy 2) też są pliki: spybotsd2-install-bdcore-update.exe i dwa translation. Czy mogę zrobić fixa bez usunięcia tego? Jeśli nie to jak się tego pozbyć.

 

Z góry dziękuję za pomoc.


(krzych5610) #13

Polecenie fix z pozimu FRST dla swojego komputera możesz wykonać. Te pozostałości po Spybot - Search & Destroy zostaną usunięte.

Wskazałem na FortiClient jako program antywirusowy do dokładnego przeskanowania. FortiClient ma mocniej rozbudowaną bazę niż AVAST.

Tu masz info o bazach dla FortiClient - http://www.fortiguard.com/updates/antivirus.html


(błajo) #14

Oki, dam znać czy znikły. Skanuję żony kompa teraz i jest jest “Threats Found: 1” na razie potem dam loga. Dzięki bardzo za pomoc. Zaraz podam logi z mojego kompa.

 

Logi z mojego kompa po fixie.

 

Fixlog: http://wklej.org/id/1599089/ <— Niestety zapomniałem przed zrobieniem fixa wyłączyć Avasta. Zrobić go jeszcze raz?

 

Addition: http://wklej.org/id/1599087/

Frst: http://wklej.org/id/1599088/

 

Foldery od spybot znikły.

 

Coś jeszcze potrzeba? Jak skończy się skan kompa żony dam loga.

 

P.S: Dodam że niestety “zwrotki” cały czas przychodzą - przed chwilą wpadło z 20.

 

Log z antyvira na żony kompie: http://wklej.org/id/1599164/ to co znalazł skasowałem.

 

Przed chwilą w TB żony pojawił się komunikat: http://i.imgur.com/74qKtQ0.jpg żona twierdzi, że jakiś czas temu też się pojawił i wybrała “potwierdx wyjatek”. Nie wiem czy to moze miec zwiazek z tymi mailami.


(krzych5610) #15

Witajbłajo. To skrypt na twój komputer. Wklej poniższy skrypt do notatnika. Zapisz jako fixlist.txt. Umieść w folderze z FRST.


(błajo) #16

Oki zrobione. Pytanie czy problem “zwrotek z żony kompa jest usunięty”

 

Co zrobić z takimi komunikatami? http://i.imgur.com/74qKtQ0.jpg Potwierdzać?

 

Dla pewności wklejam log z mojego kompa, zaraz podam też z żony.

 

Mój:

 

Frst: http://wklej.org/id/1599258/

Addition: http://wklej.org/id/1599259/

 

Żony:

 

Frst: http://wklej.org/id/1599270/

Addition: http://wklej.org/id/1599272/

 

Proszę o info co dalej mogę zrobić. Po nocy na żony maila przyszły cztery zwrotki.


(krzych5610) #17

Odnośnie komputera żony.

 

C:\Users\BMFOTO\AppData\Roaming\Thunderbird\Profiles\ru8xk665.dekori\Mail\mail.dekori.pl\Trash, virus found: W32/Tinba.BA!tr, action: Remove/quarantine

Aktywny wirus / ( trojan ) zainfekowany program poczty, e-mail. W32/Tinba.BA!tr - spcommon.exe / forav_3.exe ( 16.01.2015 )

 

Pobierz AdwCleaner - https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Po uruchomieniu wykonaj szukaj i usuń. Zgoda na restart komputera.

 

Pobierz i uruchomić skaner DrWeb-Curelt; http://www.dobreprogramy.pl/Dr.WEB-CureIt,Program,Windows,12976.html

Należy wykonać pełny skan. Przed uruchomieniem sprawdzić w ustawieniach, czy skanowanie dotyczy też plików poczty.

 

Pobierz HitmanPro ( Wszystkie wersje - we 64 bit ) - http://www.dobreprogramy.pl/HitmanPro,Program,Windows,30968.html

Uruchom skaner, potwierdż tylko wykonanie skanowania.

 

Przygotuj CD(ISO) z http://www.dobreprogramy.pl/Kaspersky-Rescue-Disk,Program,Windows,12771.html

Uruchom komputer z włożoną płytą do stacji nagrywarki. Poczekaj na uruchomienie skanera. Postępuj zgodnie z poleceniami.

 

Uruchom skaner FRST (64 bit ) - wersja aktualna z http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Pokaż aktualne raporty FRST i Addition.


(błajo) #18

Problem w tym, że te maile przychodziły już wcześniej… więc musiał chyba szybciej zaatakować. Ale rozumiem mój komp jest czysty i mogę spokojnie pracować? Mam teraz do zrobienia parę rzeczy niestety do pracy - wieczorem zajmę się kompem żony. Dzięki za pomoc.

 

'Przygotuj CD(ISO) z http://www.dobreprog…dows,12771.html

Uruchom komputer z włożoną płytą do stacji nagrywarki. Poczekaj na uruchomienie skanera. Postępuj zgodnie z poleceniami."

 

Da radę to na USB zrobić? Bo nie mam żadnej pustej CD w domu.


(krzych5610) #19

błajo. Przeskanuj swój komputer za pomocą HitmanPro

“Co zrobić z takimi komunikatami? http://i.imgur.com/74qKtQ0.jpg Potwierdzać?”

Potwierdzać? W jakim celu?


(błajo) #20

Nie wiem w sumie co to jest. U mnie w TB nigdy się nie pojawia. U żony od czasu do czasu. Zaraz puszczę u siebie skan.