Naniby
(Tk)
12 Grudzień 2012 13:51
#1
Witam,
Używam programu pocztowego Outlook Express i od wczoraj wygląda na to, że postanowił on rozsyłać spam za pośrednictwem mojego konta. Objawia się to mailem, który dostaję co minutę o niedostarczeniu poczty na jakiś adres (przykładowa treść maila ).
Logi:
OTL
Extras
Z góry dzięki za pomoc;)
Pozdrawiam
Atis
(Atis)
12 Grudzień 2012 14:47
#2
Odinstaluj Search Results Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL [2012-03-24 10:33:44 | 000,000,000 | —D | M] (Search Results Toolbar) – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\otryw39l.default\extensions{94366e2c-9923-431c-b0d6-747447dd0f2b} O4 - HKU\S-1-5-21-657759869-3783922258-1770775391-1004…\Run: [Rundll32] C:\Documents and Settings\user\Dane aplikacji\Microsoft\Windows\unicode2.nls () O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.) O16 - DPF: {73FDD716-9BCE-42F7-8B13-DB4F7587B8D1} http://192.168.1.111/webView.cab (WViewCtl Class) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} http://217.173.193.218/activex/AMC.cab (AxisMediaControlEmb Class) O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (Reg Error: Value error.) [2012-12-08 12:06:51 | 000,305,664 | ---- | M] () – C:\Documents and Settings\user\awt43abr.exe :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu.
Atis
(Atis)
12 Grudzień 2012 18:36
#4
Wklej i kliknij Wykonaj skrypt:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\lmimirr.sys – (lmimirr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | Disabled | Unknown] – C:\WINDOWS\System32\drivers\dwshd.sys – (dwshd) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys – (catchme) DRV - File not found [Kernel | On_Demand | Running] – C:\DOCUME~1\user\USTAWI~1\Temp\ALSysIO.sys – (ALSysIO) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\acontrol.sys – (2hotspot controller) [2012-03-24 10:45:44 | 000,000,000 | —D | M] – C:\Documents and Settings\user\Dane aplikacji\searchresultstb
Odinstaluj:
Java 6 Update 24
Java 6 Update 3J
ava SE Development Kit 6 Update 24
Java DB 10.6.2.1
Adobe Reader 7.0.9
Adobe Flash Player 10 ActiveX
Zainstaluj:
Service Pack 3
Java
Adobe Reader
Flash Player Internet Explorer
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Naniby
(Tk)
13 Grudzień 2012 10:06
#5
Zrobiłem wszystko po kolei i wygląda na to, że jest ok. Jak ewentualnie mogę się upewnić, że problem znikł?
Atis
(Atis)
13 Grudzień 2012 12:08
#6
Jeżeli Outlook nie wysyła spamu, to znaczy, że problem został rozwiązany.
Naniby
(Tk)
13 Grudzień 2012 12:38
#7
Niestety jak przez chwilę był spokój to teraz dalej leci jak szalony. Jest coś jeszcze co mógłbym zrobić?
Atis
(Atis)
13 Grudzień 2012 13:16
#8
Zapytaj wróżki lub pokaż nowe logi.
Można przestać używać programów typu Outlook, Internet Explorer.
Zainstalowałeś to:
http://www.microsoft.com/pl-pl/download … aspx?id=24
Atis
(Atis)
13 Grudzień 2012 13:57
#10
Czy znasz program InfoSerwis?
W tym logu nie widać żadnej infekcji.
Pobierz i uruchom Gmer (Download EXE)
Na czas skanowania wyłącz wszystkie programy.
Nie zmieniaj żadnych ustawień tylko kliknij Szukaj.
Po zakończeniu skanowania kliknij Zapisz i pokaż raport.
Atis
(Atis)
13 Grudzień 2012 18:06
#12
W tym logu również nie widać infekcji.
Przeskanuj dysk Dr.WEB CureIt
Naniby
(Tk)
14 Grudzień 2012 08:35
#13
Przeskanowałem dysk Dr Web’em i czysto. A spam jak leciał tak wysyła się dalej. We wróżki nie wierzę za bardzo, formata też wolałbym uniknąć, ale nie wiem czy istnieje jeszcze jakaś opcja?
Atis
(Atis)
14 Grudzień 2012 14:36
#14
Ciekawe jest to, że wcześniej napisałeś, że problem został rozwiązany.
W pierwszym logu był trojan, a później nie widać żadnej infekcji.
Nawet Gmer nie wykrył nic podejrzanego.
Przeskanuj TDSSKiller i napisz czy teraz coś wykrywa.
Pokaż logi z RSIT i DSS:
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html
Pobierz i uruchom aswMBR
Po uruchomieniu kliknij Nie i następnie Scan.
Pokaż raport z tego programu Save log.
Naniby
(Tk)
14 Grudzień 2012 15:03
#15
Właśnie dziwne jest to, że robi sobie przerwy w wysyłaniu, tzn. czasami przez godzinę jest spokój, a później znowu nawałnica.
Zabieram się za dalsze skanowanie w takim razie;)
– Dodane 14.12.2012 (Pt) 16:25 –
TDSSKiller nic nie wykrył (raport ).
RSIT:
info
log
DDS:
DDS
attach
aswMBR:
log
Atis
(Atis)
14 Grudzień 2012 16:38
#16
Nie widać żadnej infekcji.
Naniby
(Tk)
14 Grudzień 2012 16:45
#17
Ok. Tylko, że co parę minut dostaje maila ze zwrotką.
Ostatni jaki przyszedł: http://wklej.org/id/897052/
Czy możliwe by były to zwrotki z maili wysyłanych przed usunięciem trojana?